2 Suojautuminen (”Miten suojaudumme uhilta?”) Suojautumisvaiheen tavoitteena on, että organisaatio suojaa tunnistetut kohteet, kuten tietojärjestelmät, tietovarannot ja tiedot riskienhallinnan keinoin tunnistetuilta uhilta ja riskeiltä. Käytännössä tämä tarkoittaa muun muassa identiteetin- ja pääsynhallinnan, tietoverkkojen turvallisuuden, tietoturvallisuuden, tietoturvateknologian suunnittelua ja toteuttamista suhteessa tunnistettuihin riskeihin sekä näiden toimenpiteiden dokumentointia ja kuvaamista. Suojaamisen kannalta olennaista on ottaa huomioon erilaiset vaatimukset ja tietoturvaratkaisut tietojärjestelmien, palveluiden ja näitä tukevan infrastruktuurin elinkaaren kaikissa vaiheissa aina kehityksestä ylläpitoon ja päättämiseen. Koska suojattavien kohteiden tietoturva- ja tietosuojavaatimukset vaihtelevat käsiteltävän tiedon ja toimintaympäristön mukaisesti, on erityisen tärkeätä tunnistaa oman organisaation toimintaan ja tietoon kohdistuvat vaatimukset kohdassa viitekehyksen kohdassa Tunnistaminen. Viitekehyksessä esitellyt suojaustoimenpiteet ovat kansainvälisistä tietoturvallisuuden, kyberturvallisuuden ja digitaalisen turvallisuuden standardeista johdettuja toimenpiteitä, joiden avulla organisaation on mahdollista rakentaa suojaustaan kokonaisuutena erillisten ratkaisujen sijaan. HUOM! Yksittäisten suojattavien kohteiden suojaustoimenpiteet on aina syytä määrittää riskiarvion ja tunnistettujen vaatimusten perusteella.
|