3. Liiketoiminnallisen tiedon hallinta

a. Tiedon luottamuksellisuus

P: Organisaatiolla on selkeä tietoturvaohjeistus, -koulutus ja –valvonta, joilla varmistetaan, että luottamuksellisiksi/salaisiksi luokitellut tiedot ovat vain niiden käytettävissä, jotka tietoa työssään tarvitsevat. Ulkopuolisten pääsy tietoihin on estetty tehokkaasti.

N: Organisaatiolla ei ole selkeää tietoturvaohjeistusta, -koulutusta tai -valvontaa, mikä vaarantaa organisaation luottamuksellisiksi/salaisiksi luokiteltujen tietojen turvallisuuden. Tiedot voivat joutua vääriin käsiin ja valvontajärjestelmän puutteiden takia organisaatio ei välttämättä havaitse tätä ajoissa.

b. Kriittiset tietojärjestelmät

P: Organisaatio on määritellyt kriittiset tietojärjestelmät sekä varmistanut niissä olevien tietojen suojaukset, palautukset sekä saatavuuden.

N: Organisaatio ei ole tunnistanut kriittisiä tietojärjestelmiään, eikä ole huolehtinut niissä olevien tietojen suojaamisesta ja varmistusmenettelyistä kriittisyyden edellyttämällä tavalla. Organisaatiolla ei ole varmistuksia ja menettelytapoja, jotka mahdollistavat kriittisten tietojen saatavuuden ja/tai niiden palauttamisen silloinkin, kun kriittinen tietojärjestelmä on vikaantunut.

c. Tiedon eheys

P: Organisaatio on huolehtinut automaattisilla ja manuaalisilla kontrolleilla ja ohjeistuksella siitä, että tietojärjestelmissä olevat tiedot siirtyvät järjestelmistä toiseen eheinä ja tietoja ei pääse tahattomasti tai tahallisesti muuttamaan tai tuhoamaan. Virheiden ja väärinkäytösten varalta organisaatiolla on lain sallimat menetelmät asian selvittämiseksi ja virheiden tunnistamiseksi ja korjaamiseksi.

N: Organisaatio ei ole huolehtinut automaattisilla tai manuaalisilla kontrolleilla ja ohjeistuksella tiedon eheydestä ja tämän seurauksena tieto voi siirtyä epätäydellisenä tai sen tietojärjestelmissä olevia tietoja on mahdollista muuttaa tai tuhota tahattomasti tai tahallisesti ilman, että organisaatio välttämättä havaitsee virhettä tai kykenee sitä korjaamaan. Menetelmät ja tekniset ratkaisut näiden mahdollistamiseksi puuttuvat.

d. Kyberriskit

P: Yritys on suojautunut ja pyrkii jatkuvasti kehittämään suojaustaan tieto- ja viestintäteknologian avulla tapahtuvia hyökkäyksiä ja niihin liittyviä vahinkomahdollisuuksia vastaan siten, että tieto- ja viestintäteknologiaan liittyville tai siitä riippuvaisille järjestelmille, laitteille, toiminnoille tai käyttäjille ei aiheutu merkittävää riskiä. Suojaus kattaa mm. kybertoimintaympäristön, siihen liittyvän informaatio- ja kommunikaatioteknologian sekä toisiinsa teknologian avulla vuorovaikutuksessa olevat laitteet ja käyttäjien kouluttamisen ja ohjeistamisen.

N: Yritys on laiminlyönyt suojauksensa ja sen jatkuvan kehittämisen tieto- ja viestintäteknologian avulla tapahtuvia hyökkäyksiä ja niihin liittyviä vahinkomahdollisuuksia vastaan. Tästä aiheutuu merkittävää riskiä tieto- ja viestintäteknologiaan liittyville tai siitä riippuvaisille järjestelmille, laitteille, toiminnoille tai käyttäjille. Yritys ei pyri pitämään kybertoimintaympäristöään, siihen liittyvää informaatio- ja kommunikaatioteknologiaa eikä toisiinsa teknologian avulla vuorovaikutuksessa olevia laitteita suojattuina eikä panosta käyttäjien kouluttamiseen ja ohjeistamiseen.

Kyberriskeistä

Kyberriskit ovat nouseet uudeksi käsitteeksi kattamaan laajempaa toimtakentää, johon yritysjohdon on suunnattava katseensa aikaisempaa tarkemmin.

FERMA - ECIIA Cyber Risk Governance Report

The recommendation for a cyber risk governance model comes in a report published 29.7.2017 by the Federation of European Risk Management Associations (FERMA) and the European Confederation of Institutes of Internal Auditing (ECIIA).

The report, "At the junction of corporate governance and cybersecurity", aims primarily at supporting European organisations in meeting their obligations under the EU General Data Protection Regulation and Network Information Security Directive.

RSA White Paper (2016): Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise

This paper in collaboration with Deloitte, defines cyber risk and cyber risk appetite and provides a foundation for organizations looking to better understand and quantify cyber risk.

COSO:n raportti (tammikuu 2015) Coso in the Cyber Age