Itsearvioinnin rakenne

Itsearvioinnin kysymykset koostuvat seuraavista osa-alueista:

1. Yrityksen perustiedot

a. Yrityksen perustietoihin kerätään Kaupparekisterin mukaiset viralliset tiedot yrityksestä. Tietoihin pyydetään sisällyttämään tieto yrityksen edellisen tilikauden bruttoliikevaihdosta. Tietoa bruttoliikevaihdosta käytetään FINCSC:n akkreditointielimen, JYVSECTEC:n tilastointitarkoituksiin.

2. Arvioinnin rajaus

a. Arvioinnin rajauksessa on mahdollista kohdistaa arviointi joko koko yritykseen tai rajata se koskemaan vain tiettyä osaa siitä. Rajatessa arviointia koskemaan vain osaa yritystäon yrityksen yksityiskohtaisesti kuvattava arvioinnin kohteena olevan osan fyysisen sijainti, ulkoverkon rajapinnat ja arvioitavat tietojärjestelmät sekä arvioitavaan osaan liittyvät omistus- ja johtosuhteet. Ilman arvioinnin rajausta kysymykset kattavat sekä yrityksen ja henkilöstön käytössä ja hallinnassa olevat pääte- ja verkkolaitteet että yrityksen sisäverkon palvelut.

3. Hallinnollinen turvallisuus

a. Hallinnollisen turvallisuuden kysymysalueella arvioidaan yrityksen hallinnollisia keinoja johtaa ja ohjata kyberturvallisuuden kokonaisuutta, määritellä vastuita sekä asettaa pitkän ja lyhyen kantaman tavoitteita ja osoittaa toiminnan suuntaviivoja.

b. Vastuiden ja valtuuksien määrittelemättömyys ja tavoitteiden puuttuminen voivat aiheuttaa epätietoisuutta henkilöstön rooleja sekä yrityksen arvoja ja kehitystä kohtaan kustannustehottomaan toimintaan.

c. Henkilörooleja jäsentämällä ja tavoitteita asettamalla yritys viestii sekä sisäisille ja ulkoisille kohderyhmille tekemisen tilastaan ja tahdostaan menestyä kehittyvillä markkinoilla että halustaan panostaa ja sitoutua tietoturvallisiin ratkaisuihin.

4. Henkilöstöturvallisuus

a. Henkilöstöturvallisuuden kysymysalueella arvioidaan yrityksen hallinnollisia keinoja varmistua henkilöstön soveltuvuudesta työtehtäviinsä sekä huolehtia henkilöstön ammatillisesta osaamisesta tietoturvallisiin työmenetelmiin.

b. Väärät rekrytoinnit ja osaamaton henkilöstö voivat rikostaustallaan ja osaamisen puutteillaan estää asiakastoimeksiantoihin osallistumisen, heikentää työsuoritusten laatua tai heikentää henkilöstön motivaatiota sitoutua omaan työhön.

c. Henkilöstön luotettavuuden ja osaamisen arvioinneilla sekä oikeilla ja kattavilla rekrytointimenetelmillä yritys huolehtii paitsi työnantajan myös työntekijän eduista ja odotuksista työtä ja omaa työtehtävää kohtaan.

5. Riskien- ja jatkuvuudenhallinta

a. Riskien- ja jatkuvuudenhallinnan kysymysalueella arvioidaan yrityksen kykyä tunnistaa liiketoiminnan suojattavia kohteita ja niihin kohdistuvia uhkia, sekä keinoja hallita liiketoimintaan ja sen jatkuvuuteen liittyviä riskejä.

b. Tiedostamattomat ja tunnistamattomat negatiiviset riskit voivat toteutuessaan aiheuttaa haittaa tai merkittävää vahinkoa paitsi yrityksen liiketoiminnalle ja sen jatkuvuudelle myös asiakassuhteiden ylläpidolle ja niiden kehittämiselle.

c. Määrittämällä liiketoiminnan suojattavia kohteita ja nimeämällä niihin kohdistuvia tunnistettavia riskejä yritys rakentaa kuvaa omasta toimintaympäristöstään, sekä siihen liittyvistä menestymisen mahdollisuuksista ja mahdollisista esteistä.

6. Arvioitavan ICT-ympäristön pääsynhallinta

a. Arvioitavan ICT-ympäristön pääsynhallinnan kysymysalueella arvioidaan yrityksen keinoja varmistua tietoverkon ja verkon palveluiden olevan ainoastaan valtuutettujen käyttäjien ja ylläpitäjien hyödynnettävissä ja hallinnassa.

b. Pääsyoikeuksien ja käyttövaltuuksien huolimaton käsittely tai hallinnan laiminlyönnit voivat antaa sivulliselle esteettömän pääsyn käyttää oikeudetta verkon palveluita taikka muutoin heikentää tai vaarantaa verkon tietoturvallisuutta.

c. Täsmällisellä pääsyoikeuksien ja käyttövaltuuksien myöntämisprosessilla ja jo myönnettyjen pääsyoikeuksien ja käyttövaltuuksien määräaikaisella tarkastamisella yritys sekä varmistaa tietojen saatavuutta että välttää niiden luvatonta käyttöä.

