Evästeasetukset

Käytämme evästeitä tarjotaksemme paremman käyttökokemuksen ja henkilökohtaista palvelua. Suostumalla evästeiden käyttöön voimme kehittää entistä parempaa palvelua ja tarjota sinulle kiinnostavaa sisältöä. Sinulla on hallinta evästeasetuksistasi, ja voit muuttaa niitä milloin tahansa. Lue lisää evästeistämme.

Nämä evästeet ovat välttämättömiä, jotta verkkosivumme toimisi oikein, esimerkiksi suojaustoiminnot tai evästeiden suostumusasetukset.

Mieltymysevästeiden avulla sivusto tallentaa tietoja, jotka muuttavat sivuston käyttäytymistä ja ulkonäköä, kuten kielivalintoja tai käyttäjän sijainteja.

Parantaaksemme verkkosivuamme keräämme nimettömästi tietoja tilastollisiin ja analyyttisiin tarkoituksiin. Näiden evästeiden avulla voimme esimerkiksi seurata verkkosivumme tiettyjen sivujen käyntien määrää tai kestoa, mikä auttaa meitä optimoimaan käyttäjäkokemusta.

Nämä evästeet auttavat meitä mittaamaan ja optimoimaan markkinointitoimiamme.
Muokkaa evästeasetuksia
Skip to content

ISO 27001

Opi soveltamaan ISO 27001 -standardia

Ota yhteyttä

Miten lähestyä ISO 27001 käytännössä?

ISO 27001 mukaan organisaatiosi tietoturvallisuus tulee rakentaa kokonaisuus mielessä pitäen, sillä täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa ratkaisumallia ei ole.

Kokonaisuuden kannalta suosittelemme pohtimaan tietoturvallisuutta omassa organisaatiossasi näiden 3 elementin kautta:

  1. ihmiset,
  2. toimintatavat
  3. ja teknologiat.

Mieti jokaisesta elementistä vahvuudet ja mahdollisuudet sekä heikkoudet ja uhat.

ISO 27001 on johtamisen viitekehys, jonka avulla organisaatiosi voi luoda itsellensä menetelmän liiketoiminnan kannalta kriittisen tiedon suojaamiseksi.

ISO 27001 -standardi kuvaa, mitä kaikkea hallintajärjestelmän on katettava ollakseen toimintakykyinen. Standardia voi soveltaa hyvin erilaisiin organisaatioihin niin koon kuin toimialan puolesta.

Suosittelemme toteuttamaan organisaatiosi omiin tarpeisiin sopivan tietoturvanhallintajärjestelmä omilla ehdoillanne – ei standardin vuoksi.

Arterin ratkaisut ja palvelut

Materiaalipankki ja FAQ
Lisätietoa standardista.

Koulutukset
Koulutuksia, joiden avulla opit tuntemaan ja soveltamaan standardia oman organisaatiosi toiminnassa.

Ohjelmistoratkaisu
IMS-ohjelmiston avulla rakennat ISO-standardien vaatimusten mukaisen laatu- tai toimintajärjestelmän.

Opi soveltamaan ISO 27001 standardia tietoturvatyössä
– lataa pikaopas

This field is for validation purposes and should be left unchanged.
Suoramarkkinointirekisteri(Required)
Suoramarkkinointiviestejä

Näin lähdet liikkeelle ISO 27001 -standardin mukaisessa tietoturvatyössä – 10 kohdan muistilista

1. Tutustu standardiin

Aloita standardin hyödyntäminen tutustumalla itse standardiin ja kouluta organisaatiotasi asiaan liittyen. Varmista, että organisaatiosi johto on sitoutunut ISO 27001 –standardin mukaiseen toimintaan.

Perustana ISO-standardeilla on yhteinen perusrakenne, jonka taustalla vaikuttaa PDCA-malli (Plan-Do-Check-Act) eli sitoutuminen elinkaariajatteluun ja jatkuvaan parantamiseen.

Standardit noudattavat samaa perusrakennetta, jossa on 10 päälukua, joista keskeisiä ovat luvut 4 – 10. ISO 27001 -standardin sisällysluettelo:

  1. Soveltamisala
  2. Velvoittavat viittaukset
  3. Termit ja määritelmät
  4. Toimintaympäristö – liittyy PDCA-mallin Plan eli Suunnittele-osioon.
  5. Johtajuus – liittyy PDCA-mallin Plan eli Suunnittele- ja Act eli Toimi-osioihin.
  6. Suunnittelu – liittyy PDCA-mallin Plan eli Suunnittele-osioon.
  7. Tukitoiminnot – liittyy PDCA-mallin Plan eli Suunnittele-osioon.
  8. Toiminta – liittyy PDCA-mallin Do eli Toteuta-osioon.
  9. Arviointi –liittyy PDCA-mallin Check eli Arvioi-osioon.
  10. Parantaminen – liittyy PDCA-mallin Act eli Toimi-osioon.

