KATAKRI versio II - Puolustusministeriö

Recommendations

Info

KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ Turvallisuuden vuotuinen toimintaohjelma, osa-alue A200 14 Kysymys A 201.0 Onko organisaatiolla kirjoitettu ja dokumentoitu toimintaohjelma turvallisuuden johtamiseksi ja turvallisuustyön tavoitteiden saavuttamiseksi Kysymyksellä arvioidaan: Organisaation kykyä tunnistaa turvallisuuden kokonaisuus, oman toiminnan vahvuudet ja sellaiset alueet, joissa tarvitaan parantamista. A 202.0 Onko toimintaohjelmassa eritelty menetelmät, vastuut ja aikataulut tavoitteiden saavuttamiseksi Kysymyksellä arvioidaan: Ohjelman yksityiskohtaisuutta. Viranomaisvaatimus: Perustaso (IV) Ei vaatimuksia. Ei vaatimuksia. Viranomaisvaatimus: Korotettu taso (III) Organisaatiolla on toimintaohjelma, joka kattaa turvallisuusjohtamisen, henkilöstö-, tieto- ja tilaturvallisuuden kehittämisalueet. Toimintaohjelma on erillinen dokumentti tai osa organisaation toimintasuunnitelmaa. Organisaatiolla on turvallisuuden toimintaohjelma, jossa on kuvattu ainakin turvallisuusjohtamisen, henkilöstö-, tieto- ja tilaturvallisuuden kehittämisalueiden osalta vaadittavat tavoitteet, vastuut ja aikataulut. Toimintaohjelma on erillinen dokumentti tai osa organisaation toimintasuunnitelmaa. Viranomaisvaatimus: Korkea taso (II) Organisaatiolla on kaikkia turvallisuuden osa-alueita koskeva toimintaohjelma, joka kattaa toimenpiteet, vastuut, aikataulut ja mitattavat tulokset. Toimintaohjelma käsittelee myös turvallisuuden johtamisen kehitystyön samaan periaatteeseen perustuen. Turvallisuuden vuotuinen toimintaohjelma sisältää organisaation työnkuvauksiin perustuvan suunnitelman turvallisuuden hallinnoitavien osa-alueiden jatkuvaksi parantamiseksi. Vuotuinen suunnitelma sisältää tavoitteet, vastuut ja mitattavat tavoitteet. Elinkeinoelämän suositukset Organisaatiolla on toimintaohjelma, joka kattaa turvallisuusjohtamisen, henkilöstö-, tieto- ja tilaturvallisuuden kehittämisalueet. Toimintaohjelma on erillinen dokumentti tai osa organisaation toimintasuunnitelmaa. Organisaatiolla on turvallisuuden toimintaohjelma, jossa on kuvattu ainakin turvallisuusjohtamisen, henkilöstö-, tieto- ja tilaturvallisuuden kehittämisalueiden osalta vaadittavat tavoitteet, vastuut ja aikataulut. Toimintaohjelma on erillinen dokumentti tai osa organisaation toimintasuunnitelmaa. Lähde/ lisätietoa Auditointitulos: OK/ poikkeama
Kysymys A 203.0 Tarkistetaanko toimintaohjelma säännöllisesti Kysymyksellä arvioidaan: Ottaako organisaatio huomioon mahdollisesti muuttuvat tilanteet ja päivitetäänkö vuotuinen toimintaohjelma tarvittaessa A 204.0 Onko organisaatiolla dokumentoitu ohjelma tietoturvallisuuden johtamiseksi ja turvallisuustyön tavoitteiden saavuttamiseksi (ex I 102.0) Viranomaisvaatimus: Perustaso (IV) Ei vaatimuksia. Organisaatiolla on tietoturvasuunnitelma, toimintaohje, tai vastaava, ja siihen liittyvät ohjeet tarpeen mukaan. Vaaditaan, että 1) suunnitelma sisältää kuvaukset ainakin hallinnollisesta, fyysisestä ja tietoteknisestä tietoturvallisuudesta; 2) suunnitelma ottaa huomioon mahdollisen toimintaa säätelevän lainsäädännön (ml. tietosuoja); 3) suunnitelmaan liittyvät ohjeet ovat riittäviä suhteessa organisaatioon ja suojattavaan kohteeseen. Viranomaisvaatimus: Korotettu taso (III) Ohjelman tarkistaminen on osa jatkuvaa johtamiskäytäntöä. Organisaatiolla on tietoturvasuunnitelma, toimintaohje, tai vastaava, ja siihen liittyvät ohjeet tarpeen mukaan. Vaaditaan, että 1) suunnitelma sisältää kuvaukset ainakin hallinnollisesta, fyysisestä ja tietoteknisestä tietoturvallisuudesta; 2) suunnitelma ottaa huomioon mahdollisen toimintaa säätelevän lainsäädännön (ml. tietosuoja); 3) suunnitelmaan liittyvät ohjeet ovat riittäviä suhteessa organisaatioon ja suojattavaan kohteeseen. Viranomaisvaatimus: Korkea taso (II) Organisaatiolla on säännöllinen prosessi (esimerkiksi johtoryhmän tai turvallisuuden johtoryhmän kokouskäytäntö), jossa yhtenä asiakohtana on vastuullisen tahon esittelemä katsaus turvallisuuden toimintaohjelman etenemisestä ja mahdollisista tarpeista kehittää ohjelmaa tavoitteiden, vastuiden tai aikataulun suhteen. Organisaatiolla on tietoturvasuunnitelma, toimintaohje, tai vastaava, ja siihen liittyvät ohjeet tarpeen mukaan. Vaaditaan, että 1) suunnitelma sisältää kuvaukset ainakin hallinnollisesta, fyysisestä ja tietoteknisestä tietoturvallisuudesta; 2) suunnitelma ottaa huomioon mahdollisen toimintaa säätelevän lainsäädännön (ml. tietosuoja); 3) suunnitelmaan liittyvät ohjeet ovat riittäviä suhteessa organisaatioon ja suojattavaan kohteeseen. Elinkeinoelämän suositukset Ohjelman tarkistaminen on osa jatkuvaa johtamiskäytäntöä. Organisaatiolla on tietoturvasuunnitelma, toimintaohje, tai vastaava, ja siihen liittyvät ohjeet tarpeen mukaan. Suositellaan, että 1) suunnitelma sisältää kuvaukset ainakin hallinnollisesta, fyysisestä ja tietoteknisestä tietoturvallisuudesta; 2) suunnitelma ottaa huomioon mahdollisen toimintaa säätelevän lainsäädännön (ml. tietosuoja); 3) suunnitelmaan liittyvät ohjeet ovat riittäviä suhteessa organisaatioon ja suojattavaan kohteeseen. Lähde/ lisätietoa PCI DSS 12.2, COBIT 4.1 PO, COBIT 4.1 DS5, https://www.bsi.bund.de/ SharedDocs/Downloads/ EN/BSI/Grundschutz/ guidelines/guidelines_pdf. pdf Auditointitulos: OK/ poikkeama KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ 15
Page 1: KATAKRI Kansallinen turvallisuusaud
Page 4 and 5: KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 66 and 67:
KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
Kansallinen turvallisuusauditointik
show all

KATAKRI versio II - Puolustusministeriö

Create successful ePaper yourself

Delete template?

Save as template?