ISO 27001 10 keskeistä vaatimusta

ISO 27001 – 10 keskeistä vaatimusta

Jaa myös muille

Tietoturvallisuudesta ja siitä huolehtimisesta puhutaan nykyään paljon – eikä suotta, sillä onhan tietoturvallisuus osa organisaation toiminnan laatua.

Lataa itsellesi tulostettava ISO 27001 - 10 vaatimusta -infograafi, josta näet standardin keskeiset vaatimukset tietoturvallisuuden hallintajärjestelmän luomiseen, toteuttamiseen, ylläpitämiseen ja jatkuvaan parantamiseen.

Tietoturvan varmistaminen tarkoittaa tiedon luottamuksellisuuden, eheyden ja saatavuuden takaamista, jolloin on tärkeää, että kaikki organisaation osaset, niin tekniset kuin fyysiset, toimivat yhdessä tietoturvallisesti. Tietoturvallisuuden toteutumisessa ihmisten osuutta ei tule myöskään unohtaa, sillä toimintakulttuurilla on keskeinen osuus onnistuneen tietoturvan kannalta. Kyberturvallisuuden varmistamisessa on tarkoitus turvata kybertoimintaympäristö, eli sähköisessä muodossa olevat tietojärjestelmät ja palvelut, joihin kuitenkin myös sisältyy fyysisten rakenteiden suojaaminen. 1

Standardin keskeiset vaatimukset

ISO 27001-standardia toteuttavan organisaation on toteutettava tietoturvallisuuden hallintajärjestelmä, sekä ylläpidettävä ja parannettava sitä jatkuvasti vaatimusten mukaisesti.2

Tätä tarkoitusta varten tulee ensinnäkin luoda organisaatioon hallintarakenne, jolla tietoturvallisuutta toteutetaan ja hallitaan. Käytännössä tämä rakenne tarkoittaa organisaation sisäistä tietoturvaryhmää, joka huolehtii tietoturvaan liittyvistä asioista. Ylimmän johdon tehtävänä on varmistaa, että tietoturvan kannalta tärkeiden roolien vastuut ja valtuudet määritellään, ja niistä viestitään. Vastuuhenkilöiden on varmistettava tietoturvan vaatimustenmukaisuus, sekä raportoitava tietoturvallisuuden hallintajärjestelmän suorituskyvystä. Tietoturvatyötä tulee lähestyä riskiperusteisesti.

Lisäksi tietoturvan varmistamiseksi tulee määritellä suojattava omaisuus, eli esimerkiksi ne tietojärjestelmät, jotka organisaatiossa ovat käytössä ja joissa tietoturvariskejä on mahdollista esiintyä. Tietojärjestelmien kohdalla määritellään myös järjestelmien käyttäjäryhmät ja vastuuhenkilöt. Tietoturvan toteutussuunnitelmassa taas esitetään tietoturvatyön käytännön toteutuksen vaiheet ja seuranta, jotta voidaan varmistaa haluttujen tulosten saavuttaminen. ISO 27001-standardin mukaan tulee laatia toimenpiteet tietoturvallisuuden ylläpidolle osana organisaation jatkuvaa toimintaa. Tässä apuna toimii esimerkiksi vuosikello, jotta varmistetaan tietoturvan ajantasaisuus jokaisena hetkenä. Esimerkiksi tulevat tietoturvan toimenpiteet ja niiden ajankohdat voidaan tämän avulla määritellä.

Standardin vaatimuksiin sisältyy myös tietoturvapolitiikan laadinta. Tietosuoja- ja riskienhallintapolitiikan laadinta ja dokumentointi tapahtuu erikseen, ja niihin ISO 27001 ei velvoita. Laadittava tietoturvapolitiikka on tarvittaessa sidosryhmien saatavilla, ja siinä määritellään eri käytännöt tietoturvan varmistamiseksi. Sen sijaan tietoturvan ohjeistaminen tapahtuu sisäisesti kahdella eri tavalla. Tietoturvaohjeet laaditaan, jotta henkilöstö osaa käyttäytyä tietoturvallisesti. Henkilöstö saattaa usein olla tietoturvan toteuttamisen ”heikoin lenkki”, ja hyväkin tietoturvallisuuden suunnitelma epäonnistuu, mikäli henkilöstö ei osaa sitä toteuttaa. Tietoturvan toimintaohjeet onkin dokumentoitava ja niiden on oltava kaikkien saatavilla. Ohjeistus tietoturvan hallintaan taas laaditaan vain tietoturvatiimin käyttöön tarkempana ohjeistuksena mahdollisten haavoittuvuuksien varalle.

Toiminnassa voidaan havaita muutoksia tai poikkeamia, joihin tulee varautua. Jatkuvuussuunnitelmassa organisaatio määritteleekin, miten varmistaa tietoturvan kaikissa olosuhteissa, esimerkiksi juuri poikkeamia havaitessa. Käytännön tasolla tietoturvan varmistus tapahtuu kuvaamalla tietoturvaprosessit, joilla varmistetaan tietoturvan varmistaminen organisaation toiminnassa. Prosessit voidaan kuvata esimerkiksi visuaalisesti uimaratakaavioilla, ja varmistaa, että toimitaan oikein jokaisessa tietoturvan tilanteessa.

Tietoturvaprosessit voidaan kuvata uimaratakaavioiden avulla

Tietoturvallisuuden varmistamiseen kuuluu olennaisena osana myös tietoturvan riskienhallinta, jossa kuvataan organisaation tietoturvaan liittyvät riskit, niiden suuruudet ja todennäköisyydet. Riskeille voidaan laskea vaikuttavuusluku, jonka jälkeen havaitaan toiminnalle sietämättömät riskit. Mahdolliset havaitut haavoittuvuudet ja kyberhyökkäykset kirjataan ylös tietoturvapoikkeamiin, mikä toimii ”lokina”, joka kertoo poikkeamatilanteiden kohdalla mitä on tapahtunut ja milloin.

Lopuksi auditointi

Loppusuoralla, kun tietoturvallisuuden hallintajärjestelmien ISO 27001-standardin vaatimukset on täytetty, toteutetaan auditointi, jossa todetaan hallintajärjestelmän vaatimustenmukaisuus ja onnistunut ylläpito. Tässä vaiheessa voidaan jo onnitella, mikäli tietoturvavaatimukset täytetään ja toimenpiteet auditointia varten on tehty. Sisäisiä auditointeja tulee lisäksi tehdä organisaatiossa suunnitelluin aikavälein.

Lataa tulostettava infograafi ISO 27001 - 10 keskeistä vaatimusta

ISO 27001 Infograafi

1: Tietoturvallisuus, VM

2. SFS-EN ISO/IEC 27001:2017, SFS ry.

 

Tagged , .

Noora on IT-maailman kiemuroissa seikkaileva Arterin Marketing Specialist.