Identification of risks related to objectives

The organization has defined procedures for assessing and treating cyber security risks. The definition includes at least:

• Risk identification methods
• Methods for risk analysis
• Criteria for risk evaluation (impact and likelihood)
• Risk priorisation, treatment options and defining control tasks
• Risk acceptance criteria
• Process implementation cycle, resourcing and responsibilities
• The results should be included into the organization risk management process

The task owner regularly checks that the procedure is clear and produces consistent results.

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

• Arvioida keskenäisiä riippuvuuksia
• Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
• Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Organisaation riskinäkymistä raportoidaan organisaation johdolle säännöllisesti ja vähintään kerran vuodessa.

Organisaation on luokiteltava sen tieto-omaisuus, kuten tietojärjestelmät, tiedot, yksiköt, avainhenkilöstö ja muu suojattava omaisuus (esim. laitteet) prioriteettien mukaan. Priorisoinnin voi tehdä esimerkiksi käsiteltävän tiedon luottamuksellisuus-, eheys- ja saatavuusvaatimusten perusteella.