7. Toimintatavat ja järjestelmien hallinta

a. Toimintatavat ja järjestelmien hallinta kysymysalueella arvioidaan yrityksen keinoja varmistua uusien, käyttöönotettavien pääte- ja verkkolaitteiden asennusten tietoturvallisuudesta sekä kyvystä huolehtia laitteiden tietoturvallisesta ylläpidosta.

b. Pääte- ja verkkolaitteiden oletusasetukset ja – ohjelmat voivat muuttamattomina sisältää tarpeettomia ominaisuuksia, jotka altistavat tietoverkon erilaisille haavoittuvuuksille ja kasvattavat riskiä joutua tietorikoksen kohteeksi.

c. Pääte- ja verkkolaitteiden hallitulla käyttöönotolla ja ohjelmistojen tietoturvallisella asennuksella yritys paitsi investoi omaan tieto- ja kyberturvallisuuteensa myös välttää laitteiden ja ohjelmistojen yhteensopimattomuudesta aiheutuvia häiriöitä.

8. Haittaohjelmat ja tietomurrot

a. Haittaohjelmat ja tietomurrot kysymysalueella arvioidaan yrityksen keinoja suojautua verkko- ja ohjelmistohaavoittuvuuksilta sekä niihin liittyviltä sisäisiltä ja ulkoisilta uhilta, jotka voivat toteutuessaan haitata tai vahingoittaa liiketoimintaa.

b. Haittaohjelmat voivat tietoverkkoon sisään päästessään tai verkon laitteille istutettaessa kuluttaa hallitsemattomasti verkon rajallisia resursseja, varastaa asiakas- ja liiketietoja taikka estää palveluiden käyttöä tai tietoihin pääsyä.

c. Ottamalla päätelaitteilla käyttöön virustorjuntaohjelmia ja huolehtimalla niiden ajantasaisesta päivittämisestä yritys voi ennalta ehkäistä verkon suorituskykyyn sekä palveluiden ja tietojen tietoturvallisuuteen liittyviä häiriöitä, haittoja ja vahinkoja.

9. Tietojärjestelmien ja Internetin välinen suojaus

a. Tietojärjestelmien ja Internetin välinen suojaus kysymysalueella arvioidaan yrityksen keinoja rajata ja suojata sisäverkon resursseja ja palveluita yrityksen ulkoverkosta tulevilta yhteydenotoilta ja mahdollisilta tietoverkkohyökkäyksiltä.

b. Verkkolaitteiden ja ohjelmistojen konfigurointivirheet sekä virheet ohjelmistojen toteutuksessa voivat lisätä sisäverkon palveluiden näkyvyyttä ulkoverkkoon ja tätä kautta kasvattaa verkkorikollisten käytössä olevaa hyökkäyspinta-alaa.

c. Verkkolaitteiden huolellisella konfiguroinnilla, ohjelmistojen asentamisella luotettavista lähteistä ja verkon tehokkaalla palomuurauksella yritys valvoo verkkoliikennettä ja torjuu sekä ulko- ja sisäverkosta tulevia hyökkäyksiä.

10. Fyysinen turvallisuus

a. Fyysinen turvallisuus kysymysalueella arvioidaan yrityksen keinoja suojata toimitiloja sekä niissä olevaa kiinteää ja irtainta omaisuutta murto-, palo- ja vuotovahingoilta sekä omaisuuden anastamiselta ja luvattomalta käytöltä.

b. Heikkoudet tilojen rakenteissa, lukituksessa ja välineistössä sekä irtaimen omaisuuden huolimattomassa säilytyksessä voivat paitsi altistaa tilat ja omaisuuden erilaisille riskeille myös heikentää hallinnollisten ja teknisten tietoturvakontrollien antamaa suojaa.

c. Tilojen rakenteisiin ja lukitukseen sekä kiinteän ja irtaimen omaisuuden sijoitteluun ja säilytykseen huomiota kiinnittämällä yritys minimoi niin mahdollisten vahinkojen ja riskien todennäköisyyttä kuin täydentää muiden tietoturvakontrollien suojaa.

11. Tietojen oikeellisuuden vahvistus

a. Tietojen oikeellisuuden vahvistaa yrityksen Kaupparekisteriin merkitty, asiassa nimenkirjoitusoikeuden omaava, luonnollinen henkilö.