Broneeri tasuta konsultatsioonBroneeri →

Lisaküsimusi?

Broneeri tasuta
30-min kõne
ISO 27005 · Tasuta

Riskijuhtimise küpsustest

24 küsimust · ~8 minutit · 6 ISO 27005 valdkonda kaetud
Juhatusele mõeldud · Anonnüümne — andmeid ei koguta

Küssimus 1 / 240%
Küsimus 1 / 24 Juhtimine ja vastutus
Kas infoturbe riskijuhtimise eest vastutav isik on organisatsioonis ametlikult määratud?
ISO 27005 nõuab selget omandit ja vastutust riskijuhtimise protsessi üle.
Vastutus on kirjalikult määratud, kinnitatud juhatuse otsusega ning isik täidab rolli aktiivselt
Optimeeritud
Vastutav isik on määratud, kuid rollikirjeldus on ebatäpne
Hallatud
Vastutus on mitteametlikult jagatud, kuid selget omanikku pole
Määratletud
IT-juht tegeleb sellega vajaduse korral — ametlikku määramist pole
Arenev
Keegi ei vastuta selle teema eest formaalselt
Algeline
Küsimus 2 / 24 Juhtimine ja vastutus
Kas juhatus arutab infoturbe ja küberriske vähemalt kord kvartalis?
Juhatuse regulaarne kaasatus on küpsusstandardi märk ja isikliku vastutuse kaitse.
Regulaarsed koosolekud struktureeritud päevakorraga, otsused protokollitakse
Optimeeritud
Kord aastas formaalses ülevaatuses, vajadusel ad hoc
Hallatud
Arutatakse ainult siis, kui midagi juhtub
Määratletud
Teema on mainitud, kuid ei käsitleta struktureeritult
Arenev
Juhatus ei tegele riskiteemaga
Algeline
Küsimus 3 / 24 Juhtimine ja vastutus
Kas organisatsioonis on kehtiv riskijuhtimise poliitika, mille juhatus on heaks kiitnud?
Kirjalik poliitika on ISO 27005 rakendamise eeldus ja juhatuse vastutuse selgroog.
Kirjalik poliitika, üle vaadatud viimase 12 kuu jooksul, kõik töötajad on teadlikud
Optimeeritud
Kirjalik poliitika olemas, kuid üle vaatamata üle 12 kuu
Hallatud
Dokument olemas, kuid tegelikku rakendamist ei jälgita
Määratletud
Kavandatakse, kuid pole kinnitatud
Arenev
Riskijuhtimise poliitika puudub
Algeline
Küsimus 4 / 24 Juhtimine ja vastutus
Kas riskijuhtimise ulatus (scope) ja piirid on kirjalikult määratletud?
Selge ulatus takistab oluliste alade tähelepanuta jätmist ja annab auditi aluse.
Selgelt määratletud, hõlmab kõiki ärikriitilisi süsteeme, andmeid ja protsesse
Optimeeritud
Osaliselt määratletud, peamised valdkonnad on kaetud
Hallatud
Suuline kokkulepe olemas, kirjalikult pole fikseeritud
Määratletud
"Kõik IT" — täpsemat ulatust pole määratud
Arenev
Ulatust pole kunagi kaalutud
Algeline
Küsimus 5 / 24 Varade ja ohtude tuvastamine
Kas organisatsioonil on ajakohane nimekiri olulistest infovaradest (andmed, süsteemid, protsessid)?
ISO 27005 nõuab varade tuvastamist ja klassifitseerimist riskianalüüsi alusena.
Täielik, kategoriseeritud ja kriitilisuse järgi hinnatud vara register, uuendatakse regulaarselt
Optimeeritud
Nimekiri olemas, kuid ei sisalda kõiki varasid ega ole täielikult ajakohane
Hallatud
IT-süsteemid on loetletud, andmed ja protsessid mitte
Määratletud
Varadest on ligikaudne arusaam, kuid dokumenti pole
Arenev
Infovarasid ei ole kaardistatud
Algeline
Küsimus 6 / 24 Varade ja ohtude tuvastamine
Kas on süstematiseeritult tuvastatud peamised ohud (küberrünnakud, sisemine viga, tarneahela rünnakud)?
Ohupildi tundmine on vajalik tõenäosuse hindamiseks ja meetmete valikuks.
Põhjalik ohuanalüüs tehtud, hõlmab küber-, sise- ja välisohte, hoitakse ajakohasena
Optimeeritud
Peamised ohud on tuvastatud, kuid analüüs on pealiskaudne
Hallatud
Tunnetatavad ohud on teada, kuid süstematiseeritud analüüsi pole tehtud
