Thorough investigation and result analysis shall be the base for understanding the full
implication of the information/cybersecurity incident.
Guidance
- Result analysis can involve the outcome of determining the correlation between the information of the detected event and the outcome of risk assessments. In this way, insight is gained into the impact
of the event across the organization.
- Consider including detection of unauthorized changes to its critical systems in its incident response capabilities.
The organization shall implement automated mechanisms to support incident impact analysis.
Guidance
Implementation could vary from a ticketing system to a Security Information and Event Management (SIEM).
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.