KATAKRI versio II - Puolustusministeriö

Recommendations

Info

KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ Riskien tunnistus, arviointi ja kontrollit, osa-alue A400 20 Kysymys A 401.0 Onko organisaatiolla menetelmät tunnistaa ja arvioida turvallisuusriskit Kysymyksellä arvioidaan: Priorisoiko organisaatio turvallisuustyönsä arvioimalla riskit. A 401.1 Pääkysymys: Onko toiminnalle tärkeät suojattavat kohteet (toiminnot, tiedot, järjestelmät, prosessit) tunnistettu Lisäkysymykset: Mitä uhkia niihin kohdistuu Onko suojattaville kohteille määritetty vastuuhenkilöt Viranomaisvaatimus: Perustaso (IV) Organisaatio arvioi turvallisuuden kokonaisuuteen liittyvät riskit ja riskienarviointi on turvallisuustyön tärkeysjärjestyksen peruste. Menettelytapa on säännöllinen ja tulokset dokumentoidaan. 1) Suojattavat kohteet (assets) on tunnistettu. 2) Suojattaviin kohteisiin kohdistuvat uhat on tunnistettu. 3) Suojattaville kohteille on nimetty omistaja/vastuuhenkilö. 4) Suojattavien kohteiden suojausmenetelmät on suhteutettu kohteisiin sekä niihin kohdistuviin riskeihin (vrt. A 401.2). Viranomaisvaatimus: Korotettu taso (III) Organisaatio arvioi turvallisuuden kokonaisuuteen liittyvät riskit ja riskienarviointi on turvallisuustyön tärkeysjärjestyksen peruste. Menettelytapa on säännöllinen ja tulokset dokumentoidaan. 1) Suojattavat kohteet (assets) on tunnistettu. 2) Suojattaviin kohteisiin kohdistuvat uhat on tunnistettu. 3) Suojattaville kohteille on nimetty omistaja/ vastuuhenkilö. 4) Suojattavien kohteiden suojausmenetelmät on suhteutettu kohteisiin sekä niihin kohdistuviin riskeihin (vrt. A 401.2). Viranomaisvaatimus: Korkea taso (II) Riskienarviointi on jatkuva prosessi, joka sisältää riskin tunnistamisen, todennäköisyyden ja vaikuttavuuden arvioinnin, tarvittavat toimenpiteet, vastuut ja aikataulut. Riskienarvioinnit toteuttavat organisaation parhaat asiantuntijat. Riskienarviointi on perustana turvallisuustyön priorisoinnille. 1) Suojattavat kohteet (assets) on tunnistettu. 2) Suojattaviin kohteisiin kohdistuvat uhat on tunnistettu. 3) Suojattaville kohteille on nimetty omistaja/vastuuhenkilö. 4) Suojattavien kohteiden suojausmenetelmät on suhteutettu kohteisiin sekä niihin kohdistuviin riskeihin (vrt. A 401.2). Elinkeinoelämän suositukset Organisaatio arvioi turvallisuuden kokonaisuuteen liittyvät riskit ja riskienarviointi on turvallisuustyön tärkeysjärjestyksen peruste. Menettelytapa on säännöllinen ja tulokset dokumentoidaan. 1) Suojattavat kohteet (assets) on tunnistettu. 2) Suojattaviin kohteisiin kohdistuvat uhat on tunnistettu. 3) Suojattaville kohteille on nimetty omistaja/vastuuhenkilö. 4) Suojattavien kohteiden suojausmenetelmät on suhteutettu kohteisiin sekä niihin kohdistuviin riskeihin (vrt. A 401.2). Lähde/lisätietoa ISO/IEC 27002 7.1, COBIT 4.1 PO9, VAHTI 8/2006, https://www.bsi.bund.de/ SharedDocs/Downloads/ EN/BSI/Grundschutz/guidelines/guidelines_pdf.pdf Auditointitulos: OK/ poikkeama (ex I 103.0) Katso lisätietoja liitteestä 1 (A401.1)
