Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

• luvatun palvelutason tarkkailu
• toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
• riippumattomien auditointien säännöllinen järjestäminen
• auditoinneissa tunnistettujen ongelmien seuranta
• tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
• toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Vaikka kehitystä ulkoistetaan, meillä säilyy vastuu asianmukaisten lakien noudattamisesta ja hallintakeinojen vaikuttavuuden todentamisesta.

Olemme määritelleet toimintatavat, joiden valvomista seuraamme ja noudattamista edellytämme koko ulkoistusketjussa. Käytännöt voivat sisältää mm. seuraavia asioita:

• tuotetun koodin katselmointi- ja hyväksymiskäytännöt
• todistusaineisto kumppanin suorittamista testaustoimista
• viestintäkäytännöt
• sopimukselliset oikeudet auditoida kehitysprosessia ja hallintakeinoja
• dokumentointivaatimukset koodin tuottamisesta

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.