Blogi
ISO 27001 -standardin 10 keskeistä vaatimusta
Tietoturvallisuudesta ja siitä huolehtimisesta puhutaan nykyään paljon – eikä suotta, sillä onhan tietoturvallisuus osa organisaation toiminnan laatua.
Tietoturvan varmistaminen tarkoittaa tiedon luottamuksellisuuden, eheyden ja saatavuuden takaamista, jolloin on tärkeää, että kaikki organisaation osaset, niin tekniset kuin fyysiset, toimivat yhdessä tietoturvallisesti.
Tietoturvallisuuden toteutumisessa ihmisten osuutta ei tule myöskään unohtaa, sillä toimintakulttuurilla on keskeinen osuus onnistuneen tietoturvan kannalta. Kyberturvallisuuden varmistamisessa on tarkoitus turvata kybertoimintaympäristö, eli sähköisessä muodossa olevat tietojärjestelmät ja palvelut, joihin kuitenkin myös sisältyy fyysisten rakenteiden suojaaminen. 1
👉 Lataa itsellesi Näin rakennat tietoturvallisuuden hallintamallin -pikaopas tästä.
ISO 27001 standardin keskeiset vaatimukset
ISO 27001-standardia toteuttavan organisaation on toteutettava tietoturvallisuuden hallintajärjestelmä, sekä ylläpidettävä ja parannettava sitä jatkuvasti vaatimusten mukaisesti.2
Arterin tietoturvapäällikkö Aleksi Rossi nostaa standardista esiin 10 keskeistä kohtaa.
ISO 27001 kymmenen keskeistä vaatimusta ovat:
1️⃣ Toimintaympäristön määritys
2️⃣ Suojattava omaisuus
3️⃣ Johtajuus
4️⃣ Tietoturvapolitiikka
5️⃣ Riskienhallinta
6️⃣Soveltuvuuslausunto
7️⃣Dokumentaatio
8️⃣ Mittarit
9️⃣Auditoinnit ja johdon katselmukset
🔟 Jatkuva parantaminen
1. Toimintaympäristön määritys
Toimintaympäristön määrityksessä selvitetään, mikä on tietoturvallisuuden hallintajärjestelmän laajuus ja mitä kaikkea se kattaa. Oleellisessa asemassa ovat myös hallintajärjestelmään ja organisaation toimintaan liittyvät sidosryhmät ja se, minkälaisia vaatimuksia he toiminnalle asettavat.
2. Suojattava omaisuus
Tietoturvan varmistamiseksi organisaation tulee määritellä suojattava omaisuus, eli konkreettinen listaus niistä asioista, joita hallintajärjestelmällä pyritään suojaamaan. Näitä ovat esimerkiksi tiedot ja tietojärjestelmät, sekä laitteet ja toimitilat. Tärkeää on myös määrittää suojattavan omaisuuden vastuut ja omistajuus.
3. Johtajuus
Kuten kaikissa ISO-standardeissa, myös ISO 27001 -standardissa johdolla on tärkeä rooli. Johdon tulee sitoutua hallintajärjestelmän mukaiseen toimintaan ja järjestelmän kehittämiseen.
Johdon tehtävänä on myös taata hallintajärjestelmän rakentamiseen vaaditut resurssit, sekä määrittää organisaation tietoturvaroolit. Organisaation johto varmistaa, että tietoturvan kannalta tärkeiden roolien vastuut ja valtuudet määritellään, ja niistä viestitään.
4. Tietoturvapolitiikka
Johdon tulee myös laatia tietoturvapolitiikka, joka määrittää organisaation tavoitteita tietoturvan osalta. Tietoturvapolitiikasta tulee myös käydä ilmi sitoutuminen tietoturvavaatimusten täyttämiseen, sekä hallintajärjestelmän jatkuvaan parantamiseen.
5. Riskienhallinta
Riskienhallinta on mahdollisesti olennaisin osa ISO 27001 -standardia, ja tietoturvatyötä onkin hyvä lähestyä riskiperusteisesti.
Organisaation tulee määrittää riskienhallintaan prosessi, sekä ne käytännöt, joilla se kykenee sekä tunnistamaan, arvioimaan että vastuuttamaan toiminnassa esiintyviä riskejä. Tämän lisäksi riskeille tulee määrittää hallintakeinot ja toimenpidesuunnitelmat.
