Organisaation on pidettävä yllä luetteloa tärkeimmistä prosesseista, jotka liittyvät QMS:ään, tuotteiden/palvelujen toimittamiseen ja toiminnan ylläpitoon. Kullekin prosessille nimetään omistaja, joka on vastuussa prosessiin liittyvän dokumentaation täydentämisestä ja mahdollisista muista prosessiin suoraan liittyvistä laatutoimista.

Prosessien dokumentoinnin on sisällettävä vähintään seuraavat tiedot:

• prosessin tarkoitus
• linkki yksityiskohtaisempaan piirustukseen/kuvaukseen prosessin kulusta
• vaaditut syötteet ja odotetut tuotokset
• liittyvät resurssit (esim. tietojärjestelmät, tietovarannot ja -aineistot, yksiköt, toimipaikat, yhteistyökumppanit ja muut resurssit)
• prosessin toiminnan ja tehokkuuden seurantaan käytettävät mittarit
• muut tärkeät prosessiin liittyvät toimet (esim. analysoidut riskit, suunnitellut / toteutetut parannukset tai muutokset)

Organisaation on pidettävä luetteloa asiakkaille toimitetuista tuotteista / palveluista. Tuotteen / palvelun omistajat nimetään ja he ovat vastuussa siihen liittyvän dokumentaation ja mahdollisten muiden suoraan tuotteeseen / palveluun liittyvien laatutoimien täyttämisestä.

Tuotteen / palvelun dokumentaation on sisällettävä vähintään seuraavat tiedot:

• tuotteen/palvelun toimittamiseen tarvittava infrastruktuuri (esim. rakennukset, laitteet, tieto- ja viestintätekniikka...)
• hyväksyttävän tuotteen / palvelun määritellyt laatuvaatimukset
• tärkein laatuun liittyvä tuote- / palveluviestintä (esim. päivitykset, sopimukset, valitukset, palaute)

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Organisaation on laadittava ja ylläpidettävä dokumentaatio palveluidensa tarjoamiseen käytettävistä tietojärjestelmistä. Asiakirjoissa olisi kuvattava järjestelmän tekniset ominaisuudet, sen infrastruktuuri ja sen suojaamiseksi toteutetut turvatoimenpiteet. Dokumentaation olisi katettava sekä tekniset että fyysiset turvatoimenpiteet sekä riskinarviointien tulokset.

Asiakirjoja voidaan ylläpitää paperimuodossa tai sähköisessä muodossa, mukaan lukien automaattisesti tuotetut järjestelmälokit. Organisaation on otettava käyttöön näiden asiakirjojen valvonta sen varmistamiseksi, että:

• pääsy on rajoitettu vain valtuutettuihin henkilöihin;
• asiakirjat suojataan vahingoittumiselta, tuhoutumiselta, katoamiselta, luvattomalta käytöltä, väärinkäytöltä tai eheyden menettämiseltä;
• asiakirjaversiot merkitään siten, että muutokset voidaan tunnistaa.

Asiakirjoja on säilytettävä vähintään kaksi vuotta siitä päivästä, jona ne on poistettu käytöstä tai palvelujen tarjoaminen on lopetettu, seuraavan vuoden tammikuun 1. päivästä alkaen (ellei organisaatioon sovelleta erillistä arkistolainsäädäntöä). Käytöstä poistettujen asiakirjojen hävittäminen on vahvistettava hävittämispöytäkirjalla, johon on kirjattava päivämäärä, hävitettyjen asiakirjojen nimike, hävittämistapa ja hyväksyvän henkilön tiedot. Hävittämispöytäkirjat säilytetään pysyvästi.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:

• Ohjenuorat jatkuvuussuunnittelun aikatavoitteiden sekä jatkuvuussuunnitelmia vaativien tapahtumien määrittämiselle
• Johdon sitoumus jatkuvuussuunnitteluun ja sen parantamiseen
• Kuvaus organisaation riskinottohalukkuudesta

Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.