Ads 468x60px

tiistai 13. joulukuuta 2011

Johdon tietoturvaopas (VAHTI 2/2011)

VAHTI-ryhmä on julkaissut johdon tietoturvaoppaan (VAHTI 2/2011) 7.12.2011. Tämä ohje on nimensä mukaisesti kohdistettu organisaatioiden johto- ja esimiesasemassa oleville; mitä heidän tulisi tietää tietoturvatyöstä ja organisaatioihin kohdistuvista tietoturvavelvoitteista sekä miten tietoturvatyön tukeminen tulisi sisällyttää jokapäiväiseen johtamiseen. Lähtökohta ohjeelle on ollut se, että valtion organisaatioiden tulee saavuttaa tietoturvatasojen perustason 30.9.2013 mennessä. Tämän takia ohjeen sisällössä on keskitytty ohjeistamaan tietoturvallisuuden johtamista lähinnä tietoturvatasojen perustason vaatimuksia vastaan mutta ohje soveltuu hyvin myös yksityissektorilla tehtävän tietoturvallisuustyön pohjaksi.

Ohjeen pohjimmainen sanoma on se, että tietoturvatyöllä on hyvin rajalliset mahdollisuuden onnistua, ellei sillä ole johdon näkyvää tukea. Lisäksi ohjeessa painotetaan, että riskejä tulee pyrkiä hallitsemaan kokonaisvaltaisesti. Ei siis riitä, että organisaatio hoitaa oman pesänsä kuntoon, vaan organisaation on osattava katsoa myös oman tynnyrinsä ulkopuolelle. Mitkä ovat vaikutukset meidän keskeisille sidosryhmille, jos meille käy jotain TAI mitkä ovat vaikutukset, mikäli tietoriskit realisoituvat jollain keskeisistä sidosryhmistämme?

Oheinen referaatti johdon muistilistasta(Ohjeen Liite 1) muodostaa perustan johdon tietoturvatyölle:
  1. Lainmukaisuuden varmistaminen: Olemmeko tunnistaneet meitä koskevat lakisääteiset velvoitteet?
  2. Riskienhallinnan- ja hallintajärjestelmän toteuttaminen: Arvioimmeko tietoriskejä säännöllisesti ja systemaattisesti?
  3. Tietoturvapolitiikkaan sitoutuminen: Kuvaako organisaation tietoturvapolitiikka tahtotilaamme?
  4. Tietoturvajohtaminen: Käsitelläänkö tietoturva-asioita säännöllisesti organisaation johtoryhmässä? Entä raportoidaanko poikkeustilanteita johtoryhmälle? (Mitkä ovat ne metriikat, jotka ovat relevantteja meidän organisaatiossa?)
  5. Tietoturvavastuuhenkilön nimeäminen: Kenen vastuulla on tietoturvatyön koordinointi ja raportointi johdolle? Onko henkilöllä riittävät resurssit työn tekemiseen?
  6. Tietoturvallisuuden organisointi: Onhan tietoturvallisuus osa ydinprosessejamme eikä vain päälle liimattu laastari?
  7. Tietoturvallisuuden toteutumisen varmistaminen: Huomioidaanhan tietoturvallisuus keskeisissä projekteissa, hankinnoissa ja kehittämisessä jo työn alkumetreillä?
  8. Tietoturvallisuuden TTS-suunnitteluedellytysten luonti: Onhan tietoturvatyöhön varattu riittävät taloudelliset resurssit?
  9. Poikkeama- ja eritystilanteiden hallinta: Olemme suunnitelleet miten toimimme poikkeustilanteessa (esim tietomurron sattuessa)?
  10. Tietoturvaraportointivelvollisuuksista huolehtiminen: Olemmeko suunnitelleet miten ja kenelle meidän tulee/kannattaa raportoida tietoturvallisuutemme tilasta?
Listan pointit ovat hyvä muistaa itse jokaisen ja meidän onkin syytä pysähtyä miettimään, ovatko yllämainitut asiat kunnossa omassa organisaatiossamme.


Terveisin
Antti

Ei kommentteja:

Lähetä kommentti