Määratletud
Ohte teavad mõned töötajad, kuid organisatsioonitasandil pole käsitletud
Arenev
Ohtude tuvastamist pole tehtud
Algeline
Küsimus 7 / 24 Varade ja ohtude tuvastamine
Kas on analüüsitud organisatsiooni peamisi haavatavusi (nõrgad konfiguratsioonid, patchimata tarkvara, inimlikud vead)?
Haavatavuste tundmine annab sihi meetmete rakendamiseks enne ründajat.
Regulaarne haavatavuse skaneerimine ja pentest, tulemused dokumenteeritud ja maandatud
Optimeeritud
Haavatavusi on tuvastatud, kuid maandamine on osaliselt tegemata
Hallatud
IT-meeskond teab peamistest haavatavustest, kuid formaalne analüüs puudub
Määratletud
Haavatavustest on üldine teadlikkus, kuid hindamist pole
Arenev
Haavatavuste analüüsi pole tehtud
Algeline
Küsimus 8 / 24 Varade ja ohtude tuvastamine
Kas riskituvastuse protsessi kaasatakse kõiki olulisi osapooli (juhatus, IT, äriüksused, partnerid)?
Osalejate mitmekesisus tagab, et olulisi riske ei jäeta kahe silma vahele.
Struktureeritud protsess kaasab kõiki — töötoad, intervjuud, tagasiside tsüklid
Optimeeritud
Peamised osakonnajuhid on kaasatud, kuid mitte järjepidevalt
Hallatud
IT-osakond teeb analüüsi iseseisvalt, teisi ei kaasata
Määratletud
Üks inimene hindab riske üksi
Arenev
Riskituvastus toimub ainult üksikutes peades, protsessi pole
Algeline
Küsimus 9 / 24 Riskianalüüs ja -hindamine
Kas iga olulise riski tõenäosust ja potentsiaalset mõju on hinnatud?
Tõenäosuse ja mõju hindamine on riskiprioriteedi määramisel hädavajalik.
Kvantitatiivne ja kvalitatiivne hindamine, dokumenteeritud, ühtselt rakendatav
Optimeeritud
Riskid hinnatud kvalitatiivsel skaalal, osaliselt dokumenteeritud
Hallatud
Hinnangud on antud, kuid meetodid on ebaühtlased
Määratletud
Mõningasi riske on üldiselt hinnatud, kuid mitte süstematiseeritult
Arenev
Riske ei ole hinnatud
Algeline
Küsimus 10 / 24 Riskianalüüs ja -hindamine
Kas organisatsioonis on kehtestatud riskikriteeriumid — mis tase on vastuvõetav?
Riskikriteeriumid on vajalikud, et prioritiseerida ja teha kaitstavaid otsuseid.
Selged, mõõdetavad riskitolerantsi kriteeriumid, kinnitatud juhatuse poolt
Optimeeritud
Üldised kriteeriumid olemas, kuid mitte täpselt mõõdetavad
Hallatud
Üldine arusaam "liiga suurest riskist", kuid kirjalikult pole fikseeritud
Määratletud
Riskitolerantsi hindamised on ad hoc
Arenev
Riskikriteeriumid puuduvad
Algeline
Küsimus 11 / 24 Riskianalüüs ja -hindamine
Kas riskid on prioritiseeritud ja dokumenteeritud riskiregistris?
Riskiregister on riskijuhtimise töödokument ja auditi korral tõend juhtimisest.
Täielik riskiregister, prioritiseeritud, omanikud määratud, regulaarselt uuendatav
Optimeeritud
Riskiregister olemas, kuid puudulik ja mitte täielikult ajakohane
Hallatud
Prioritiseerimist tehakse, kuid riskiregistrit pole
Määratletud
Riskid on üldiselt teada, kuid dokumenteerimata
Arenev
Riskiregistrit ei ole, prioritiseerimist ei toimu
Algeline
Küsimus 12 / 24 Riskianalüüs ja -hindamine
Kas riskianalüüsi meetodid on järjepidevad ja kõigile protsessis osalejatele teada?
Järjepidev metoodika tagab tulemuste võrreldavuse ja usaldusväärsuse.
Dokumenteeritud meetodoloogia, koolitused tehtud, järjepidev rakendamine
Optimeeritud
Meetodid kokku lepitud, kuid ei järgita alati
Hallatud
Meetodid varieeruvad osalejate vahel
Määratletud
Igaüks kasutab oma lähenemist
Arenev
Meetodoloogiat pole
Algeline
Küsimus 13 / 24 Riskidega tegelemine
