Sharing Information with stakeholders

Organisaatiolla tulee olla selkeät viestintäkanavat tapahtumien raportointia varten:

• Perustetaan ja ylläpidetään asianmukaisia viestintäkanavia turvallisuustapahtumista raportoiville henkilöille ja varmistetaan, että:
• Tapahtumista ilmoittamista varten on määritetty yhteinen yhteyspiste, josta tiedotus tapahtuu kaikille asianomaisille osapuolille.
• Käytettävissä on erilaisia raportointikanavia tapahtumien vakavuuden mukaan, mukaan lukien reaaliaikaiset viestintävaihtoehdot merkittävissä hätätilanteissa ja asynkroniset menetelmät (esim. liput, sähköposti) vähemmän kiireellisissä asioissa.

Organisaation olisi myös harkittava mahdollisuutta ulkoiseen raportointiin. Tämä voi tarkoittaa, että organisaatiolla on järjestelmä, jolla voidaan käsitellä ulkoisten osapuolten raportteja turvallisuustapahtumista, mukaan lukien:

• Ulkoisesti saatavilla oleva ja hyvin kommunikoitu menetelmä tietoturvatapahtumien raportointia varten.
• Määritellyt menettelyt ulkoisista lähteistä tuleviin tietoturvatapahtumaraportteihin vastaamista ja niiden käsittelyä varten.

Organisaation olisi myös varmistettava, että häiriötilanteiden raportointimekanismit ja -tiedot ovat helposti kaikkien asianomaisten raportoijien saatavilla, ja otettava käyttöön palautemenettely, jolla turvatapahtumista raportoiville annetaan nopeita vastauksia ja päivityksiä ja jolla varmistetaan, että heille tiedotetaan tuloksista ja tarvittavista jatkotoimista.

Mikäli organisaation tarjoaman palvelun näkökulmasta on tarkoituksenmukaista, organisaatio ilmoittaa ilman viivästystä palveluidensa käyttäjille merkittävistä häiriöistä, jotka todennäköisesti vaikuttavat negatiivisesti kyseisten palveluiden toimittamiseen.

Häiriö on merkittävä, kun vähintään toinen seuraavista toteutuu:

• häiriö voi aiheuttaa vakavan häiriön palvelujen toiminnassa tai vakavia taloudellisia menetyksiä palveluntarjoajalle
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa liittyville ihmisille tai muille organisaatioille

Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

• Miten todennäköistä on, että tietoja käytetään haitantekoon?
• Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
• Henkilötietojen luonne, arkaluonteisuus ja määrä
• Kuinka helppoa rekisteröity on tunnistaa tiedoista?
• Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

• Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
• Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
• Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
• Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen