Share

• Copy link
• Send email
• Share on Facebook
• Share on Twitter

14 helmikuun, 2023

ISO 27001:2022 standardin keskeiset muutokset

Kirjoittaja:

Jari Saali

Tietoturva (ISO 27001) ja jatkuvuudenhallinta (ISO 22301) kiinnostavat tällä hetkellä monia organisaatioita ja kokonaisuudet täydentävät hyvin toisiaan. ISO 27000 -standardiperhe on uudistumassa ja marraskuussa 2022 julkaistiin ISO 27001:2022, joka on tietoturvallisuuden hallintajärjestelmän vaatimukset sisältävä uudistettu standardi.

Katso aiheesta kertova webinaaritallenne alta. Blogi jatkuu tallenteen alapuolelta.

Rakennemuutokset ISO 27001:2022 -standardissa – 4 kohtaa muuttui

ISO 27001 -standardin rakenne säilyi suurimmaksi osaksi ennallaan, minkä takia olemassa olevaan tietoturvahallintajärjestelmään uudistuksien lisääminen on suhteellisen suoraviivaista.

ISO 27001 -standardin rakenteessa muuttui neljä kohtaa:

1. Kohtaan 4.2 Sidosryhmien tarpeiden ja odotusten ymmärtäminen on tehty aiheellinen lisäys. Organisaation tulee osoittaa sidosryhmien vaatimuksien ja tietoturvallisuuden hallintajärjestelmän vastaavuus eli kuinka sidosryhmien ja palveluiden suunnasta ohjataan tietoturvatyötä, jotta se on oikein mitoitettu.
2. Kohta 6.3 Muutosten suunnittelu on täysin uusi (tällähetkellä ei näy standardin sisällysluettelossa, mutta löytyy sisällöstä). Muutoksenhallinnassa kannattaa huomioida koko muutoksen elinkaari. Lisäksi organisaatioiden on järkevää yhdistää tietoturvaan liittyvä muutoksenhallinta osaksi organisaation olemassa olevaa muutoksenhallintakulttuuria.
3. Kohtaan 8.1 Toiminnan suunnittelu ja ohjaus on tehty täydennys. Keskeisten tietoturvaprosessien kriteerit tulee tunnistaa ja niiden toteutumista tulee seurataan ja ohjataan.
4. Kohtaan 9.3.2  Johdon katselmusten lähtötiedot on tehty tarkennus. Viitaten kohtaan aikaisempaan kohtaan Sidosryhmien tarpeiden ja odotusten ymmärtäminen (4.2) on johdon katselmuksien yhdeksi aiheeksi nostettu Tietoturvallisuuden kannalta olennaisten sidosryhmien tarpeet ja odotukset. Näin johdolla pitäisi olla tilannekuva mihin suuntaa tietoturvatyötä kannattaa tulevaisuudessa ohjata ja miten panostukset suunnata.

Hallintakeinomuutokset – suurimmat muutokset näkyvät Liite A:n hallintakeinoissa

Uudistetun ISO 27001 -standardin myötä suurimmat muutokset tulivat Liite A:n hallintakeinoihin.

Aikaisemman 14 eri hallintatavoitealueen tilalle on tullut 4 hallintateemaa:

1. Organisaatio
2. Henkilöstö
3. Fyysinen
4. Teknologia

Teemoittain tehty jaottelu auttaa rakentamistyössä, kun saman aihepiirin hallintakeinot löytyvät yhtenäisen teeman alta.

Itse hallintakeinojen määrä on puristettu 93 hallintakeinoon, aikaisemman 114 hallintakeinon sijaan.

Mitään ei kuitenkaan ole aikaisemmasta jätetty pois ja itse asiassa täysin uusia hallintakeinoja on 11 kpl. Tämä tarkoittaa, että lukuisia aikaisempia hallintakeinoja on yhdistetty ja siten toteutuksessa on helpompi huomioida tietoturvatoimenpiteiden riittävä elinkaari eli toteutuksen kokonaisuus.