Kas iga olulise riski kohta on tehtud formaalne otsus (maanda, aktsepteeri, jaga, väldi)?
Dokumenteeritud otsused kaitsevad juhatuse liikmeid isikliku vastutuse eest.
Kõikide oluliste riskide kohta on kirjalik otsus koos põhjendusega
Optimeeritud
Enamiku riskide kohta on otsus, mõned on veel otsustamata
Hallatud
Otsused tehakse juhtumipõhiselt, pole süstematiseeritud
Määratletud
Reaktiivsed otsused — tegutsetakse ainult siis, kui probleem ilmneb
Arenev
Riskidega tegelemise otsuseid ei tehta formaalselt
Algeline
Küsimus 14 / 24 Riskidega tegelemine
Kas on koostatud konkreetne riskide maandamise tegevusplaan tähtaegade ja vastutajatega?
Tegevusplaan ilma tähtaegade ja vastutajateta on lihtsalt soovide nimekiri.
Detailne tegevusplaan koos tähtaegade, ressursside ja mõõdikutega
Optimeeritud
Tegevusplaan olemas, kuid tähtajad on hägused
Hallatud
Üldised plaanid olemas, konkreetsed sammud puuduvad
Määratletud
Mõningased tegevused planeeritud, kuid süstematiseeritud plaan puudub
Arenev
Tegevusplaani pole
Algeline
Küsimus 15 / 24 Riskidega tegelemine
Kas rakendatavate turvameetmete tõhusust mõõdetakse regulaarselt?
Mõõtmata meetme tõhusus on oletus, mitte fakt.
Selged mõõdikud (KPI/KRI), regulaarne aruandlus juhatusele
Optimeeritud
Mõningane mõõtmine toimub, kuid pole järjepidev
Hallatud
Meetmeid rakendatakse, kuid tõhusust ei hinnata
Määratletud
Loodame, et meetmed toimivad — kontrolli ei toimu
Arenev
Turvameetmeid pole rakendatud ega mõõdetud
Algeline
Küsimus 16 / 24 Riskidega tegelemine
Kas jäetud riskid (jääkrisk pärast meetmete rakendamist) on juhatus formaalselt aktsepteerinud?
Kirjalik aktsepteerimine kaitseb juhatuse liikmeid hilisema vaidluse korral.
Kirjalik aktsepteerimine, regulaarne ülevaatus
Optimeeritud
Suuline kokkulepe juhtkonnatasandil
Hallatud
Juhtkond on teadlik, kuid formaalne aktsepteerimine puudub
Määratletud
Jääkriskide mõiste on tuttav, kuid praktikas ei rakendata
Arenev
Jääkriske ei ole kaalutud
Algeline
Küsimus 17 / 24 Kommunikatsioon ja konsultatsioon
Kas töötajad on teadlikud oma rollist infoturberiskide juhtimisel?
Töötajad on kõige sagedasem rünnakute sihtmärk — nende teadlikkus on esimene kaitsejoon.
Regulaarsed koolitused, teadlikkuse testid, kirjalikud protseduurid kõigile
Optimeeritud
Sissejuhatav koolitus uutele töötajatele, satunnalised meeldetuletused
Hallatud
Üldteadlikkus olemas, kuid formaalseid koolitusi ei toimu
Määratletud
Mõned töötajad on teadlikud ohtudest, organisatsioonitasandil teavitust pole
Arenev
Töötajaid ei ole teavitatud
Algeline
Küsimus 18 / 24 Kommunikatsioon ja konsultatsioon
Kas väliseid osapooli (tarnijad, pilveteenused, alltöövõtjad) hinnatakse riskide aspektist?
Tarneahela rünnakud on kasvanud — tarnija turvalisus on teie turvalisus.
Kõik olulised tarnijad läbivad regulaarse riskihindamise, lepingud sisaldavad turvastandardeid
Optimeeritud
Peamised tarnijad on hinnatud, väiksemad mitte
Hallatud
Tarnijariskidest ollakse teadlik, kuid formaalne hindamine puudub
Määratletud
Tarnijalepingutes pole turvatingimusi, hindamist ei toimu
Arenev
Tarnijariske pole kunagi kaalutud
Algeline
Küsimus 19 / 24 Kommunikatsioon ja konsultatsioon
Kas intsidentidest ja riskidest raporteeritakse juhatusele struktureeritud viisil?
Juhatus, keda ei teavitata, ei saa otsustada — ega end hiljem kaitsta.
Regulaarne (kvartaalne) riskiaruanne juhatusele, intsidendid raporteeritakse viivitamata
Optimeeritud
Olulistest sündmustest teavitatakse juhtkonda, kuid struktuur on ebaühtlane
