Tunnistaminen

1 Tunnistaminen (”Mitä suojattavaa meillä on?”)

Tunnistamisvaiheen tavoitteena on, että organisaatio on tunnistanut oman toimintaympäristönsä sekä toiminnan mahdollistavat ja toiminnan jatkuvuuteen liittyvät kriittiset suojattavat kohteet ja omaisuuden. Lisäksi organisaatio tunnistanut näihin kohdistuvat uhat ja riskit sekä niiden mahdollisen vaikutuksen toimintaansa.

Oman toimintaympäristön ja suojattavien kohteiden tunnistaminen on ensimmäinen osa digitaalisen turvallisuuden arkkitehtuurin muodostamista. Toimenpiteet, kuten kohteiden suojaus tai poikkeamien havainnointi voidaan tehdä vain, mikäli oma ympäristö tunnetaan riittävän hyvin.

Tunnistamisen lopputuloksena muodostuu kuvaus oman organisaation digitaalisesta ympäristöstä, kuten

- Järjestelmistä, tietovarannoista, laitteista ja niiden sisältämästä tiedosta
- Toimintaympäristöstä ja toimintaa ohjaavista tekijöistä kuten lainsäädännöstä
- Digitaalisen turvallisuuden hallintamallista, kuten käytännöistä ja suunnitelmista
- Digitaalisen ympäristön uhkista, riskeistä ja niiden hallintakeinoista

Oleellista digitaalisen turvallisuuden arkkitehtuurin kannalta on, että tunnistamisvaiheessa erityisiä suojaamisen, havainnoinnin, reagoinnin tai palautumisen toimenpiteitä vaativat kohteet kyetään määrittämään.

TUNNISTAMINEN	SUOJAUTUMINEN	HAVAINNOINTI	REAGOINTI	PALAUTUMINEN
Toimintaympäristön tunnistaminen	Identiteetin- ja pääsynhallinta	Poikkeamanhallinnan organisointi	Poikkeamien analysointi	Poikkeamista toipuminen
Suojattavan omaisuuden hallinta	Tietoisuus ja koulutus	Poikkeamien havaitseminen	Tietoturvatiedon jakaminen ja viestintä	Viestintä
Digitaalisen turvallisuuden hallinta	Tiedon suojaus		Poikkeamien käsittely	Jatkotoimenpiteet
Riskienhallinta	Tietojenkäsittely-ympäristöjen suojaus
	Tietojärjestelmien hankinta ja elinkaari
	Muutoshallinta
	Fyysisen toimintaympäristön suojaus
	Jatkuvuus ja varautuminen

TOIMINTAYMPÄRISTÖN TUNNISTAMINEN

Organisaation rooli toimitusketjussa on tunnistettu ja tiedotettu
Organisaation merkitys osana toimialan kriittistä infrastruktuuria on tunnistettu ja tiedotettu
Organisaation tehtävän, tavoitteiden ja toiminnan prioriteetit on määritetty ja tiedotettu
Kriittisten palveluiden tuottamisen riippuvuudet ja niihin liittyvät kriittiset toiminnot on määritetty
Kriittisten palveluiden tuottamista tukevat jatkuvuus- ja varautumisvaatimukset on määritelty
Toimintaympäristöön kohdistuvat sisäiset ja ulkoiset uhat on tunnistettu ja dokumentoitu

SUOJATTAVAN OMAISUUDEN HALLINTA

Organisaatio on tunnistanut fyysisen tietojenkäsittely-ympäristönsä (laitteet, järjestelmät, tietovarannot)
Organisaatio on tunnistanut ohjelmistoalustat, ohjelmistot, tietojärjestelmät ja tietovarannot
Organisaatio on tunnistanut tietovirtansa
Organisaation käyttämät ulkoiset järjestelmät on luetteloitu
Tunnistetut suojattavat kohteet on luokiteltu niiden kriittisyyden ja toiminta-arvon perusteella

DIGITAALISEN TURVALLISUUDEN HALLINTA

Organisaatio on laatinut tietoturvapolitiikan ja siitä on tiedotettu
Digitaalisen turvallisuuden roolit ja vastuut on määritelty ja yhdenmukaistettu sisäisten roolien ja ulkoisten kumppaneiden kanssa
Digitaalista turvallisuutta koskevat lakisääteiset ja muut vaatimukset, mukaan lukien yksityisyyttä ja henkilötietojen käsittelyyn liittyvät velvoitteet, on ymmärretty ja hallittu

RISKIENHALLINTA

Riskienhallinta

Riskienhallinnan periaatteet on laadittu, hallinnoitu ja sovittu organisaation sidosryhmien kanssa
Organisaation riskinsietokyky on määritetty ja tiedotettu
Hallinnointi- ja riskienhallintaprosesseissa käsitellään myös digitaalisen turvallisuuden riskejä
Tietojärjestelmien, komponenttien ja palvelujen toimittajat ja kolmannet osapuolet on tunnistettu, priorisoitu ja arvioitu toimitusketjun digitaalisen turvallisuuden riskienhallintaprosessin avulla
Suojattavan omaisuuden haavoittuvuudet on tunnistettu ja dokumentoitu
Mahdolliset vaikutukset toimintaan on tunnistettu ja niiden todennäköisyys on arvioitu
Uhka-, haavoittuvuus-, todennäköisyys- ja vaikuttavuustietoa käytetään riskin merkityksen arviointiin
Riskienhallintakeinot on tunnistettu ja priorisoitu