Ota päivitetty ISO 27001:2022 -standari haltuusi näiden apukysymysten ja elinkaariajattelun avulla

Muutostyö kannattaa aloittaa heti. Muutokset eivät ole suuria vaan näkisin ennemminkin täydentävänä ja aikaisempaa tietoturvatyötä parantavana.

Uusiin hallintakeinoihin kannattaa tutustua esimerkiksi seuraavien kysymyksien kautta pohtien oman organisaation nykytilaa ja tulevaisuutta:

• Kuinka ymmärrämme hallintatavoitteen tarkoituksen ja sisällön?
• Miksi ja miten meillä sovelletaan hallintakeinoa?
• Missä ja kuinka olemme esim. aikaisemmin toteuttaneet hallintakeinon mukaista toimintaa? Miten ylläpidetty ja kehitetty?
• Kuka omistaa hallintakeinon mukaisen toiminnan? Onko esim. kehitysvastuu ja seurantavastuu eriytetty?
• Kuinka haluamme/tulemme toteuttamaan hallintakeinon kokonaisuuden (mm. prosessi, käsikirja, ohjeet, mittarit, seurantakanavat, riskit…)
• Miten ja milloin tulemme toteuttamaan muutoksen tai uuden toimintatavan käyttöönoton? Toimenpidesuunnitelma, GAP-analyysi, koulutukset tms.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus – ei irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista ratkaisumallia ei ole, vaan organisaation tietoturvallisuusjärjestelmän riittävä taso tulee rakentaa kokonaisuus ymmärtäen.

Tietoturvallisuuden hallintajärjestelmän menestystekijöitä

• Tietoturvapolitiikka, tietoturvatavoitteet ja -toimenpiteet ovat linjassa liiketoiminnan tavoitteiden kanssa.
• Organisaatiolla on yhtenäinen käsitys tietoturvallisuuden merkityksestä.
• Ylimmän johdon tuki on näkyvää ja jatkuvaa, eri tavoin ilmenevää.
• Ymmärretään tieto-omaisuuden suojaustarve tietoturvariskien hallinnassa.
• Viestintä on jatkuvaa ja henkilöstön osaamista ja ennen kaikkea tietoisuutta parannetaan.
• Tietoturvahäiriöiden hallinta on tuloksekasta ja osaamista ja oppimista edistävää.
• Mittaaminen ja seuranta vastaa tarpeita ja ohjaa.
• Kehittyminen on tehty näkyväksi mm. visualisoinnilla.

Miten Arter voi auttaa yritystäsi ISO 27001 -standardin mukaan toimimisessa?

• Arterin asiantuntijat auttavat organisaatiotasi toimimaan ja dokumentoimaan toimintanne standardien vaatimusten mukaisesti. Rakennat kanssamme esimerkiksi ISO 27001 mukaisen tietoturvanhallintajärjestelmän.
• Olemme kumppani toiminnan kehittämisessä. Kauttamme saat koulutusta ja konsultointia aiheeseen liittyen.
• Tarjoamme suomalaisen alustan, IMS-ohjelmiston, toimintajärjestelmän rakentamiseen,
  kehittämiseen ja ylläpitoon. Tutustu IMS-ohjelmistoon tarkemmin tästä.
• Arter ei tee sertifiointiauditointeja.

Vie tietoturvasi seuraavalle tasolle – opi soveltamaan ISO 27001 -standardia

Pikaopaslataus: ISO 27001 tietoturvatyössä

Instagram

This field is for validation purposes and should be left unchanged.

First name

Last name

Email

Company

Suoramarkkinointirekisteri(Required)

Hyväksyn tietojeni tallennuksen Arterin suoramarkkinointirekisteriin saadakseni sisällön.(Required)

Suoramarkkinointiviestejä

Kyllä kiitos! Haluan kehittää osaamistani ja saada arkea helpottavia vinkkejä suoraan sähköpostiini tilaamalla Arterin uutiskirjeen.