TIETOTURVA

Turvallisuus muodostuu toimivasta kokonaisuudesta, josta tietoturvallisuus on yksi pieni osa kokonaisuutta.

Tietoturvapoliitiikka

Hyvään tietohallintatapaan sisältyy velvollisuus huolehtia tiedonkäsittelyn asianmukaisesta suunnittelusta, tietoturvaratkaisuista ja testauksista, riskien hallinnasta, vahinkojen ja väärinkäytösten ennaltaehkäisystä sekä poikkeamaraportoinnista.

Ohjeistus ja perusohjeistus

Ohjeistaminen on keskeisessä roolissa, yrityksen antamista työnjohdollisista määräyksistä, hallinnollisista ohjeista, prosesseista, ratkaisuista ja teoista, jotka edistävät tavoitteeksi asetetun tietoturvallisuustason muodostumista.

Uhka- ja riskikartoitus

Uhka- eli riskikartoituksessa haetaan yrityksen toimintaan liittyvät riskit ja uhkakuvat. Ensin kannattaa tehdä yleinen tietoturvariskien kartoitus, jonka avulla nähdään yleisellä tasolla mitä riskejä tietojenkäsittelyyn sisältyy.

Riskienhallintasuunnitelma

Riskienhallintasuunnitelmassa olisi hyvä ottaa huomioon seuraavat Johdon tietoturvaopas (2011, 14), jossa organisaation tietoturvavelvoitteet seuraavasti:

− lainmukaisuuden varmistaminen

− riskienhallinnan- ja hallintajärjestelmän toteuttaminen

− tietoturvapolitiikkaan sitoutuminen

− tietoturvajohtaminen

− tietoturvavastuuhenkilön nimeäminen

− tietoturvallisuuden organisointi

− tietoturvallisuuden toteutumisen varmistaminen

− tietoturvallisuuden TTS-suunnitteluedellytysten luonti

− poikkeama- ja erityistilanteiden hallinta

− tietoturvaraportointivelvollisuuksista huolehtiminen