Yrityksen tietoturvalliset toimintatavat tarvitsevat johtamista ja kehittämistä, kuten muutkin yleiset liiketoiminnan prosessit. Hallinnollinen tietoturva sisältää menettelytavat muiden tietoturvan osa-alueiden ohjaamiseen. Tavoitteena on varmistaa, että kaikki eri osa-alueet ovat tarpeeksi hyvällä tasolla. Hallinnollisen tietoturvan näkyvimpiä tuotoksia ovat henkilöstön organisointi, yleiset linjaukset sekä erilaiset dokumentit, kuten tietoturvapolitiikka. [1] Liitteessä 1 olevassa taulukossa on listattuna muita oleellisia asioita, joita yrityksen pitäisi huomioida hallinnollisen tietoturvan näkökulmasta. Esimerkiksi yritysjohdon osallistuminen ja vastuualueiden jakaminen ovat tärkeitä tietoturvan hallinnan kannalta.
Tietoturvan johtamista pidetään erittäin laajana käsitteenä. Yrityksen ei silti välttämättä tarvitse tehdä muuta kuin varmistaa, että yleiset toimintatavat ovat lainsäädännöllisesti oikein. Esimerkkinä tästä voidaan pitää henkilötietojen käsittelyä. Laajempi johtaminen on kuitenkin suotavampaa, jotta yritys pystyy varautumaan mahdollisiin riskeihin ja ongelmatapauksiin. Erilaisten suunnitelmien laatiminen auttaa selviämään esimerkiksi poikkeustilanteista. Tärkeintä on kuitenkin sisällyttää tietoturvalliset toimintatavat päivittäisiin prosesseihin. Näin varmistetaan se, että tietoturva huomioidaan joka päivä sekä työntekijöiden että yritysjohdon tasolla.[2]
Lue seuraavaksi fyysisestä tietoturvasta tai palaa sisällysluetteloon.
Liitteen 1 sisältö: Tärkeimmät hallinnollisessa tietoturvassa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 32–34; ISF 2007, 15–23)
Liitteet taulukkomuodossa opinnäytetyön liiteosiossa
Nykytilan kartoitus
Tunnistetaan tietoturvan nykyinen taso, kehityskohteet ja lainsäädännön vaikutukset toimintaan.
Riskienhallinta
Sisäisten ja ulkoisten riskien kartoitus ja analysointi. Yritysjohdon osallistuminen Sitoutuminen tietoturvatyöhön ja tarvittavien resurssien osoittaminen.
Tietoturvapolitiikka
Laaditaan yrityksen toimintaa ohjaava tietoturvapolitiikka. Vastuualueet, organisointi ja viestintä Nimetään erityisesti tietoturvasta vastaavat henkilöt. Sovitaan viestintä ja raportointikäytännöistä.
Tietoturvaohjelman laatiminen
Tarpeeksi kattavan ohjeistuksen ja koulutuksen tarjoaminen työntekijöille. Päämääränä tietoturvatietouden lisääminen ja ohjeiden kehittäminen.
Sopimukset
Tietoturva-asioista mainitseminen henkilöstöön, asiakkaisiin tai ulkoistukseen liittyvissä sopimuksissa.
Suunnitelmat
Jatkuvuus-, toipumis- ja tietoturvan kehittämissuunnitelmien laatiminen ja ylläpito
—
Lähteet
1 (Ruohonen 2002, 5; Hakala ym. 2006, 10–11.)
2 (Laaksonen ym. 2006, 115–116.)