6. Soveltuvuuslausunto
ISO 27001 -standardi sisältää yhteensä 93 eri tietoturvan hallintakeinoa. Soveltuvuuslausunnossa tuleekin ilmaista, mitä näistä hallintakeinoista organisaatiossa sovelletaan, millä tavalla ja mihin perustuen. Monia näistä hallintakeinoista voidaan käyttää esimerkiksi tunnistettujen riskien hallitsemiseen.
7. Dokumentaatio
Standardin laajuus huomioon ottaen, se ei välttämättä vaadi suurta määrää dokumentoitua tietoa. Tietty määrä dokumentaatiota on kuitenkin vaadittu, ja monesti käytäntöjen dokumentointi on myös paras tapa viestiä ja jakaa tietoa eteenpäin organisaatiolle.
Tietoturvaohjeet laaditaan, jotta henkilöstö osaa käyttäytyä tietoturvallisesti. Henkilöstö saattaa usein olla tietoturvan toteuttamisen ”heikoin lenkki”, ja hyväkin tietoturvallisuuden suunnitelma epäonnistuu, mikäli henkilöstö ei osaa sitä toteuttaa. Pidä siis huolta ajantasaisista politiikoista, prosessikuvauksista ja toimintaohjeista!
Prosessit voidaan kuvata esimerkiksi visuaalisesti uimaratakaavioilla, mitä havainnollistaa alla oleva esimerkkikuva.
Tietoturvaprosessit, Kyberturvallisuuden hallintamalli
8. Mittarit
Tietoturvallisuuden hallintajärjestelmän suorituskyvyn arviointi on yksi standardin edellytyksistä. Tehokkaimpia tapoja toteuttaa tätä käytännössä, ovat erilaiset tietoturvamittarit, joilla pystytään todentamaan tapahtunutta toimintaa.
Mittarit tulee organisaatiossa myös sitoa asetettuihin tietoturvatavoitteisiin, jotta niiden toteutumista voidaan seurata. Kannattaa siis jo tavoiteasetannan vaiheessa miettiä, millä tavalla tavoitteiden etenemistä seurataan.
9. Auditoinnit ja johdon katselmukset
Mittareiden ohella tietoturvallisuuden hallintajärjestelmää arvioidaan säännöllisesti auditoinneilla ja johdon katselmuksilla.
ISO 27001 -standardi vaatii sekä sisäisiä että ulkoisia auditointeja, ja näihin on syytä varautua koko organisaation osalta.
Johdon katselmuksessa taas tarkastellaan, kuinka vaikuttavasti luotu hallintajärjestelmä toimii ja onko toimintaympäristössä mahdollisesti tapahtunut hallintajärjestelmään vaikuttavia muutoksia.
10. Jatkuva parantaminen
Viimeisimpiä standardin vaatimuksia on hallintajärjestelmän jatkuva parantaminen. Jatkuvalla parantamisella pyritään sekä oman tietoturvallisen toiminnan, että standardin vaatimustenmukaisuuden ylläpitämiseen.
Yksi tehokas tapa toteuttaa jatkuvaa parantamista on poikkeamien hallintaprosessi, jossa määritellään, miten toiminnassa havaittuihin poikkeamiin reagoidaan ja miten niitä käsitellään. Tietoturvapoikkeamat toimivat ”lokina”, joka kertoo mitä poikkeamatilanteissa on tapahtunut ja milloin.
Blogia on päivitetty helmikuussa 2023.
👉 Matka kohti ISO 27001 -sertifikaattia – näin pääset alkuun tietoturvatyössä | blogi
👉 Tietoturvallisuusjohtamisjärjestelmän rakentamisen vaiheet – 38 askelta | ladattava materiaali
👉 Näin rakennat tietoturvallisuuden hallintamallin | ladattava pikaopas
Onko tietoturvallisuuden kehittäminen ajankohtaista? Lataa avuksesi pikaopas, jonka avulla ymmärrät miten voit rakentaa ISO 27001 mukaisen tietoturvallisuuden hallintamallin.
Lomakkeen täyttämällä saat itsellesi Näin rakennat tietoturvallisuuden hallintamallin -pikaoppaan
* Merkityt kohdat ovat pakollisia.
