KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kysymys<br />
A 401.2<br />
Miten suojattaviin<br />
kohteisiin kohdistuvia<br />
riskejä arvioidaan<br />
(ex I104.0)<br />
Katso lisätietoja liitteestä<br />
1 (A 401.2)<br />
Viranomaisvaatimus:<br />
Perustaso (IV)<br />
1) Suojattaviin tietoihin<br />
kohdistuvia riskejä<br />
hallitaan prosessina<br />
jollain järjestelmällisellä<br />
menetelmällä.<br />
2) Em. prosessissa on<br />
määritelty tunnetut turvallisuusriskit<br />
ja turvatoimet<br />
niiden vähentämiseksi<br />
hyväksyttävälle tasolle.<br />
3) Turvatoimien tehokkuutta<br />
arvioidaan vähintään<br />
vuosittain ja lisäksi<br />
merkittävien muutosten<br />
yhteydessä.<br />
4) Turvallisuusriskien hallinta<br />
on erottamaton osa<br />
suojattavan kohteen viestintä-<br />
ja tietojärjestelmien<br />
määrittelyä, kehittämistä,<br />
käyttöä ja ylläpitoa.<br />
5) Johto ja tiedon omistajat<br />
ovat hyväksyneet<br />
valitut suojausmenetelmät<br />
ja jäännösriskit.<br />
Viranomaisvaatimus:<br />
Korotettu taso (<strong>II</strong>I)<br />
1) Suojattaviin tietoihin<br />
kohdistuvia riskejä<br />
hallitaan prosessina<br />
jollain järjestelmällisellä<br />
menetelmällä.<br />
2) Em. prosessissa on<br />
määritelty tunnetut<br />
turvallisuusriskit ja<br />
turvatoimet niiden vähentämiseksi<br />
hyväksyttävälle<br />
tasolle.<br />
3) Turvatoimien<br />
tehokkuutta arvioidaan<br />
vähintään vuosittain<br />
ja lisäksi merkittävien<br />
muutosten yhteydessä.<br />
4) Turvallisuusriskien<br />
hallinta on erottamaton<br />
osa suojattavan kohteen<br />
viestintä- ja tietojärjestelmien<br />
määrittelyä,<br />
kehittämistä, käyttöä ja<br />
ylläpitoa.<br />
5) Johto ja tiedon omistajat<br />
ovat hyväksyneet<br />
valitut suojausmenetelmät<br />
ja jäännösriskit.<br />
Viranomaisvaatimus:<br />
Korkea taso (<strong>II</strong>)<br />
1) Suojattaviin tietoihin kohdistuvia<br />
riskejä hallitaan prosessina<br />
jollain järjestelmällisellä menetelmällä.<br />
2) Em. prosessissa on määritelty<br />
tunnetut turvallisuusriskit ja<br />
turvatoimet niiden vähentämiseksi<br />
hyväksyttävälle tasolle.<br />
3) Turvatoimien tehokkuutta<br />
arvioidaan vähintään vuosittain<br />
ja lisäksi merkittävien muutosten<br />
yhteydessä.<br />
4) Turvallisuusriskien hallinta on<br />
erottamaton osa suojattavan kohteen<br />
viestintä- ja tietojärjestelmien<br />
määrittelyä, kehittämistä, käyttöä<br />
ja ylläpitoa.<br />
5) Johto ja tiedon omistajat ovat<br />
hyväksyneet valitut suojausmenetelmät<br />
ja jäännösriskit.<br />
Elinkeinoelämän<br />
suositukset<br />
1) Suojattaviin kohteisiin<br />
(vrt. A 401.1) kohdistuvia<br />
riskejä arvioidaan<br />
jollain järjestelmällisellä<br />
menetelmällä.<br />
2) Arviointi tapahtuu<br />
vähintään vuosittain<br />
ja lisäksi merkittävien<br />
muutosten yhteydessä.<br />
3) Valitut suojausmenetelmät<br />
on asianmukaisesti<br />
suhteutettu kohteisiin<br />
sekä niihin kohdistuviin<br />
riskeihin.<br />
4) Johto on hyväksynyt<br />
valitut<br />
suojausmenetelmät<br />
ja jäännösriskit<br />
Lähde/lisätietoa<br />
Auditointitulos:<br />
OK/ poikkeama<br />
ISO/IEC 27001 luku 4,<br />
ISO/IEC 27002 7.1, COBIT<br />
4.1 PO9, Kansallisen<br />
turvallisuusviranomaisen<br />
“Kansainvälisen turvallisuusluokitellun<br />
tietoaineiston<br />
käsittelyohje”, VAHTI<br />
8/2006, VAHTI 2/2010:n<br />
liite 5 (TTT), EU:n turvallisuussäännöstö<br />
6952/2/11<br />
REV2 /1.4.2011 5. artikla,<br />
https://www.bsi.bund.de/<br />
SharedDocs/Downloads/<br />
EN/BSI/Grundschutz/ guidelines/guidelines_pdf.pdf<br />
KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ<br />
21