Blogi

ISO 27001 oppaana kyberturvallisuusmatkalla

Julkaistu 12.10.2018 kirjoittaja Jari Saali

Asiakkaiden toimintajärjestelmiä kehitettäessä työpajakeskusteluissa vilahtavaa myös seuraavia sanoja: tiedonhallinta, tietojärjestelmät ja -verkot, pilvipalvelut, järjestelmäintegroinnit, digitalisointi, käyttäjähallinta ja -koulutus. Yllättävän useasti kuulee myös, että em. asioita kyllä pohditaan, mutta se tehdään jossain muualla – kuin irrallaan. Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden vuoksi näitä asioita tulisi suunnitella, toteuttaa, kouluttaa, arvioida ja kehittää yhdessä kokonaisuutena, joka on kattavuudeltaan sovitettu organisaation toimintaympäristöön. Näin kyberturvallisuudesta tulee osa toimintaa eli arkea ja tukee osaltaan organisaation kokonaisvaltaisen riskienhallintaa.

Toisaalta kuulee myös kysymyksen kuinka ja miten päästä alkuun, jotta välttyy ylilyönneiltä ja turhan tekemiseltä. Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, niin oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.

27001 tukee muita standardeja

ISO 27001:n perusrakenne on toiminut pioneerina muiden (ISO 9001, 14001 ja 45001) viitekehysten rakenteelle, joten tänä päivänä eri viitekehysten välinen tuki ja yhteys on ilmeinen ja toinen toistaan tukevaa. ISO 27001:n yhteydessä näkökulmana on tietoturvallisuus ja sen perusrakenne ja sisällys koostuu jo tutuiksi tulleista elementeistä. Kyberturvallisuutta voidaan parantaa ja kehittää omaan organisaatioon ja toimintaympäristöön sopivaksi eri tavoilla esim. vesiputousmallilla ylhäältä alas. Näin kyberturvallisuuden kehitysmatka voidaan yksinkertaistaa alusta maaliin ja visualisoida henkilöstölle, vaikka näin askelmerkein:

Hallintakeinot ja VAHTI oppaana

Muista viitekehyksistä poiketen ISO 27001 myös opastaa käyttäjäänsä pysymään oikealla tiellä ja keskittymään asioihin, jotka vähintään tulee huomioida ja toteuttaa. ISO 27001 tarjoaa (standardin liitteessä A) 114 kpl hallintakeinoa, joihin tulee osoittaa toimiva menetelmä eli sopivasti omaan toimintaympäristöön mitoitettu toimintatapa. Tämä tarkoittaa, että toimintatapa on organisaatiossa suunniteltu, koulutettu, otettu käyttöön, sitä seurataan ja tarpeen mukaan kehitetään eteenpäin vastaamaan tulevaisuuden tarpeita. Jos 114 hallintakeinon haltuunotto heti alkuun tuntuu haastavalta, kannatta tutustua meidän kokoamaan infograafiin ISO 27001-standardin 10 keskeisestä vaatimuksesa.

Oman kyberturvallisuuskyvykkyyden rakentamiseen löytyy täydentävää apua mm. Valtionvarainministeriön VAHTI-ohjeistuksesta, joka osaltaan tukee ja ottaa huomioon ISO 27001 standardin vaatimuksia.

Kuva: Tietoturvallisuuden hallintajärjestelmän malli (VAHTI 3/2007 3. Tietoturvalli-suuden organisointi) — Kuva: Tietoturvallisuuden hallintajärjestelmän malli (VAHTI 3/2007 3. Tietoturvallisuuden organisointi)

Me Arterilla olemme luoneet kyberturvallisuuden hallintaan palvelun, jolla pystytään luomaan puitteet ja kyvykkyys oman kyberturvallisuuden hallintaan. Palvelu mitoitetaan asiakkaan tarpeen mukaan. Lue lisää Arterin palvelusta tästä blogitekstistä.

Tietoturvallista kyberturvallisuusmatkaa!

Opi lisää aiheesta Arterin pikaoppaasta

Pikaopas

Julkaistu 03.12.2019

Kyberturvallisuuden pikaopas

Lataa

Kirjoittaja

Jari Saali

Vanhempi konsultti

jari.saali@arter.fi +358 40 779 2682

Tietoa Tietoa

Kouluttaja Jari Saalilla on yli kahdenkymmenen vuoden kokemus kansainvälisessä pörssiyhtiössä mm. laatu-, ympäristö- ja turvallisuusjohtajana, pääauditoijana sekä valmistuksen johtoryhmän jäsenenä. Jari on menestyksellisesti johtanut kymmeniä toiminnankehittämisen, riskienhallinnan ja turvallisuuden sekä jatkuvan parantamisen projekteja Suomessa ja ulkomailla.