Sufficient specifying of objectives

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

• ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
• ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
• niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
• ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:

Sisäiset raportointitavoitteet:

• Johdolle päätöksentekoa tukevat raportit
• Raportoinnin tarkkuus ja yksityiskohdat ei taloudellisiin raportteihin liittyen

Vaatimuksien täyttötavoitteet:

• Lakien ja asetusten täyttyminen
• Alatavoitteiden asettaminen, jotta turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden kriteerit tukevat riittävää raportointia, organisaation toimintaa ja vaatimuksenmukaisuuden täyttymistä

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

• aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
• tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
• tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
• sidosryhmien antama palaute tietoturvasta
• riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

Organisaation tietoturvatavoitteita asettaessa täytyy ottaa huomioon ulkoiset tavoitteet. Tämä tarkoittaa esimerkiksi:

• Ulkoisesti asetettujen vaatimuskehikkojen, kuten lait ja asetukset tai muiden ulkoisten sidosryhmien asettamat vaatimukset
• Raportoinnissa otetaan huomioon raporttien yksityiskohtaisuuden riittävä määrä ulkoisten vaatimusten täyttämisen osoittamiseksi