Kenelle tämä politiikkakokonaisuus on tarkoitettu?

Pienille ja keskisuurille yrityksille, jotka pyrkivät saavuttamaan tai ylläpitämään vaatimustenmukaisuuden ISO/IEC 27001:2022:n, GDPR:n, NIS2:n, DORA:n ja niihin liittyvien viitekehysten kanssa. Ihanteellinen yrityksille ilman omistautuneita tietoturvajohtajia (CISO) tai sisäisiä IT-tietoturvaosastoja.

Miten tämä paketti tukee auditointivalmiutta?

Jokainen politiikka edellyttää dokumentaatiota, versionhallintaa, säännöllisiä katselmointeja ja tarkastusjäljen säilytystä. Poikkeukset ja riskien käsittely kirjataan muodollisesti ulkoisia tai sertifiointiauditointeja varten.

Mikä tekee tästä pk-yritysten politiikkakokonaisuudesta ainutlaatuisen?

Kaikki politiikat on roolikohtaisesti mukautettu pk-yrityksille siten, että vastuuvelvollisuus on toimitusjohtajilla ja tiiminvetäjillä eikä vaadi erikoistunutta tietoturvahenkilöstöä. Ne hyödyntävät tarkistuslistoja ja yksinkertaistettua kieltä, mutta ovat täysin vaatimustenmukaisia keskeisten standardien kanssa.

Sisältyvätkö pilvi, etätyö ja BYOD?

Kyllä. Kokonaisuus kattaa pilven käytön, etä-/hybridityön sekä omien laitteiden käytön (BYOD) / mobiililaitteiden politiikat täytäntöönpantavilla pääsynhallinta- ja turvallisuusvaatimuksilla.

Voiko tämän integroida ulkoisten toimittajien kanssa?

Kyllä, toimittaja- ja ulkoistetun kehityksen politiikat edellyttävät, että kaikki toimittajat allekirjoittavat ja noudattavat tietoturvaehtoja, mukaan lukien ilmoitettavat tietoturvaloukkaukset ja tarkastusoikeudet.

Täysi SME-paketti (P01S-P37S)

Yleiskatsaus

Täysi SME-paketti (P01S-P37S) tarjoaa täydellisen, auditointivalmiin kyberturvallisuus- ja IT-hallintotavan politiikkakokonaisuuden, joka kattaa kaikki pk-yritysten tietoturvavaatimukset. Jokainen politiikka on mukautettu pk-yritysten johtajille (toimitusjohtajille), suunniteltu nimenomaisesti organisaatioille ilman omistautuneita tietoturvatiimejä, ja se on täysin linjassa ISO/IEC 27001:2022:n, GDPR:n, NIS2:n, DORA:n ja muiden kanssa.

Täydellinen pk-yritysten vaatimustenmukaisuus

Kattaa 37 politiikkaa ja varmistaa täyden yhdenmukaisuuden ISO/IEC 27001:n, GDPR:n, NIS2:n, DORA:n ja COBITin kanssa pk-yrityksille ilman suuria IT-tiimejä.

Auditointivalmiit hallintakeinot

Kaikki politiikat sisältävät auditointidokumentaatiovaatimukset, versionhallinnan, katselmointitriggerit ja korjaavat toimenpiteet -prosessit.

Käytännöllinen pk-yritysten hallintotapa

Roolit on kohdistettu toimitusjohtajalle ja tiiminvetäjille; ei vaadi tietoturvajohtajaa (CISO) tai tietoturvaoperaatiokeskusta (SOC). Suunniteltu omistajavetoisille yrityksille.

Täytäntöönpantava selkeä ohjeistus

Vaiheittaiset säännöt, tarkistuslistat ja poikkeusten käsittely käyttäjäystävällisiin, täytäntöönpantaviin kyberturvallisuuskäytäntöihin.

Valmis ISO 27001 -sertifiointiin

Suora kartoitus kaikkiin ISO/IEC 27001:2022- ja 27002:2022-lausekkeisiin auditointia ja sertifiointivarmuutta varten.

