Organisaation tulee luoda ja ylläpitää kattava ja hyvin dokumentoitu riskienhallinan viitekehys.
Riskienhallinnan viitekehyksen tulisi sisältää ainakin:
joita käytetään kyberriskien hallintaan.
Riskienhallinnan viitekehys on tarkistettava vähintään kerran vuodessa.
Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:
Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.
Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:
Lisäksi tehtävän omistaja varmistaa, että:
Organisaatio on määritellyt menettelyn, jonka mukaisesti sisäiset auditoinnit tulee toteuttaa. Menettelykuvaus kuvaa vähintään:
Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:
Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.
Top management must ensure clear responsibilities / authority on at least the following themes:
The ISMS theme owners are presented on the desktop of the management system and in the Information security policy report.
In addition, top management shall ensure that all roles relevant to information security, as well as related responsibilities and authorities, are defined and communicated. It is also important to recognize the roles and responsibilities of external partners and providers.
Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.
Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.
Tehtävän omistaja arvioi säännöllisesti sisäiten auditointien toteutusta etenkin seuraavista näkökulmista:
Tehtävän omistaja tekee tarvittaessa muutoksia sisäisten auditointien menettelyyn sekä menettelykuvaukseen.