2. Kartoita tarve

  • Miksi ja mihin tarvitsemme tietoturvaa?
  • Mitä tarpeen täyttäminen vaatii?
  • Miten tietoturva työ rajautuu? Mitä koskee? Mitä ei koske?
  • Kuinka hoidamme viestinnän niin sisäisesti kuin ulkoisesti?
  • Kuinka koko organisaatiolle ja tärkeille sidosryhmille saadaan ymmärrys tietoturvatason nostamisen tärkeydestä ja sitä kautta sitoutuminen tulevaan kehitystyöhön?

3. Varmista tuki

  • Kuinka johto osoittaa sitoutumisen tietoturvaan mm. esimerkillään, nostoillaan, seurannallaan ja priorisoimalla?
  • Millainen on tietoturvan ydinryhmä? Millainen edustus eri osa-aluilta tarvitaan?
  • Millainen on kehitysprojektin aikataulu ja resursointi? Milloin haluamme olla valmiita? Tarvitaanko priorisoituja kehitysaaltoja?
  • Kuinka voimme hyödyntää ja hyötyä muista toimintajärjestelmän elementeistä (laatu, ympäristö ja/tai työsuojelu?

4. Tunnista toimintaympäristö

  • Mistä muodostuu organisaatiomme suojattavat kohteet, jonka tueksi rakennamme tietoturvaa?
  • Mitkä ovat keskeiset sidosryhmät, joille tietoturva näkyy? Asiakkaat? Henkilöstö? Kumppanit?
  • Miten tunnistamme ja keräämme tietoturvavaatimukset yhteen, jotta tietoturva asettuu oikealle tasolle ja täyttää ne?
  • Onko jotkin palvelut tai prosessit tietoturvan kannalta kriittisempiä kuin toiset?
  • Kuinka havainnoimme tietoturvan kannalta oleelliset riskit ja mahdollisuudet?

5. Määritä tietoturvan johtamisen periaatteet

  • Mitä tietoturvapolitiikkamme kattaa?
  • Kuinka tunnistetaan pidemmän aikavälin tietoturvan päämäärät ja kuinka niistä johdetaan lyhyemmän aikavälin tavoitteet?
  • Millainen on johtamisen malli? Päätöskäytännöt? Roolit – vastuut ja valtuudet?
  • Kuinka huomioidaan normaali- ja häiriötilanteet?
  • Minkälainen on riittävä muutoshallinta?

6. Varaa aikaa suunnittelulle

  • Kuinka riskienhallinta ja -arviointi on riittävä ja pysyy ajan tasaisena?
  • Miten hoidamme viestinnän ja kuinka löydämme oikeat sidosryhmät? Kerrommeko riittävästi? Kuuntelemmeko tarpeeksi?
  • Minkälaista osaamista ja pätevyyttä tarvitsemme nyt? Tulevaisuudessa?
  • Kuinka huomioimme toimintamalleissa koko elinkaaren ja sen kehittämisen?

7. Vie käytäntöön yhteiset toimintatavat

  • Kuinka toimimme normaalitilanteessa tietoturvallisesti, niin että arki sujuu?
  • Kuinka olemme varautuneet tyypillisiin häiriötilanteisiin?
  • Kuinka saamme kiinni erilaisista lähteistä tulevat tietoturvasignaalit ja osaamme reagoida niihin oikein?
  • Miten keräämme ja ylläpidämme tietoa tietoturvajärjestelmämme tasosta?

8. Seuraa ja arvioi tietoturvan tasoa

  • Mikä on tehokas ja sopiva määrä hyviä tietoturvatason mittareita? Ymmärrämmekö mittarin takana olevat syy-seuraussuhteet?
  • Miten arvioimme ja auditoimme tietoturvan tasoa ja riittävyyttä?
  • Millaiset ovat tietoturvaan liittyvät palautekanavat? Kuinka havainnot ohjaavat tulevaisuutta?
  • Minkälainen tilannekuva on tietoturvasta ja kuinka sitä ohjataan?

9. Paranna tietoturvaa hallitusti

  • Kuinka voimme kohdistaa tietoturva kehitystyön oikein ja oikea aikaisesti?
  • Millainen on meidän kokonaisvaltainen muutoksenhallinta?

10. Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti

Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia, joten näiden huomioinen ja yhteen liittäminen säästää vaivaa, koska perusrakenne on sama, mutta näkökulma vaihtuu eri hallintajärjestelmien välillä.

Esimerkki tyypillisestä ISO 27001 mukaisesta tietoturvanhallintajärjestelmän osa-alueista:

Osa-alueKuvaus
Listaukset ja koosteJärjestelmä, joka sisältää koonnin tietoturvan hallintajärjestelmän osista, kuten roolit, suojattavan omaisuuden listaukset, vaatimukset ja soveltuvuuslausunnon.
RiskienhallintaJärjestelmä, jossa kuvataan organisaation toiminnan kannalta keskeiset riskit ja niihin liittyvät hallintatoimenpiteet.
ProjektinhallintaJärjestelmä, jolla hallitaan tietoturvatoimenpiteitä, kuten aikatauluja, projekteja, vastuita ja tehtäviä.
Dokumenttien hallintaJärjestelmä tiedostodokumenttien hallintaan, tallentamiseen ja jakamiseen. Tietoturvaan liittyviä dokumentteja ovat esimerkiksi politiikat ja ohjeistukset.
Toimivuuden mittaaminen ja seurantaJärjestelmä, jolla mitataan ja arvioidaan toiminnan tehokkuutta ja toimintakykyä.
Poikkeamien hallintaJärjestelmä havaittujen poikkeamien kirjaamiseen ja niihin liittyvien toimenpiteiden seurantaan.
MuutostenhallintaJärjestelmä, jolla suunnitellaan ja hallitaan muutoksia sekä niiden mahdollisia vaikutuksia.

Opi lisää ISO 27001 -standardista

ISO 27001 minimivaatimukset

Ota ISO 27001 minimivaatimukset haltuusi tämän webinaaritallenteen avulla.

Sisältönostot

Opi asiantuntijoidemme johdolla lisää standardista

ISO 27001 -standardi FAQ

Usein kysytyt kysymykset ja vastaukset.


Mikä on ISO 27001?

Standardi tarjoaa viitekehyksen organisaation tietoturvallisuuden hallintaan, jonka pohjalta organisaatio voi rakentaa itselleen sopivan tietoturvanhallintajärjestelmän.

ISO-standardit ovat kansainvälisiä viitekehyksiä, jotka kokoavat yhteen toimiviksi todettuja toimintamalleja organisaatioiden ja yritysten käyttöön.

ISO-standardien hyödyntäminen ei ole pelkkää sertifiointia varten tehtävää työtä, vaan strateginen valinta, joka lisää organisaatiosi luotettavuutta, parantaa riskienhallintaa ja tukee kilpailukykyä.

International Organization for Standardization eli ISO-organisaatio hallinnoi yhteisönsä avulla koostamiaan standardeja.

Mitä hyötyä standardista on?

Standardi tuottaa helpotusta muun muassa seuraaviin asioihin:

Arjen sujuvuuteen – vastuiden, roolien ja prosessien kuvaamisen avulla arki rullaa helpommin.

Konkreettisia työkaluja liiketoiminnan johtamiseen, kuten johdon katselmukset, sisäinen auditointi, riskienhallinta, toiminnan mittaaminen ja poikkeamien hallinta.

Liiketoiminnan läpinäkyvyys – prosessien kuvaamisen avulla organisaatio lisää toimintansa läpinäkyvyyttä ja auttaa prosessien visualisoinnin avulla henkilöstöään ymmärtämään liiketoiminnan kokonaisuutta sekä sitä, miten oma työpanos vaikuttaa asiakkaalle tuotettavaan palveluun tai tuotteeseen.

Blogi: Miksi hyödyntää ISO-standardeja

Miten vastata standardin vaatimuksiin?

Standardin vaatimuksiin vastaaminen edellyttää organisaatiosi toiminnan dokumentointia. Standardissa määritellään sertifikaatin saamiselle vaatimukset sekä suositukset. Vaatimuksien tulee olla organisaatiossa kunnossa, jotta serfikaatti voidaan myöntää.

ISO-standardit itsessään määrittävät vaatimuksen ja suosituksen eron seuraavanlaisesti:

Tekstissä oleva “on tehtävä” rakenne merkitsee vaatimusta.

Tekstissä oleva “olisi tehtävä” merkitsee suositusta.

Tietoturvallisuuden hallintajärjestelmän sertifioiminen vaatii myös hakijaltaan järjestelmän soveltamisalan määrittämisen. Eli mitä kaikkia organisaation toimintoja sertifioitu toiminta koskettaa, standardin vaatimukset huomioiden soveltamisalan määrittämisessä.

Tarvitseeko standardin mukainen toiminta sertifioida?

