Beta

Tietoturvan riskienkäsittelysuunnitelma


Riskitaulukon ja riskienkäsittelysuunnitelman pohja (MS Word)


Tarkoitus

Tietoturvan riskianalyysin tulokset dokumentoidaan riskitaulukkoon. Kaikkien riskien taulukosta poimitaan erikseen riskienkäsittelysuunnitelmaan ne riskit, jotka ovat analysointihetkellä ohjausryhmän mielestä liian suuria ja joille pitäisi luoda uusia hallintakeinoja. Tällä riskienkäsittelysuunnitelmalla ohjataan järjestelmän ja prosessin tietoturvapiirteiden toteuttamista.

Tarkoituksena on, että riskienkäsittelysuunnitelmassa mainitut uudet hallintakeinot kopioidaan vaatimusmäärittelyyn tai siirretään hankkeen ulkopuolisten henkilöiden tehtäviksi. 

Tehtävät

Ohjausryhmä

  • Asettaa hyväksyttävän riskitason
  • Valitsee tiimin ehdotuksista mitä hallintatoimia toteutetaan

Tietoturva-asiantuntija

  • Käynnistää riskianalyysin ja vastaa dokumentin luomisesta ja täyttämisestä.
  • Järjestää riskianalyysityöpajat tai muut riskien keruun tilaisuudet.

Toteutustiimi

  • On mukana keräämässä riskitaulukkoon uhat ja määrittää niille todennäköisyyden ja vakavuuden.
  • Kun hyväksyttävä riskitaso on määritettu, ehdottaa riskienkäsittelysuunnitelmaan konkreettisia toimenpiteitä liian suurien riskien alentamiseksi halutulle tasolle.

Hankepäällikkö

  • Voi olla mukana keräämässä ja analysoimassa riskejä
  • On mukana valitsemassa riskien käsittelysuunnitelmaan valittuja uusia riskienhallintatoimia.
  • Huolehtii, että riskienkäsittelysuunnitelmaan päätetyt hallintatoimet tulevat listatuksi vaatimusmäärittelyyn, hankesuunnitelmaan, työjonoon, käyttötapauksiin tai muuhun soveltuvaan työtä ohjaavaan dokumenttiin. Jos tarvitaan hallintatoimia, jotka eivät kuulu hankkeen piiriin, delegoi ne muualle.

Järjestelmän käyttäjä

  • on mukana keräämässä ja analysoimassa riskejä
  • on mukana pohtimassa riskienhallintakeinoja

Käytännöt

Katso lisää tietoturvan riskianalyysi käytännöistä.

Laatukriteerit

  • Laatimisessa on noudatettu yleistä riskianalyysiprosessia.
  • Taulukkoa on ollut täyttämässä usea henkilö.
  • Taulukossa on otettu huomioon opit aiemmista vastaavista hankkeista.
  • Jokaisella ohjausryhmän asettaman riskitason ylittävällä riskillä on olemassa hallintakeino tai -toimenpide.
  • Ohjausryhmä on hyväksynyt lopputuloksen, ja erityisesti ne riskit, joille ei ole luotu hallintakeinoja.
Luonnos