Hallatud
Teavitamine toimub ainult kriitiliste intsidentide korral
Määratletud
Juhatus saab teada ainult siis, kui probleemid eskaleeruvad
Arenev
Süstemaatiline raporteerimine puudub
Algeline
Küsimus 20 / 24 Kommunikatsioon ja konsultatsioon
Kas kliendid ja partnerid on teavitatud teie andmekaitsetavadest (GDPR Art. 13/14)?
GDPR teavitamiskohustuse täitmata jätmine on regulatoorne risk lisaks küberriskile.
Ajakohane privaatsuspoliitika, andmetöötluslepingud kõikide asjakohaste partneritega
Optimeeritud
Privaatsuspoliitika olemas, andmetöötluslepingud mõnede partneritega
Hallatud
Privaatsuspoliitika veebilehel, kuid sisulised protsessid on puudulikud
Määratletud
GDPR nõuetest ollakse teadlik, kuid praktiline rakendamine on algeline
Arenev
GDPR kohustusi pole sisuliselt täidetud
Algeline
Küsimus 21 / 24 Seire ja pidev parendamine
Kas riskijuhtimise protsessi vaadatakse tervikuna üle vähemalt kord aastas?
ISO 27005 eeldab perioodilist ülevaatust — muutunud kontekst nõuab ajakohastatud riske.
Iga-aastane ülevaatus on kalendrisse planeeritud, tulemused dokumenteeritakse
Optimeeritud
Ülevaatus toimub, kuid ebaregulaarselt
Hallatud
Ülevaatust tehakse ainult seaduse muutuse või intsidendi järel
Määratletud
Ülevaatust pole siiani tehtud
Arenev
Riskijuhtimise ülevaatust ei toimu
Algeline
Küsimus 22 / 24 Seire ja pidev parendamine
Kas riskimaatriksit uuendatakse, kui organisatsioonis toimuvad olulised muutused (uus teenus, süsteem, seadus)?
Muutunud ärikeskkond toob kaasa uued riskid — aegunud riskipilt on eksitav.
Muutustehalduse protsess käivitab automaatselt riskiülevaate
Optimeeritud
Muutuste korral tehakse üldine riskiülevaade, kuid mitte alati süstematiseeritult
Hallatud
Suuremad muutused käivitavad ülevaate, väiksemad mitte
Määratletud
Riskimaatriksit uuendatakse ainult intsidentide järel
Arenev
Riskimaatriksit ei uuendata kunagi
Algeline
Küsimus 23 / 24 Seire ja pidev parendamine
Kas riskijuhtimise tõhusust mõõdetakse konkreetsete mõõdikute (KPI/KRI) abil?
Mõõdetamatu on juhitamatu — mõõdikud annavad juhatusele tõenduspõhise pildi.
Selgelt määratletud KPI/KRI-d, regulaarne mõõtmine ja aruandlus
Optimeeritud
Mõningased mõõdikud olemas, kuid mõõtmine ebaühtlane
Hallatud
Mõõtmisest on räägitud, kuid formaalset süsteemi pole
Määratletud
Tugineme subjektiivsele hinnangule, mitte andmetele
Arenev
Mõõdikuid pole
Algeline
Küsimus 24 / 24 Seire ja pidev parendamine
Kas organisatsioonil on toimiv intsidentide registreerimine ja järelanalüüsi protsess?
Intsidentidest õppimine on ainus viis küpsust tõeliselt parandada.
Kõik intsidendid registreeritakse, analüüsitakse ja õppetunnid rakendatakse protsesside parendamisse
Optimeeritud
Olulisemad intsidendid registreeritakse, kuid järelanalüüs on ebaühtlane
Hallatud
Suured intsidendid dokumenteeritakse, väiksemad mitte
Määratletud
Intsidentidele reageeritakse, kuid ei dokumenteerita ega analüüsita
Arenev
Intsidentide registrit pole ja järelanalüüsi ei toimu
Algeline
Küpsustase

AlgelineArenevMääratletudHallatudOptimeeritud
Kriitilisi
Vajab tähelepanu
Korras
Valdkondade ülevaade
ValdkondSkoorTase
Juhtimine ja vastutus
Varade ja ohtude tuvastamine
Riskianalüüs ja -hindamine
Riskidega tegelemine
Kommunikatsioon ja konsultatsioon
Seire ja pidev parendamine

Saage personaalsed soovitused

Sisestage kontaktandmed ja võtan teiega ühendust — arutame läbi tulemused ja planeerime järgmised sammud.