COSO Principle 10: The entity selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.
Points of focus:
- Integrates With Risk Assessment
- Considers Entity- Specific Factors
- Determines Relevant Business Processes
- Evaluates a Mix of Control Activity Types
- Considers at What Level Activities Are Applied
- Addresses Segregation of Duties
Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.
Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.
Tietoturvariskien hallintaa toteuttaessaan organisaation on tunnistettava käsittelyä vaativat riskit ja määriteltävä näille käsittelysuunnitelmat, jotka usein koostuvat uusista tietoturvallisuustoimenpiteistä.
Organisaatio on määritellyt, kuinka säännöllisesti arvioidaan kokonaisuutena määriteltyjä käsittelysuunnitelmia ja niiden oikeasuhtaisuutta riskeille täytettyihin arvioihin (riskin vakavuus ja todennäköisyys) verrattuna.
Tietoturvariskien hallinnassa tehtävien tulee olla eriytettynä, mikäli ne eivät ole yhteensopivia.
Tilanteessa, jossa tehtävät eivät ole yhteensopivia, mutta tehtävien eriyttäminen ei ole käytännöllistä on kehitettävä erilliset hallintakeinot sen valvomista varten.
Organisaation on huomioitava riskit tietoturvatavoitteiden saavuttamiselle. Tavoitteiden saavuttamiseen liittyviä riskejä tulee lieventää asettamalla hallintakeinoja ainakin seuraaville osa-alueille:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
