Ennen tietoturvaperiaatteiden ja -käytäntöjen kirjaamista yrityksen olisi hyvä tietää suojeltavat kohteet, niitä uhkaavat riskitekijät sekä yleiset linjaukset tietoturvapolitiikan muodossa. Lisäksi on tunnistettava lainsäädännön ja mahdollisten sopimusvelvoitteiden vaatimukset. Näiden kaikkien asiakirjojen laatiminen ei ole pakollista, mutta ne helpottavat olennaisesti yrityksen tietoturvatyöskentelyä. Laajamittainen dokumentointi auttaa myös tietoturvan hallintajärjestelmän organisoimisessa ja siitä on hyötyä esimerkiksi tietoturvasertifikaattia hakiessa. [1] Tämän tutkimuksen liiteosiossa on myös taulukoita, joiden tarkoituksena on auttaa yritysjohtoa suunnittelemaan ja toteuttamaan kattava tietoturvadokumentaatio.
Yrityksen toimialasta ja koosta riippuen tietoturvatarpeet vaihtelevat runsaasti erityisesti teknisten ja fyysisten vaatimusten osalta. Esimerkiksi muutaman henkilön työllistävä mainostoimisto ei tarvitse niin hyvin fyysisesti suojattua toimitilaa kuin keskisuuri tietoliikenneratkaisuja tarjoavat yritys. Tässä tutkimuksessa on pyritty selvittämään tietoturvan osa-alueita niin laajasti, että niistä olisi hyötyä mahdollisimman monelle yritykselle. Sen takia joidenkin osioiden kuvaukset saattavat olla huomattavasti laajempia kuin toiset.
Lue seuraavaksi lainsäädännön vaikutuksesta tietoturvaan tai palaa sisällysluetteloon.
Lähteet
1 (Hakala ym. 2006, 108, 112.)