KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kysymys<br />
A 203.0<br />
Tarkistetaanko toimintaohjelma<br />
säännöllisesti<br />
Kysymyksellä arvioidaan:<br />
Ottaako organisaatio<br />
huomioon mahdollisesti<br />
muuttuvat tilanteet ja<br />
päivitetäänkö vuotuinen<br />
toimintaohjelma tarvittaessa<br />
A 204.0<br />
Onko organisaatiolla<br />
dokumentoitu ohjelma<br />
tietoturvallisuuden<br />
johtamiseksi ja turvallisuustyön<br />
tavoitteiden<br />
saavuttamiseksi<br />
(ex I 102.0)<br />
Viranomaisvaatimus:<br />
Perustaso (IV)<br />
Ei vaatimuksia.<br />
Organisaatiolla on tietoturvasuunnitelma,<br />
toimintaohje,<br />
tai vastaava,<br />
ja siihen liittyvät ohjeet<br />
tarpeen mukaan.<br />
Vaaditaan, että 1)<br />
suunnitelma sisältää<br />
kuvaukset ainakin hallinnollisesta,<br />
fyysisestä ja<br />
tietoteknisestä tietoturvallisuudesta;<br />
2) suunnitelma ottaa<br />
huomioon mahdollisen<br />
toimintaa säätelevän<br />
lainsäädännön (ml.<br />
tietosuoja); 3) suunnitelmaan<br />
liittyvät ohjeet<br />
ovat riittäviä suhteessa<br />
organisaatioon ja suojattavaan<br />
kohteeseen.<br />
Viranomaisvaatimus:<br />
Korotettu taso (<strong>II</strong>I)<br />
Ohjelman tarkistaminen<br />
on osa jatkuvaa<br />
johtamiskäytäntöä.<br />
Organisaatiolla on<br />
tietoturvasuunnitelma,<br />
toimintaohje, tai vastaava,<br />
ja siihen liittyvät<br />
ohjeet tarpeen mukaan.<br />
Vaaditaan, että<br />
1) suunnitelma sisältää<br />
kuvaukset ainakin<br />
hallinnollisesta, fyysisestä<br />
ja tietoteknisestä<br />
tietoturvallisuudesta;<br />
2) suunnitelma ottaa<br />
huomioon mahdollisen<br />
toimintaa säätelevän<br />
lainsäädännön (ml.<br />
tietosuoja);<br />
3) suunnitelmaan liittyvät<br />
ohjeet ovat riittäviä<br />
suhteessa organisaatioon<br />
ja suojattavaan<br />
kohteeseen.<br />
Viranomaisvaatimus:<br />
Korkea taso (<strong>II</strong>)<br />
Organisaatiolla on säännöllinen<br />
prosessi (esimerkiksi johtoryhmän<br />
tai turvallisuuden johtoryhmän<br />
kokouskäytäntö), jossa yhtenä<br />
asiakohtana on vastuullisen tahon<br />
esittelemä katsaus turvallisuuden<br />
toimintaohjelman etenemisestä<br />
ja mahdollisista tarpeista kehittää<br />
ohjelmaa tavoitteiden, vastuiden<br />
tai aikataulun suhteen.<br />
Organisaatiolla on tietoturvasuunnitelma,<br />
toimintaohje, tai vastaava,<br />
ja siihen liittyvät ohjeet tarpeen<br />
mukaan.<br />
Vaaditaan, että<br />
1) suunnitelma sisältää kuvaukset<br />
ainakin hallinnollisesta, fyysisestä<br />
ja tietoteknisestä tietoturvallisuudesta;<br />
2) suunnitelma ottaa huomioon<br />
mahdollisen toimintaa säätelevän<br />
lainsäädännön (ml. tietosuoja);<br />
3) suunnitelmaan liittyvät ohjeet<br />
ovat riittäviä suhteessa organisaatioon<br />
ja suojattavaan kohteeseen.<br />
Elinkeinoelämän<br />
suositukset<br />
Ohjelman tarkistaminen<br />
on osa jatkuvaa<br />
johtamiskäytäntöä.<br />
Organisaatiolla on tietoturvasuunnitelma,<br />
toimintaohje,<br />
tai vastaava, ja siihen<br />
liittyvät ohjeet tarpeen<br />
mukaan.<br />
Suositellaan, että<br />
1) suunnitelma sisältää<br />
kuvaukset ainakin hallinnollisesta,<br />
fyysisestä ja<br />
tietoteknisestä tietoturvallisuudesta;<br />
2) suunnitelma ottaa<br />
huomioon mahdollisen toimintaa<br />
säätelevän lainsäädännön<br />
(ml. tietosuoja);<br />
3) suunnitelmaan liittyvät<br />
ohjeet ovat riittäviä<br />
suhteessa organisaatioon ja<br />
suojattavaan kohteeseen.<br />
Lähde/<br />
lisätietoa<br />
PCI DSS 12.2, COBIT<br />
4.1 PO, COBIT 4.1 DS5,<br />
https://www.bsi.bund.de/<br />
SharedDocs/Downloads/<br />
EN/BSI/Grundschutz/<br />
guidelines/guidelines_pdf.<br />
pdf<br />
Auditointitulos:<br />
OK/ poikkeama<br />
KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ<br />
15