Lue koko yleiskatsaus

Tämä Täysi SME-paketti (P01S-P37S) tarjoaa kattavan kyberturvallisuus- ja IT-hallintotavan politiikkakokonaisuuden, joka on rakennettu pienille ja keskisuurille yrityksille (pk-yrityksille). Se vastaa täysimääräisesti ISO/IEC 27001:2022:n, ISO/IEC 27002:2022:n, NIST SP 800-53 Rev.5:n, EU GDPR:n, EU NIS2:n, EU DORA:n, COBIT 2019:n ja muiden keskeisten viitekehysten vaatimuksiin, mutta säilyy käytännöllisenä ja virtaviivaisena organisaatioille ilman omistautuneita sisäisiä IT- tai tietoturvaoperaatioita (kuten tietoturvajohtajaa (CISO) tai tietoturvaoperaatiokeskusta (SOC)). Tämä politiikkakokonaisuus erottuu pk-yrityksille parhaiten sopivana räätälöidyn roolirakenteensa ansiosta: valtaosa keskeisistä vastuista osoitetaan toimitusjohtajalle tai vastaavalle liiketoiminnan omistajalle, mukaan lukien hyväksyntä, vastuiden delegointi, politiikan katselmointi ja poikkeusten hallinta. Kun teknisiä tehtäviä vaaditaan, selkeät ohjeet mahdollistavat ulkoistamisen luotetuille IT-tukipalveluntarjoajille tai osoittamisen nimetyille sisäisille työntekijöille tai osastopäälliköille. Jokainen politiikka varmistaa vastuuvelvollisuuden muodollisilla hyväksyntälokeilla, versionhallinnalla, dokumentoidut poikkeukset -käytännöillä ja säännöllisillä katselmointivaatimuksilla, mikä tekee kokonaisuudesta vahvan sisäisiä ja ulkoisia auditointeja varten. Sisältä käyttäjät löytävät politiikat, jotka kattavat jokaisen nykyaikaisen pk-yrityksen tietoturvan kriittisen osa-alueen. Näihin kuuluvat: selkeät ISMS:n soveltamisala -kuvaukset, yksityiskohtaiset säännöt testaukselle ja pääsylle (ilman tarvetta pentest-menetelmille politiikoissa määriteltyä laajemmin), vastuiden selkeä osoittaminen ja delegointi (seuranta- ja eskalointiherätteillä), auditointia tukevat toimenpiteet (lokit, muutoshistoriat, koulutussuoritustiedot), tietojen käsittelymenettelyt, jotka sisältävät GDPR:n mukaiset tietosuoja- ja säilytyssäännöt, tekniset standardit pilvelle, omien laitteiden käytölle (BYOD), etä-/hybridityölle sekä fyysisiin ja digitaalisiin tietoturvapoikkeamiin reagointi -toiminnalle, mukaan lukien oikeudellinen säilytys ja poistamisen keskeyttäminen, forensinen todistusaineisto ja juurisyyanalyysi. Rakenne on systemaattinen: jokainen politiikka määrittelee oman tarkoituksensa, soveltamisalansa, tavoitteensa, roolinsa, hallintotavan vaatimukset, toteutusvaiheet, riskien käsittelyn ja poikkeusten käsittelyn, täytäntöönpano ja vaatimustenmukaisuus -osion sekä päivitysprotokollat. Lisäksi kunkin politiikan kytkennät muihin asiakirjoihin (esim. pääsynhallinta, tietoturvapoikkeamiin reagointi, tietosuoja ja tietojen minimointi) muodostavat integroidun, kerroksellisen syvyyspuolustus- ja hallintomallin. Erityisesti katselmointi- ja päivitysosiot edellyttävät vuosittaisia politiikkakatselmointeja, versiointia ja viestintää kaikille asiaankuuluville työntekijöille ja kolmansille osapuolille, mikä varmistaa ajantasaisen valmiuden, kun sääntely tai liiketoimintakäytännöt muuttuvat. Tämä tuote on selkeästi tunnistettu pk-yritysten politiikkakokonaisuudeksi (pk-yritysmerkintä 'S' asiakirjanumeroissa ja toimitusjohtajavetoisten prosessien maininta). Sen käytännöllinen ja täytäntöönpantava lähestymistapa yhdistettynä tiukkaan sääntely- ja sertifiointiyhdenmukaisuuteen tekee siitä sopivan omistajavetoisille yrityksille, nopeasti kasvaville scale-up-yrityksille ja resurssirajoitteisille organisaatioille, joiden on saavutettava tai ylläpidettävä korkea vaatimustenmukaisuuden ja toiminnallisen resilienssin taso myös ilman erikoistuneita tietoturvaroolia henkilöstössä.