Toimitusketjun riskienhallinta

Organisaation sidosryhmät ovat tunnistaneet, määrittäneet, arvioineet ja sopineet toimitusketjun digitaalisen turvallisuuden riskienhallintaprosesseista sekä hallinnoivat niitä
Sopimuksilla toimittajien ja kolmansien osapuolten kanssa varmistetaan toimenpiteet, joilla toteutetaan organisaation toimitusketjun digitaalisen turvallisuuden ja siihen liittyvän riskienhallintasuunnitelman tavoitteita
Toimittajien, kumppaneiden ja kolmansien osapuolten sopimusvelvoitteiden täyttyminen arvioidaan säännöllisesti auditoinnein tai vastaavien arviointien avulla

Space shortcuts

Page tree

Tunnistaminen

Toimintaympäristön tunnistaminen

Identiteetin- ja pääsynhallinta

Poikkeamanhallinnan organisointi

Poikkeamien analysointi

Poikkeamista toipuminen

Suojattavan omaisuuden hallinta

Tietoisuus ja koulutus

Poikkeamien havaitseminen

Tietoturvatiedon jakaminen ja viestintä

Viestintä

Digitaalisen turvallisuuden hallinta

Tiedon suojaus

Poikkeamien käsittely

Jatkotoimenpiteet

Riskienhallinta

Tietojenkäsittely-ympäristöjen suojaus

Tietojärjestelmien hankinta ja elinkaari

Muutoshallinta

Fyysisen toimintaympäristön suojaus

Jatkuvuus ja varautuminen

Organisaation rooli toimitusketjussa on tunnistettu ja tiedotettu

Organisaation merkitys osana toimialan kriittistä infrastruktuuria on tunnistettu ja tiedotettu

Organisaation tehtävän, tavoitteiden ja toiminnan prioriteetit on määritetty ja tiedotettu

Kriittisten palveluiden tuottamisen riippuvuudet ja niihin liittyvät kriittiset toiminnot on määritetty

Kriittisten palveluiden tuottamista tukevat jatkuvuus- ja varautumisvaatimukset on määritelty

Toimintaympäristöön kohdistuvat sisäiset ja ulkoiset uhat on tunnistettu ja dokumentoitu

Organisaatio on tunnistanut fyysisen tietojenkäsittely-ympäristönsä (laitteet, järjestelmät, tietovarannot)

Organisaatio on tunnistanut ohjelmistoalustat, ohjelmistot, tietojärjestelmät ja tietovarannot

Organisaatio on tunnistanut tietovirtansa

Organisaation käyttämät ulkoiset järjestelmät on luetteloitu

Tunnistetut suojattavat kohteet on luokiteltu niiden kriittisyyden ja toiminta-arvon perusteella

Organisaatio on laatinut tietoturvapolitiikan ja siitä on tiedotettu

Digitaalisen turvallisuuden roolit ja vastuut on määritelty ja yhdenmukaistettu sisäisten roolien ja ulkoisten kumppaneiden kanssa

Digitaalista turvallisuutta koskevat lakisääteiset ja muut vaatimukset, mukaan lukien yksityisyyttä ja henkilötietojen käsittelyyn liittyvät velvoitteet, on ymmärretty ja hallittu

Riskienhallinta

Riskienhallinnan periaatteet on laadittu, hallinnoitu ja sovittu organisaation sidosryhmien kanssa

Organisaation riskinsietokyky on määritetty ja tiedotettu

Hallinnointi- ja riskienhallintaprosesseissa käsitellään myös digitaalisen turvallisuuden riskejä

Tietojärjestelmien, komponenttien ja palvelujen toimittajat ja kolmannet osapuolet on tunnistettu, priorisoitu ja arvioitu toimitusketjun digitaalisen turvallisuuden riskienhallintaprosessin avulla

Suojattavan omaisuuden haavoittuvuudet on tunnistettu ja dokumentoitu

Mahdolliset vaikutukset toimintaan on tunnistettu ja niiden todennäköisyys on arvioitu

Uhka-, haavoittuvuus-, todennäköisyys- ja vaikuttavuustietoa käytetään riskin merkityksen arviointiin

Riskienhallintakeinot on tunnistettu ja priorisoitu

Organisaation sidosryhmät ovat tunnistaneet, määrittäneet, arvioineet ja sopineet toimitusketjun digitaalisen turvallisuuden riskienhallintaprosesseista sekä hallinnoivat niitä

Sopimuksilla toimittajien ja kolmansien osapuolten kanssa varmistetaan toimenpiteet, joilla toteutetaan organisaation toimitusketjun digitaalisen turvallisuuden ja siihen liittyvän riskienhallintasuunnitelman tavoitteita

Toimittajien, kumppaneiden ja kolmansien osapuolten sopimusvelvoitteiden täyttyminen arvioidaan säännöllisesti auditoinnein tai vastaavien arviointien avulla