Lue, miten tietoturvapolitiikka auttaa konkretisoimaan organisaation tietoturvatavoitteet ja jatkuvan kehittämisen periaatteet.
Tietoturvapolitiikka on kuvaus organisaation ylimmän johdon hyväksymistä käytännöistä, joilla varmistetaan halutun tietoturvan tason toteutuminen kaikissa liiketoimintaan liittyvissä olosuhteissa. Politiikka kattaa koko organisaation ja koskettaa niin henkilöstöä, ohjelmistoja, laitteita sekä käyttöoikeuksia yms. Hyvin valmistellun politiikan avulla organisaatio saa selkeän viitekehyksen siihen, miten tietoturva otetaan huomioon sen toiminnassa kaikissa tilanteissa. Se myös ohjaa organisaation toimintaa ohjeistamalla tai esimerkiksi estämällä riskejä sisältäviä toimintoja.
Tietoturvan hallintamalli
Tietoturvapolitiikka perustuu arvioon liiketoimintaan oleellisesti liittyvistä riskeistä. Riskiarvio muodostetaan listaamalla kaikki liiketoimintaan keskeisesti liittyvät resurssit ja arvioimalla niihin kohdistuvat riskit. Riskianalyysi on usein arvokas jo sinällään. Se paljastaa armotta, mikäli jotain olennaista on riskien hallinnan näkökulmasta jäänyt huomaamatta. Analyysi antaa toimivat työkalut pitkän aikavälin tietoturvan kehittämiseen ja systemaattiseen riskeihin varautumiseen. Kattavassa politiikassa otetaan kantaa luonnollisesti myös organisaation sidosryhmiin. Riskiarvio päivitetään määräajoin ja raportoidaan organisaation ylimmälle johdolle. Johto päättää mahdollisista muutoksista tietoturvapolitiikkaan. Tämä toimintatapa luo kestävän tietoturvan hallintamallin, joka on läpinäkyvä sekä koko organisaatiolle että asiakkaille ja sidosryhmille.
Miksi kaikkien organisaatioiden tulisi luoda tietoturvapolitiikka?
Tarve tietoturvapolitiikalle saattaa tulla myös organisaation ulkopuolelta. Yhteistyösopimuksissa yritysten välillä vaaditaan nykyään usein kumppanin todistavan ylläpitävänsä tietoturvaansa ja toimimaan sen mukaisesti, minkä tarpeen tietoturvapolitiikka täyttää.
Toinen tietoturvapolitiikan luomista ja dokumentoimista vauhdittava tekijä on syksyllä voimaan astuva EU:n verkko- ja tietoturvadirektiivin uusi versio – NIS2, jonka soveltaminen astuu voimaan lokakuussa 2024. Soveltaminen tarkoittaa, että laissa aletaan ottaa kantaa kyberturvallisuuden riskienhallintaan ja käytännössä määritellään sen minimivaatimukset. NIS2:n tuomat vaatimukset ulottuvat suureen osaan suurista ja keskisuurista organisaatioista heti lain voimaan astuessa. Tämä tarkoittaa, että NIS2 direktiivin alaiset organisaatiot vaativat alihankinta- sidosryhmiltä direktiivin vaatimusten mukaista toimintaa ja sen todistamista.
Hyvässä ja toimivassa tietoturvapolitiikassa on otettu huomioon ainakin seuraavat seikat:
- Tietoturvapolitiikan perustellut tavoitteet
- Tietoturvallisuuden ja riskien hallinta
- Tietoturvan tason varmistamisen ja jatkuvan kehittämisen periaatteet
- Tietoturvavastuut
- Sidosryhmien ja alihankkijoiden tietoturvatason vaatimukset
- Tietoturvapoikkeamat- ja loukkaukset
- Yksityisyydensuoja