Content library
Katakri (Finnish national security auditing criteria)
I23: Ohjelmistohaavoittuvuuksien hallinta

Requirement description

Tietojenkäsittely-ympäristön koko elinkaaren ajalle toteutetaan luotettavat menettelyt ohjelmistohaavoittuvuuksien hallitsemiseksi.

How to fill the requirement

Katakri (Finnish national security auditing criteria)

I23: Ohjelmistohaavoittuvuuksien hallinta

Task name
Priority
Status
Theme
Policy
Other requirements
Selecting and tracking data sources for vulnerability information
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Development and cloud
Technical vulnerability management
11
requirements

Examples of other requirements this task affects

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri
12.6.1: Management of technical vulnerabilities
ISO 27001
DE.CM-8: Vulnerability scans
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Management of technical vulnerabilities
ISO 27001
See all related requirements and other information from tasks own page.
Go to >
Selecting and tracking data sources for vulnerability information
1. Task description

Information sources for software and other technologies have been consciously identified to identify and maintain information about technical vulnerabilities that are relevant to us (e.g. authorities or hardware and software manufacturers). Data sources are evaluated and updated as new useful sources are found.

Vulnerabilities can be found directly in the vendor systems we exploit or in the open source components exploited by many of our systems. It’s important to keep track of multiple sources to get the essential information obtained.

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST IV)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Development and cloud
Technical vulnerability management
1
requirements

Examples of other requirements this task affects

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri
See all related requirements and other information from tasks own page.
Go to >
Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST IV)
1. Task description

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasolla IV toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST III-II)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Development and cloud
Technical vulnerability management
1
requirements

Examples of other requirements this task affects

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri
See all related requirements and other information from tasks own page.
Go to >
Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST III-II)
1. Task description

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasoilla III-II toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) puolivuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

Tasks included in the policy

Task name
Priority
Status
Theme
Policy
Other requirements
No items found.

Never duplicate effort. Do it once - improve compliance across frameworks.

Reach multi-framework compliance in the simplest possible way
Security frameworks tend to share the same core requirements - like risk management, backup, malware, personnel awareness or access management.
Cyberday maps all frameworks’ requirements into shared tasks - one single plan that improves all frameworks’ compliance.
Do it once - we automatically apply it to all current and future frameworks.
Get to know Cyberday
Start your free trial
Cyberday is your all-in-one solution for building a secure and compliant organization. Whether you're setting up a cyber security plan, evaluating policies, implementing tasks, or generating automated reports, Cyberday simplifies the entire process.
With AI-driven insights and a user-friendly interface, it's easier than ever to stay ahead of compliance requirements and focus on continuous improvement.
Clear framework compliance plans
Activate relevant frameworks and turn them into actionable policies tailored to your needs.
Credible reports to proof your compliance
Use guided tasks to ensure secure implementations and create professional reports with just a few clicks.
AI-powered improvement suggestions
Focus on the most impactful improvements in your compliance with help from Cyberday AI.