Sertifioituminen ei ole pakollista, mutta se tuo uskottavuutta ja kilpailuetua organisaatiollesi.

Blogi: Tavoitteena sertifikaatti

Miten ISO-standardin mukainen toiminta aloitetaan?

Aloita nykytilan arvioinnista, määrittele tavoitteet ja hanki osaamista haluamastasi ISO-standardista. Lisäksi suosittelemme hankkimaan standardin SFS:lta eli Suomen Standardit järjestöltä.

Blogi: Tavoitteena sertifikaatti?

Mitä työkaluja ISO-standardien hallintaan voi käyttää?

Tyypillisesti ISO-standardien mukaisen toiminnan avuksi organisaatio rakentaa itselleen laatu-, tietoturvanhallinta- tai toimintajärjestelmän.

Järjestelmään dokumentoidaan organisaation toiminta ja keskeisessä osassa järjestelmää ovat organisaation prosessit ja niihin linkitetty dokumentaatio kuten ohjeet, poikkeamien hallinta ja mittarit.

Voit rakentaa järjestelmän monen ohjelmiston avulla tai yhden järjestelmän periaatteella.

Arterin IMS-ohjelmiston avulla rakennat ISO-standardien vaatimuksien mukaisen laatu-, tietoturvanhallinta- tai toimintajärjestelmän yhden järjestelmän periaatteella.

ISO-standardien hallintaan tarvittavan ohjelmiston/järjestelmän tulisi tukea prosessien kuvaamista, dokumenttien ja käsikirjojen hallintaa, mittareiden ja raporttien seurantaa sekä riskienhallintaa, kuten Arterin IMS-ohjelmisto.

Mitä ISO 27001 maksaa?

ISO-standardit ovat on asiakirjoja, joita voit hankkia Suomen standardit järjestöltä SFS:lta. Standardin hinta riippuu siitä hankitko yksittäisen standardin vai pääsyn standardikirjastoon. ISO 27001 maksaa yksittäin ostettuna reilu 100 € – katso ajankohtaiset hinnat SFS:n verkkokaupasta.

Seritifiointiauditoinnin hinta riippuu organisaatiosi koosta ja siitä kuuluuko auditointiin mukaan myös esiauditointi.

Lisäksi kokonaiskustannuksiin vaikuttaa se hyödynnättekö sertifiointiin valmistautumisessa ulkopuolista apua kuten konsultointia tai koulutuksia.

Mahdolliset järjestelmähankinnat on myös hyvä huomioida standardin mukaisen toiminnan resurssoinnissa.

Koulutukset: ISO-standardit

Järjestämme kaikille avoimia koulutuksia, sekä organisaatiokohtaisia toteutuksia

Previous slide Next slide
ISO-stanradit IMS-ohjelmisto

OHJELMISTORATKAISU

Todenna ISO 27001 mukainen toiminta IMS-ohjelmiston avulla

IMS on suomalainen SaaS‑ohjelmisto, joka auttaa organisaatiotasi toteuttamaan ISO‑standardien mukaista toimintaa. IMS-ohjelmisto tuottaa myös helpotusta sertifiointiauditointiin, prosessilähtöiseen toimintaan sekä dokumentoidun tiedon versionhallintaan.

ISO-standardeihin liittyvät vahvuudet:

  • ISO-standardien vaatimuksien mukaisen laatu- tai toimintajärjestelmän rakentaminen valmiin pohjan avulla.
  • Prosessilähtöinen toiminta:  IMS-ohjelmiston helppokäyttöisen piirtotyökalun avulla luot selkeät kuvaukset organisaatiosi ydinprosseista ja tukiprosesseista.  Prosessit kuvataan Arterin kolmisivutekniikalla, ja niihin voidaan linkittää mittarit, riskit ja dokumentit.
  • Dokumentit ja käsikirjat: Versionhallinta ja hyväksyntäprosessit varmistavat tiedon ajantasaisuuden.
  • Mittarit ja raportit: Kerää palautteet, poikkeamat ja auditointihavainnot, ja muuntaa ne mittareiksi.
  • Riskit: Systemaattinen riskienhallinta ISO-standardien mukaisesti.
Lue lisää ja tilaa demo

Kaipaatko apua ISO 27001 -standardin soveltamiseen? Keskustele Arterin asiantuntijan kanssa ja haasta meidät helpottamaan arkeasi

Ota yhteyttä suoraan Wiljamiin, tai lähetä yhteydenottopyyntö oheisella lomakkeella.

This field is for validation purposes and should be left unchanged.
Suoramarkkinointirekisteri(Required)
Suoramarkkinointiviestejä