Siirry suoraan sisältöön.
VAHTI hyvät käytännöt
Digitaalisen turvallisuuden riskienhallinta

Saat parhaat ohjeet tilanteeseesi, kun vastaat ensin kysymyksiin oppaan aloitussivulla.

  1. Oppaan aloitussivu
  2. Johdatus digiturvan riskienhallintaan
  3. Riskienhallinta
  4. Turvallisuusjohtaminen
  5. Jatkuvuudenhallinta ja varautuminen
  6. Tietoturva
    1. Hanki yleiskuva tietoturvasta
    2. Tunnista uhat
    3. Suojaudu uhilta
    4. Toteuta havainnointi- ja käsittelyprosessit
    5. Palautuminen tietoturvaloukkauksista
      1. Varaudu tietoturvaloukkauksiin riskienhallinnan avulla
      2. Noudata palautumissuunnitelmaa
      3. Viesti palautumistoimista johdolle ja sidosryhmille
      4. Kehitä suojautumisprosesseja
      5. Opi tapahtuneista tietoturvaloukkauksista
      6. Mittaa tietoturvaprosessien onnistumista
      7. Seuraa tarpeita ja kehitä toimintaa
    6. Hyödynnä ohjeita ja työkaluja
    7. Tutustu koulutuksiin ja palveluihin
  7. Tietosuoja
  8. Muistilista

Palautuminen tietoturvaloukkauksista

Varaudu tietoturvaloukkauksiin riskienhallinnan avulla

Riskienhallinta on osa jatkuvuudenhallintaa ja se tukee hyvää varautumista. Tietoturvaloukkauksen seurauksia on mahdollista vähentää ja palautumista helpottaa, jos tapahtuman mahdollisuus on tunnistettu ja käsittelytoimenpiteet on mietitty valmiiksi etukäteen.

Päivitetty: 29.10.2024

Noudata palautumissuunnitelmaa

Organisaation tulee laatia palautumissuunnitelma vähintään organisaation kriittisille toiminnoille ja palveluille. Palautumissuunnitelmassa kuvataan toimenpiteet ja resurssit, joiden avulla organisaatio voi palautua normaalille tasolle tai muulle organisaation johdon linjaamalle tasolle.

Palautumissuunnitelmissa tulee huomioida vähintään keskeisimmät tunnistetut riskit.

Päivitetty: 29.10.2024

Viesti palautumistoimista johdolle ja sidosryhmille

Kun noudatat palautumissuunnitelman viestintäsuunnitelmaa, pidät johdon ja keskeiset sidosryhmät tietoisina

  • palautumisen etenemisestä
  • resurssien riittävyydestä ja
  • muista olennaisista yksityiskohdista.

Sovi suunnitelmassa myös palautumisen kannalta keskeisten sidosryhmien, kuten esimerkiksi palveluntuottajien kanssa viestimisestä.

Päivitetty: 29.10.2024

Kehitä suojautumisprosesseja

Hyvän resilienssin eli palautumiskyvyn ylläpitäminen vaatii jatkuvia toimenpiteitä, ja suojautumis- ja palautumisprosesseja tulee kehittää jatkuvasti. Mikäli organisaatiosi prosesseihin tarvitaan muutoksia, päivitä ne vastaamaan uusia olosuhteita.

Suojautumisen ja palautumisen kehittäminen kannattaa viedä esimerkiksi johdon vuosikelloon.

Päivitetty: 29.10.2024

Opi tapahtuneista tietoturvaloukkauksista

Jokainen poikkeama on mahdollisuus toiminnan kehittämiseen. Palautumisen aikana on hyvä tunnistaa kehityskohteita, joilla voit saada esimerkiksi

  • kehitettyä organisaation suojautumisprosesseja
  • vähennettyä tapahtuman uusiutumisen todennäköisyyttä tai vaikutuksia
  • tunnistettua tehokkaampia tai nopeampia palautumiskeinoja
  • tunnistettua hyödyllisiä palautumis- tai suojautumisprosesseja, jotka toimivat myös muihin riskeihin.

Päivitetty: 29.10.2024

Mittaa tietoturvaprosessien onnistumista

Organisaation tulee asettaa toimintaansa soveltuvat mittarit ja tunnisteet. Mittareilla organisaatio pystyy arvioimaan

  1. toimivatko tietoturvaan, palautumiseen ja koko digiturvaan asetut prosessit tarkoituksenmukaisesti
  2. miten kehittämistoiminta on vaikuttanut tietoturvaprosessien onnistumiseen.

Asianmukaisten mittareiden asettaminen auttaa tekemään kehittämisestä myös

  • säännöllistä
  • suunnitelmallista ja
  • hallittua.

Päivitetty: 29.10.2024

Seuraa tarpeita ja kehitä toimintaa

Digitaalisen toimintaympäristön muuttuessa tulee seurata muutoksia organisaation ja sidosryhmien tarpeissa. Muutoksia voi tapahtua esimerkiksi seuraavien toimijoiden tarpeissa:

  • organisaatio
  • johto
  • henkilöstö
  • asiantuntijat
  • toimittajat
  • asiakkaat tai
  • muut sidosryhmät.

Päivitetty: 29.10.2024

Oletko tyytyväinen tämän sivun sisältöön?

Muistilista