Sisältö

Soveltamisala ja toimintasäännöt

Rooli- ja vastuumatriisi

Pääsynhallinta- ja muutoksenhallintamenettelyt

Tietosuoja- ja yksityisyydensuojan säännöt

Tietoturvapoikkeamiin reagointi ja todistusaineiston käsittely

Auditointi-, laki- ja sääntelyvaatimustenmukaisuuden prosessit

Kehysmääräysten noudattaminen

Kehys	Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Kehys

Katetut lausekkeet / Kontrollit

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Liittyvät käytännöt

Hallintotavan roolit ja vastuut -politiikka – pk-yritys

Tämä politiikka määrittelee, miten tietoturvan hallintotavan vastuut osoitetaan, delegoidaan ja hallinnoidaan organisaatiossa, jotta varmistetaan täysi vaatimustenmukaisuus ISO/IEC 27001:2022:n ja muiden sääntelyvelvoitteiden kanssa.

Puhtaan pöydän ja puhtaan näytön politiikka – pk-yritys

Tämä politiikka määrittää täytäntöönpantavat suuntaviivat turvallisen työympäristön ylläpitämiseksi varmistamalla, että pöydät, työasemat ja näyttöruudut pidetään vapaina näkyvistä luottamuksellisista tiedoista, kun ne ovat valvomatta.

Päätelaitesuojaus ja haittaohjelmapolitiikka – pk-yritys

Tämä politiikka määrittelee vähimmäistason tekniset, menettelylliset ja käyttäytymiseen liittyvät vaatimukset kaikkien päätelaitteiden — kuten kannettavien tietokoneiden, pöytäkoneiden, mobiililaitteiden ja siirrettävien tallennusvälineiden — suojaamiseksi pahantahtoiselta koodilta.

Tietoturvapolitiikka – pk-yritys

Tämä politiikka osoittaa organisaatiomme sitoutumisen asiakkaiden ja liiketoiminnan tietojen suojaamiseen määrittelemällä selkeästi vastuut ja käytännölliset turvallisuustoimenpiteet, ja se soveltuu organisaatioille ilman omistautuneita IT-tiimejä.

Hyväksyttävän käytön politiikka – pk-yritys

Tämä politiikka määrittelee yrityksen tarjoamien järjestelmien, laitteiden, internetyhteyden, sähköpostin, pilvipalvelujen sekä kaikkien liiketoiminnassa käytettävien henkilökohtaisten laitteiden hyväksyttävän, vastuullisen ja turvallisen käytön.

Pääsynhallintapolitiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio hallinnoi pääsyä järjestelmiin, tietoihin ja toimitiloihin varmistaakseen, että vain valtuutetut henkilöt voivat käyttää tietoja liiketoiminnan tarpeen perusteella.

Muutoksenhallintapolitiikka – pk-yritys

Tämä politiikka varmistaa, että kaikki muutokset IT-järjestelmiin, kokoonpanoihin, liiketoimintasovelluksiin tai pilvipalveluihin suunnitellaan, riskien arviointi tehdään, ne testataan ja hyväksytään ennen käyttöönottoa.

Riskienhallintapolitiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio tunnistaa, arvioi ja hallinnoi tietoturvaan, toimintaan, teknologiaan ja kolmannen osapuolen palveluntarjoajiin liittyviä riskejä.

Perehdytys- ja työsuhteen päättämispolitiikka – pk-yritys

Tämä politiikka määrittelee prosessin uusien työntekijöiden tai urakoitsijoiden perehdyttämiseksi sekä käyttöoikeuksien turvalliseksi poistamiseksi, kun henkilöt poistuvat tai vaihtavat roolia.

Tietoturvatietoisuus- ja koulutuspolitiikka – pk-yritys

Tämä politiikka varmistaa, että kaikki työntekijät ja urakoitsijat ymmärtävät vastuunsa tietoturvan osalta.

Etätyöpolitiikka – pk-yritys

Tämä politiikka määrittää tietoturvavaatimukset etänä työskenteleville työntekijöille ja urakoitsijoille, mukaan lukien kotoa, jaetuista työtiloista tai matkustaessa.

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka – pk-yritys

Tämä politiikka määrittää säännöt käyttäjätilien ja käyttöoikeuksien hallinnan toteuttamiseksi turvallisesti, johdonmukaisesti ja jäljitettävästi.

Omaisuudenhallintapolitiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio tunnistaa, seuraa, suojaa ja poistaa käytöstä tietovarallisuutensa, mukaan lukien sekä fyysiset että digitaaliset komponentit.

Tietojen luokittelu- ja merkintäpolitiikka – pk-yritys

Tämä politiikka määrittelee, miten kaikki organisaation käsittelemät tiedot on luokiteltava ja merkittävä, jotta luottamuksellisuus, eheys ja saatavuus säilyvät koko elinkaaren ajan.

Tietojen säilytys- ja hävityspolitiikka – pk-yritys

Tämän politiikan tarkoituksena on määritellä täytäntöönpantavat säännöt tietojen säilytykselle ja turvalliselle hävittämiselle pk-yritysympäristössä.

