Riskien hallinnan periaatteita noudattaen yrityksessä pitää olla selvillä erilaisten tietoriskien ja yllättävien tilanteiden estäminen, tilanteen hallinnan ja korjaamisen menettelyt, järjestelyt, keinot ja ratkaisut.

Tietoriskien tunnistamisen yhteydessä selvitetään nykyisin noudatettavat käytännöt ja menettelyt sekä käytettävät suojauskeinot ja järjestelyt.

Tietoriskien analysoinnissa arvioidaan toiminnan haavoittuvuutta ja tilanteen toteutumisen mahdollisuutta.

Toiminnan parantamisessa suunnitellaan kehitettävät uudet tarpeelliset menettelyt ja keinot.

Eri toimiyksiköissä pitää tietää tietoriskien hallinnoimiseksi ja torjumiseksi, mitä riskejä torjutaan, mitkä ovat kriittisimmät riskit ja miten niitä torjutaan.

Ihmisten tietoisuuden ja toimintatapojen sekä eri suojauskeinojen integrointi takaa tiedon suojaamisen vääristymisiltä tai tiedon joutumisen asiattomien haltuun.

Kaikki keinot tähtäävät yhdessä käytettynä siihen, että yritykselle tärkeät toimintayksiköissa käsiteltävät tiedot säilyvät oikeina ja käytettävissä sekä vain niiden käytössä, joille tiedot työtehtävien tekemisessä kuuluvat.

Näin voidaan varmistaa tietoriskien hallinta ja osaltaan taata yrityksen kilpailukyky ja suojata yritykselle tärkeä tieto asiattomilta ja kilpailijoilta.

Erilaisia teknisiä ratkaisuja on tarjolla useita, joista yrityksen tulee osata koota omaan toimintaansa tarkoituksenmukaiset ja yhteensopivat keinot.

Tietoturvallisuuden hallintataso riippuu toimintayksikön valmiuksista ja käytännöistä.

Eri tavoista ja ratkaisuista syntyy yritykselle se taso, jolla toimitaa ja omaisuutta suoljataan ja se suojaustoimien varasto, joka on käytettävissä.

Kaikkia eri suojaustapoja, -ohjeita, -menettelyjä, -keinoja ja -ratkaisuja nimitetään myös kontrolleiksi, keinovarastoksi, kontrollipooliksi.

Tämä kokonaisuus on tietoturvallisuuden hallintajärjestelmä, jonka tasoa ja riittävyyttä suhteessa toimintaan voidaan arvioida.

Arvioinnissa tehdään helposti virhe siinä, kun jätetään tunnistamatta todelliset tietoriskit, käytössä olevat kontrollit ja toteutuneet toimintaa häirinneet tilanteen ja kun arvioidaan tietoturvallisuuden hallintajärjestelmää toiminnasta irrallisena järjestelmänä – joko teknisinä ratkaisuina tai toimintaohjeina.

Koska tietoriskien hallinta vaatii ihmisten johtamista, sovittujen käytäntöjen ja menettelyjen noudattamista, teknisiä ratkaisuja ja muita suojausjärjestelyjä, on tietoturvallisuuden hallintataso aina erilainen eri toimintayksiköissä.

Johdolle on lupa esittää vain totuudenmukaista tietoa. Vain yhteenveto, joka sisältää analysoinnit kriittisten ja tärkeiden toimintayksiköiden tietoriskeistä, niiden vaikutuksesta ja hallinnan tasosta, kuvaa ammattimaista analysointia ja kyvykkyyttä.

Lähde: Tuija Kyrölä, Esimien ja tietoriskien hallinta, WSOY, 2001