P01 Tietoturvapolitiikka

P01 Tietoturvapolitiikka määrittää organisaation perustavan sitoumuksen suojata tietovarallisuutensa luottamuksellisuutta, eheyttä ja saatavuutta. Edellyttämällä muodollisen tietoturvallisuuden hallintajärjestelmän (ISMS) käyttöönottoa politiikka asettaa strategisen suunnan, joka on olennainen koko organisaation kattavan, riskiperusteisen, mitattavan ja jatkuvan parantamisen periaatteeseen perustuvan tietoturvan ylläpitämiseksi. Politiikan soveltamisala on kattava ja sitoo kaikki työntekijät, urakoitsijat, kolmannen osapuolen palveluntarjoajat sekä kaikki fyysiset ja digitaaliset ympäristöt, jotka osallistuvat yrityksen tietojen käsittelyyn. Se kattaa koko tiedon elinkaaren ja asettaa tiukat vaatimukset sille, että kaikki soveltamisalan rajat ja poissulkemiset on dokumentoitava ja ylimmän johdon hyväksyttävä. Tämä sitova soveltaminen varmistaa suojausstandardien yhdenmukaisuuden koko liiketoiminnassa omaisuuserän sijainnista tai käyttötarkoituksesta riippumatta. Määritellyt tavoitteet eivät pyri ainoastaan täyttämään kansainvälisten standardien, kuten ISO/IEC 27001:2022, NIST SP 800-53 ja COBIT 2019, vaatimustenmukaisuutta, vaan myös edistämään kulttuuria, jossa sisäänrakennettu tietoturva on osa päivittäistä toimintaa, kumppanuuksia ja liiketoimintasovelluksia. Tätä varten nimetyt roolit ja vastuut selkeyttävät odotukset ylimmälle johdolle, tietoturvavastaaville, omaisuuden omistaja -rooleille, IT- ja teknisen toiminnan henkilöstölle sekä koko henkilöstölle. Näin varmistetaan, että jokainen – ylimmästä johdosta ulkoisiin urakoitsijoihin – ymmärtää velvollisuutensa organisaation turvallisuuden ylläpitämisessä sekä tietoturvapoikkeamiin reagoinnissa, koulutuksessa ja auditointitoiminnoissa. Hallintotapa tietoturvallisuuden hallintajärjestelmässä on politiikan keskeinen pilari. Se edellyttää muodollistettuja rakenteita, kuten ohjausryhmiä sekä rooli- ja vastuumatriisia, jotta voidaan valvoa tietoturvallisuuden hallintajärjestelmän toimivuuden jatkuvaa arviointia ja mahdollistaa oikea-aikainen johdon katselmus. Politiikka kuvaa poikkitoiminnallisen integraation vaatimukset ja varmistaa, ettei tietoturva ole siiloutunut, vaan se on integroitu projektinhallintaan, hankintaan, henkilöstöhallintoon sekä laki- ja vaatimustenmukaisuustoimintoihin. Katselmointi- ja päivitysmenettelyt ovat tiukasti säänneltyjä, ja niihin sisältyy versionhallinta sekä ylimmän johdon nimenomainen hyväksyntä, mikä tukee vastuuvelvollisuutta ja sääntelyyn liittyvää puolustettavuutta. Sääntely-, asiakas- ja auditointivaatimusten täyttämiseksi politiikka edellyttää, että kaikki dokumentoidut hallintakeinot ja niitä tukeva dokumentaatio ovat auditoitavia ja todennettavia. Se määrittelee selkeät polut riskiperusteiseen hallintakeinojen valintaan, poikkeusten käsittelyyn ja jäännösriskin hyväksyntään. Täytäntöönpano ja vaatimustenmukaisuus varmistetaan konkreettisilla seuraamuksilla politiikkojen noudattamisvaatimusten rikkomisesta, väärinkäytösten ilmoitusmekanismien suojauksilla sekä pakollisilla koulutusohjelmilla. Kytkennät muihin keskeisiin organisaation politiikkoihin – roolit ja vastuut, hyväksyttävän käytön politiikkaan (AUP), pääsynhallintapolitiikkaan, riskienhallintaan sekä auditointiin ja vaatimustenmukaisuuteen – varmistavat täyden yhdenmukaisuuden tietoturvallisuuden hallintajärjestelmässä yhtenäistä riskienhallintaa ja vaatimustenmukaisuuden hallintaa varten.