Kysymys A 401.2 Miten suojattaviin kohteisiin kohdistuvia riskejä arvioidaan (ex I104.0) Katso lisätietoja liitteestä 1 (A 401.2) Viranomaisvaatimus: Perustaso (IV) 1) Suojattaviin tietoihin kohdistuvia riskejä hallitaan prosessina jollain järjestelmällisellä menetelmällä. 2) Em. prosessissa on määritelty tunnetut turvallisuusriskit ja turvatoimet niiden vähentämiseksi hyväksyttävälle tasolle. 3) Turvatoimien tehokkuutta arvioidaan vähintään vuosittain ja lisäksi merkittävien muutosten yhteydessä. 4) Turvallisuusriskien hallinta on erottamaton osa suojattavan kohteen viestintä- ja tietojärjestelmien määrittelyä, kehittämistä, käyttöä ja ylläpitoa. 5) Johto ja tiedon omistajat ovat hyväksyneet valitut suojausmenetelmät ja jäännösriskit. Viranomaisvaatimus: Korotettu taso (III) 1) Suojattaviin tietoihin kohdistuvia riskejä hallitaan prosessina jollain järjestelmällisellä menetelmällä. 2) Em. prosessissa on määritelty tunnetut turvallisuusriskit ja turvatoimet niiden vähentämiseksi hyväksyttävälle tasolle. 3) Turvatoimien tehokkuutta arvioidaan vähintään vuosittain ja lisäksi merkittävien muutosten yhteydessä. 4) Turvallisuusriskien hallinta on erottamaton osa suojattavan kohteen viestintä- ja tietojärjestelmien määrittelyä, kehittämistä, käyttöä ja ylläpitoa. 5) Johto ja tiedon omistajat ovat hyväksyneet valitut suojausmenetelmät ja jäännösriskit. Viranomaisvaatimus: Korkea taso (II) 1) Suojattaviin tietoihin kohdistuvia riskejä hallitaan prosessina jollain järjestelmällisellä menetelmällä. 2) Em. prosessissa on määritelty tunnetut turvallisuusriskit ja turvatoimet niiden vähentämiseksi hyväksyttävälle tasolle. 3) Turvatoimien tehokkuutta arvioidaan vähintään vuosittain ja lisäksi merkittävien muutosten yhteydessä. 4) Turvallisuusriskien hallinta on erottamaton osa suojattavan kohteen viestintä- ja tietojärjestelmien määrittelyä, kehittämistä, käyttöä ja ylläpitoa. 5) Johto ja tiedon omistajat ovat hyväksyneet valitut suojausmenetelmät ja jäännösriskit. Elinkeinoelämän suositukset 1) Suojattaviin kohteisiin (vrt. A 401.1) kohdistuvia riskejä arvioidaan jollain järjestelmällisellä menetelmällä. 2) Arviointi tapahtuu vähintään vuosittain ja lisäksi merkittävien muutosten yhteydessä. 3) Valitut suojausmenetelmät on asianmukaisesti suhteutettu kohteisiin sekä niihin kohdistuviin riskeihin. 4) Johto on hyväksynyt valitut suojausmenetelmät ja jäännösriskit Lähde/lisätietoa Auditointitulos: OK/ poikkeama ISO/IEC 27001 luku 4, ISO/IEC 27002 7.1, COBIT 4.1 PO9, Kansallisen turvallisuusviranomaisen “Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje”, VAHTI 8/2006, VAHTI 2/2010:n liite 5 (TTT), EU:n turvallisuussäännöstö 6952/2/11 REV2 /1.4.2011 5. artikla, https://www.bsi.bund.de/ SharedDocs/Downloads/ EN/BSI/Grundschutz/ guidelines/guidelines_pdf.pdf KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ 21
Page 1: KATAKRI Kansallinen turvallisuusaud
Page 4 and 5: KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 72 and 73:
KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
Kansallinen turvallisuusauditointik
show all

KATAKRI versio II - Puolustusministeriö

Create successful ePaper yourself

Delete template?

Save as template?