Katakri

Recommendations

Info

KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ 24 Kysymys Lähtötason suositukset Perustason (IV) vaatimukset Korotetun tason (III) vaatimukset Korkean tason (II) vaatimukset Lähde/viite Kommentit A 605.0 Onko organisaatiolla menetelmät sen varmistamiseksi, että tehdyt suojaavat ja korjaavat turvallisuustoimenpiteet ovat tehokkaita ja oikein kohdistettuja? Turvallisuustoimenpiteiden vaikutus arvioidaan ja organisaatiolla on käsitys panos-tuotos -suhteesta. Ei vaatimuksia. Turvallisuustoimenpiteiden toivottua ja saavutettua vaikutusta verrataan. Organisaatiolla on käsitys panos-tuotos -suhteesta. Turvallisuustoimenpiteiden toivottua ja saavutettua vaikutusta verrataan säännöllisesti. Organisaatiolla on käsitys panos-tuotos -suhteesta. Kysymyksellä arvioidaan: Tehdäänkö turvallisuuden saavuttamiseksi oikeita asioita. A 606.0 Onko organisaatiolla menetelmät arvioida riskit, joita suunnitellut korjaavat toimenpiteet aiheuttavat? Turvallisuustoiminnan prosessi sisältää arvion muutosten negatiivisista vaikutuksista. Ei vaatimuksia. Turvallisuustoiminnan prosessi sisältää arvion muutosten negatiivisista vaikutuksista. Turvallisuustoiminnan prosessi sisältää arvion muutosten negatiivisista vaikutuksista. Kysymyksellä arvioidaan: Varmistaako organisaatio turvallisuusjärjestelmiä muutettaessa, ettei samalla aiheuteta uusia uhkia tai vaaratilanteita. A 607.0 Onko organisaatiolla menetelmät turvallisuustoimenpiteiden vaikutusten analysointia varten? Kysymyksellä arvioidaan: Dokumentoiko ja analysoiko organisaatio turvallisuustoimenpiteet sekä niiden vaikutukset. Organisaatio seuraa turvallisuustoimenpiteiden vaikutuksia. Organisaatio seuraa turvallisuustoimenpiteiden vaikutuksia. Organisaatio analysoi turvallisuustoimenpiteiden vaikutukset vähintään vuosittain. Esimerkiksi tilastoja seuraamalla tarkastellaan tietyn vaaratilanteen tapahtumataajuuden muutosta. Organisaatiolla on prosessi, joka dokumentoinnin lisäksi säännöllisesti analysoi tehdyt turvallisuustoimenpiteet ja niiden vaikutukset organisaation turvallisuustasoon ja toimintaan vähintään vuosittain. Analyysit käytetään hyödyksi turvallisuustoimintaa kehitettäessä.
Turvallisuusdokumentaatio ja sen hallinta, osa-alue A700 Kysymys Lähtötason suositukset Perustason (IV) vaatimukset Korotetun tason (III) vaatimukset Korkean tason (II) vaatimukset Lähde/viite Kommentit A 701.0 Onko organisaatiolla toimintamallit, jotka koskevat: a. turvallisuustiedostoja / turvallisuusrekistereitä tai dokumentointimenetelmiä? b. turvallisuusdokumentaation tietojen yksilöintiä ja jäljittämistä? c. turvallisuusdokumentaation säilyttämisaikoja, säilytyspaikkaa ja säilytyksen vastuita? Kysymyksellä arvioidaan: Onko organisaatiolla järjestelmä, jonka avulla hallitaan edellä mainitut osatekijät. Organisaatiolla on järjestelmä, joka sisältää omat ohjeistot ja tapahtuneet turvallisuuspoikkeamat. Organisaatiolla on järjestelmä, joka sisältää omat ohjeistot ja tapahtuneet turvallisuuspoikkeamat. Organisaatiolla on järjestelmä, joka sisältää turvallisuusrekisterit, omat ohjeistot ja tapahtuneet turvallisuuspoikkeamat. Järjestelmä täyttää lainsäädännön asettamat vaatimukset (mm. rekisteriseloste). Organisaatiolla on helposti käytettävä ja sisällöltään kattava tietojenhallintajärjestelmä, joka on ulotettu organisaation kaikille tasoille. Järjestelmä sisältää turvallisuusrekisterit (esimerkiksi luvat) ja muut dokumentit (kuten ohjeet). Tietojen tallentaminen tapahtuu siten, että järjestelmän avulla tapahtumat voidaan yksilöidä ja jäljittää. Järjestelmä täyttää lainsäädännön asettamat vaatimukset esimerkiksi tiedon luottamuksellisuuden ja säilytysaikavaatimusten osalta. A 702.0 Sisältävätkö rekisterit myös tiedot turvallisuustavoitteiden saavuttamisen tasosta? Kysymyksellä arvioidaan: Onko mitattavat tavoitteet asetettu selkeästi ja onko tavoitteiden toteutuminen helposti todettavissa järjestelmän avulla. Organisaatio pystyy osoittamaan turvallisuustavoitteiden saavuttamisen tason vähintään vuosittain. Ei vaatimuksia. Organisaatio pystyy osoittamaan turvallisuustavoitteiden saavuttamisen tason vähintään vuosittain. Organisaatiolla on tietojenhallintajärjestelmä, josta ajantasaiset tiedot ovat saatavissa. Raportit ovat yksilöitävissä ja vertailtavissa ajan, paikan ja aiheen mukaisesti. KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ 25
Page 1: Kansallinen turvallisuusauditointik
Page 4 and 5: KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 76 and 77:
KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 108:
Kansallinen turvallisuusauditointik
show all

Katakri

Create successful ePaper yourself

Delete template?

Save as template?