tietoturvaraportointia

Tietoturvaraportointi on organisaation tietoturvatilanteen systemaattinen kuvaaminen ja viestiminen sidosryhmille sekä ulkoisille tahoille. Siihen kuuluu riskien arviointi, erilaisten kontrollien toimivuuden todentaminen, haavoitteiden ja uhkien kartoitus sekä niiden merkityksen priorisointi ja yhteenveto suunnitelluista toimenpiteistä. Raportointi voi kattaa sekä sisäiset että ulkoiset vaatimukset, kuten johdon, hallituksen sekä viranomaisten tai asiakkaiden tietovaatimukset. Tyypillinen prosessi sisältää suunnittelun, tiedonkeruun, analyysin, raportoinnin ja seurannan.

Käytetyt viitekehykset ja standardit muovaavat raportointia: ISO/IEC 27001 ja 27002 sekä riskienhallinnan periaatteet ISO 27005. Kansainväliset

Raportin yleisiä osia ovat riskien ja kontrollien nykytilan kuvaus, löydökset sekä niiden vaikutusten arviointi, suositellut parannustoimenpiteet

Tietoturvaraportoinnin tavoitteena on tukea päätöksentekoa, varmistaa vaatimustenmukaisuus, parantaa turvallisuusvalmiutta ja lisätä luottamusta sidosryhmiin sekä asiakkaisiin. Haasteina