Infoturbe nõuded (EN ISO 19650-5): Develop a security strategy

Infoturbe nõuded (EN ISO 19650-5)

Adopting a security minded approach (open and shared data)

Develop a security strategy

Turvastrateegia tuleks välja töötada, seda hallata, jälgida ja vajaduse korral ajakohastada. See peaks dokumenteerima:

turvatriaažiprotsessiga määratud turvaprobleemid ja -nõuded;
andmeturbe juhtimise kord;
tuvastatud turvariskid;
turvalisuse vähendamise meetmed, mida tuleb rakendada lubamatute turvariskide käsitlemiseks;
kõik talutavad turvariskid;
strateegia läbivaatamise ja ajakohastamise mehhanismid.

Läbivaatamise protsess peaks tuvastama ja hindama kõiki riske, mis on muutunud poliitilistel, majanduslikel, sotsiaalsetel, tehnoloogilistel, õiguslikel või keskkonnaalastel põhjustel, ning seda tuleks teha:

enne andmekogumi jagamist;
perioodiliselt hinnata andmete koondamise riske;
turvarikkumise või vahejuhtumi korral;
vastuseks andmete analüüsimise uute vahendite ja tehnikate väljatöötamisele.

Strateegia on tundlik dokument ja seetõttu tuleks juurdepääsu sellele hallata teadmisvajaduse alusel koos asjakohaste turvameetmetega seoses selle loomise, säilitamise, levitamise ja kasutamisega.