Varmuuskopiointi- ja palautuspolitiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio toteuttaa ja hallinnoi varmuuskopioita liiketoiminnan jatkuvuuden varmistamiseksi, tietojen menetyksen estämiseksi ja oikea-aikaisen toipumisen mahdollistamiseksi poikkeamista.

Tietojen maskaus- ja pseudonymisointipolitiikka – pk-yritys

Tämä politiikka määrittelee täytäntöönpantavat vaatimukset tietojen maskauksen ja pseudonymisoinnin käytölle arkaluonteisten, henkilötietojen ja luottamuksellisten tietojen suojaamiseksi pienissä ja keskisuurissa yrityksissä (pk-yrityksissä).

Tietosuoja- ja yksityisyydensuojapolitiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio suojaa henkilötietoja lakisääteisten velvoitteiden, sääntelyviitekehysten ja kansainvälisten tietoturvastandardien mukaisesti.

Kryptografisten hallintakeinojen politiikka – pk-yritys

Tämä politiikka määrittelee pakolliset vaatimukset salauksen ja kryptografisten hallintakeinojen käytölle liiketoiminta- ja henkilötietojen luottamuksellisuuden, eheyden ja aitouden suojaamiseksi.

Haavoittuvuuksien ja korjauspäivitysten hallintapolitiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio tunnistaa, arvioi ja lieventää haavoittuvuuksia järjestelmissä, sovelluksissa ja infrastruktuurissa.

Verkkoturvallisuuspolitiikka – pk-yritys

Tämän politiikan tarkoituksena on varmistaa, että kaikki sisäinen ja ulkoinen verkkoviestintä on suojattu luvatonta pääsyä, manipulointia, salakuuntelua tai väärinkäyttöä vastaan selkeästi määritellyillä tietoturvakontrolleilla.

Lokitus- ja valvontapolitiikka – pk-yritys

Tämä politiikka määrittää pakolliset lokitus- ja seuranta-hallintakeinot organisaation IT-järjestelmien turvallisuuden, vastuuvelvollisuuden ja toiminnallisen eheyden varmistamiseksi.

Aikasynkronointipolitiikka – pk-yritys

Tämä politiikka määrittää pakolliset hallintakeinot tarkan, synkronoidun ajan ylläpitämiseksi kaikissa järjestelmissä, jotka tallentavat, siirtävät tai käsittelevät organisaation tietoja.

Turvallinen kehittäminen -politiikka – pk-yritys

Tämä politiikka varmistaa, että kaikki organisaation tai sen ulkoisten kumppaneiden luomat tai muokkaamat ohjelmistot, skriptit ja verkkopohjaiset työkalut kehitetään turvallisesti, minimoiden haavoittuvuuksien riskin.

Sovellusturvallisuusvaatimusten politiikka – pk-yritys

Tämä politiikka määrittelee vähimmäistason pakolliset sovellusturvallisuuden hallintakeinot kaikille organisaation käyttäville ohjelmisto- ja järjestelmäratkaisuille riippumatta siitä, kehitetäänkö ne sisäisesti vai hankitaanko ne ulkoisilta toimittajilta.

Kolmannen osapuolen ja toimittajien tietoturvapolitiikka – pk-yritys

Tämä politiikka määrittää pakolliset tietoturvavaatimukset kolmansien osapuolten ja toimittajien kanssa tehtävien suhteiden aloittamiseen, hallintaan ja päättämiseen, kun he pääsevät käsiksi tai vaikuttavat organisaation tietoihin, järjestelmiin tai palveluihin.

Pilven käyttöpolitiikka – pk-yritys

Tämä politiikka määrittelee, miten pilvipalveluja voidaan käyttää turvallisesti organisaatiossa. Se varmistaa, että pilvessä käsiteltävät tai tallennettavat tiedot suojataan, pääsyä hallitaan ja riskejä hallitaan vastuullisesti.

Ulkoistetun kehityksen politiikka – pk-yritys

Tämä politiikka varmistaa, että kaikki ulkoistettu ohjelmistokehitys — riippumatta siitä, toteuttavatko sen freelancerit, toimistot tai kolmannen osapuolen palveluntarjoajat — tehdään turvallisesti, sopimuksellisesti hallitusti ja sovellettavien lakisääteisten velvoitteiden, sääntelyvelvoitteiden ja auditointivaatimusten mukaisesti.

Testidatan ja testiympäristön politiikka – pk-yritys

Tämä politiikka määrittelee, miten testidata ja testiympäristöt on hallittava, jotta estetään vahingossa tapahtuva altistuminen, tietoturvaloukkaukset tai toiminnalliset häiriöt testauksen aikana.

Tietoturvapoikkeamiin reagoinnin politiikka (P30) – pk-yritys

Tämä politiikka määrittelee, miten organisaatio havaitsee, raportoi ja reagoi tietoturvapoikkeamiin, jotka vaikuttavat sen digitaalisiin järjestelmiin, tietoihin tai palveluihin.

Todistusaineiston keruun ja forensiikan politiikka – pk-yritys

Tämä politiikka määrittelee, miten organisaatio käsittelee digitaalista todistusaineistoa, joka liittyy tietoturvapoikkeamiin, tietoturvaloukkauksiin tai sisäisiin tutkintoihin.

Liiketoiminnan jatkuvuuden ja katastrofipalautuksen politiikka – pk-yritys

Tämä politiikka varmistaa, että organisaatio voi ylläpitää liiketoimintaa ja palauttaa olennaiset IT-palvelut häiriöiden aikana ja niiden jälkeen.

Auditointi- ja vaatimustenmukaisuuden seurannan politiikka – pk-yritys

Tämä politiikka määrittää organisaation lähestymistavan sisäisten auditointien, tietoturvakontrollien tarkastusten ja sääntelyvaatimusten noudattamisen seurannan toteuttamiseen.

Mobiililaitteiden ja omien laitteiden käyttö (BYOD) -politiikka – pk-yritys

Tämä politiikka määrittelee pakolliset tietoturvavaatimukset mobiililaitteiden — mukaan lukien älypuhelimet, tabletit ja kannettavat tietokoneet — käytölle, kun niillä käytetään yrityksen tietoja, järjestelmiä tai palveluja.

IoT/OT-tietoturvapolitiikka – pk-yritys

Tämä politiikka määrittelee pakolliset säännöt Internet of Things (IoT) systems- ja operatiivisen teknologian (OT) järjestelmät -laitteiden turvalliseen käyttöön ja hallintaan organisaatiossa.

Sosiaalisen median ja ulkoisen viestinnän politiikka – pk-yritys

Tämä politiikka määrittää pakolliset suuntaviivat kaikelle julkiselle viestinnälle — mukaan lukien sosiaalisen median käyttö, mediasuhteet ja ulkoinen digitaalinen sisältö — kun viitataan yritykseen, sen henkilöstöön, asiakkaisiin, järjestelmiin tai sisäisiin käytäntöihin.

Laki- ja sääntelyvaatimustenmukaisuuden politiikka – pk-yritys

Tämä politiikka määrittelee organisaation lähestymistavan lakisääteisten velvoitteiden, sääntelyvelvoitteiden ja sopimusvelvoitteiden tunnistamiseen, noudattamiseen ja noudattamisen osoittamiseen.

Tietoa Clarysecin käytännöistä - Täysi SME-paketti (P01S-P37S)

Yleiset tietoturvapolitiikat on usein rakennettu suuryrityksille, jolloin pienet yritykset joutuvat kamppailemaan monimutkaisten sääntöjen ja määrittelemättömien roolien kanssa. Tämä politiikka on erilainen. Pk-yritysten politiikkamme on suunniteltu alusta alkaen käytännön toteutukseen organisaatioissa ilman omistautuneita tietoturvatiimejä. Osoitamme vastuut rooleille, joita teillä oikeasti on, kuten toimitusjohtajalle ja IT-palveluntarjoajallenne, emme erikoistuntijoiden armeijalle, jota teillä ei ole. Jokainen vaatimus on jaettu yksilöllisesti numeroituun lausekkeeseen (esim. 5.2.1, 5.2.2). Tämä muuttaa politiikan selkeäksi, vaiheittaiseksi tarkistuslistaksi, mikä tekee siitä helpon toteuttaa, auditoida ja räätälöidä ilman kokonaisten osioiden uudelleenkirjoittamista.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT Tietoturva Vaatimustenmukaisuus Riski Yksityisyydensuoja Laki Sisäinen tarkastus Ylin johto Hankinta

🏷️ Aiheen kattavuus

Tietoturvapolitiikka Organisaation roolit ja vastuut Riskienhallinta Pääsynhallinta Poikkeamien hallinta Turvallinen kehittäminen Tietosuoja Liiketoiminnan jatkuvuuden hallinta Kolmannen osapuolen riskienhallinta Vaatimustenmukaisuuden hallinta Tietoturvaoperaatiot Lakisääteisten velvoitteiden noudattaminen Tietoturvatietoisuus Lokitus ja seuranta