Blogi

ISO 27001 -standardin minimivaatimukset

Tietoturva kiinnostaa tällä hetkellä monia organisaatioita ja on lähes päivittäin otsikoissa. Tarpeet sekä tilanteet voivat vaihtua ja jopa yllättää organisaation hyvinkin nopeasti – muutos on jatkuvaa. Monessa organisaatiossa pohditaan, mikä on juuri meidän organisaatiollemme sopivin ja toimivin tietoturvan taso ja mitä sen toteuttaminen, ylläpito ja kehittäminen vaatii nyt ja tulevaisuudessa.

Organisaation tietoturva on kokonaisuus, jota ei pidä rakentaa erikseen tai päälle liimata olemassa olevan toiminnan rinnalle tai sysätä vastuuta ICT-osaston harteille.

Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva:

  • suunnitellaan,
  • toteutetaan,
  • koulutetaan,
  • arvioidaan,
  • seurataan ja
  • kehitetään yhdessä kokonaisuutena.

Kattavuudeltaan tietoturva tulee sovittaa organisaation toimintaympäristöön, sidosryhmien ja liiketoiminnan tarpeisiin. Näin tietoturvallisuudesta tulee osa arkea ja tukee osaltaan organisaation kokonaisvaltaista riskienhallintaa.

Katso ISO 27001 -standardin minimivaatimukset -webinaaritallenne alta tai tutustu aiheeseen tämän blogin avulla.

Mistä löytyy niin sanottu minimivaatimustaso?

Kunkin organisaation minimitaso määräytyy kokonaisuudesta, joka on vähintään tehtävä, riittävän hyvän tietoturvatason saavuttamiseksi.

Niinpä jokaisella organisaatiolla on erilainen minimi, joka riippuu muun muassa toimialasta, sidosryhmistä, palveluista/tuotteista ja erilaisista vaatimuksista.

  1. Perehdy siis edustamasi organisaation toimintaympäristöön ja johda sieltä minimivaatimukset ja -odotukset ennemmin kuin lukisit pelkästään standardin velvoittavat kohdat ja toteuttaisit vain niitä.
  2. Toteuttakaa organisaatiolle ja sen tarpeisiin sopiva tietoturvajärjestelmä omilla ehdoillanne – ei standardin vuoksi.
  3. ISO 27001 -standardi viitekehys toimii hyvänä ohjeena tietoturvan rakentamistyössä, vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä.

Miten lähteä liikkeelle ISO 27001 -standardin mukaisessa tietoturvatyössä niin, että standardin vaatimuksiin vastataan organisaation omien tarpeiden mukaan?

  1. Kartoita tarve
    • Miksi ja mihin tarvitsemme tietoturvaa?
    • Mitä tarpeen täyttäminen vaatii?
    • Miten tietoturva työ rajautuu? Mitä koskee? Mitä ei koske?
    • Kuinka hoidamme viestinnän niin sisäisesti kuin ulkoisesti?
    • Kuinka koko organisaatiolle ja tärkeille sidosryhmille saadaan ymmärrys tietoturvatason nostamisen tärkeydestä ja sitä kautta sitoutuminen tulevaan kehitystyöhön?
  2. Varmista tuki
    • Kuinka johto osoittaa sitoutumisen tietoturvaan mm. esimerkillään, nostoillaan, seurannallaan ja priorisoimalla?
    • Millainen on tietoturvan ydinryhmä? Millainen edustus eri osa-aluilta tarvitaan?
    • Millainen on kehitysprojektin aikataulu ja resursointi? Milloin haluamme olla valmiita? Tarvitaanko priorisoituja kehitysaaltoja?
    • Kuinka voimme hyödyntää ja hyötyä muista toimintajärjestelmän elementeistä (laatu, ympäristö ja/tai työsuojelu?
  3. Tunnista toimintaympäristö
    • Mistä muodostuu organisaatiomme suojattavat kohteet, jonka tueksi rakennamme tietoturvaa?
    • Mitkä ovat keskeiset sidosryhmät, joille tietoturva näkyy? Asiakkaat? Henkilöstö? Kumppanit?
    • Miten tunnistamme ja keräämme tietoturvavaatimukset yhteen, jotta tietoturva asettuu oikealle tasolle ja täyttää ne?
    • Onko jotkin palvelut tai prosessit tietoturvan kannalta kriittisempiä kuin toiset?
    • Kuinka havainnoimme tietoturvan kannalta oleelliset riskit ja mahdollisuudet?
  4. Perusta tietoturvan johtamisen periaatteet
    • Mitä tietoturvapolitiikkamme kattaa?
    • Kuinka tunnistetaan pidemmän aikavälin tietoturvan päämäärät ja kuinka niistä johdetaan lyhyemmän aikavälin tavoitteet?
    • Millainen on johtamisen malli? Päätöskäytännöt? Roolit – vastuut ja valtuudet?
    • Kuinka huomioidaan normaali- ja häiriötilanteet?
    • Minkälainen on riittävä muutoshallinta?
  5. Varaa aikaa suunnittelulle
    • Kuinka riskienhallinta ja -arviointi on riittävä ja pysyy ajan tasaisena?
    • Miten hoidamme viestinnän ja kuinka löydämme oikeat sidosryhmät? Kerrommeko riittävästi? Kuuntelemmeko tarpeeksi?
    • Minkälaista osaamista ja pätevyyttä tarvitsemme nyt? Tulevaisuudessa?
    • Kuinka huomioimme toimintamalleissa koko elinkaaren ja sen kehittämisen?
  6. Vie käytäntöön yhteiset toimintatavat
    • Kuinka toimimme normaalitilanteessa tietoturvallisesti, niin että arki sujuu?
    • Kuinka olemme varautuneet tyypillisiin häiriötilanteisiin?
    • Kuinka saamme kiinni erilaisista lähteistä tulevat tietoturvasignaalit ja osaamme reagoida niihin oikein?
    • Miten keräämme ja ylläpidämme tietoa tietoturvajärjestelmämme tasosta?
  7. Seuraa ja arvioi tietoturvan tasoa
    • Mikä on tehokas ja sopiva määrä hyviä tietoturvatason mittareita? Ymmärrämmekö mittarin takana olevat syy-seuraussuhteet?
    • Miten arvioimme ja auditoimme tietoturvan tasoa ja riittävyyttä?
    • Millaiset ovat tietoturvaan liittyvät palautekanavat? Kuinka havainnot ohjaavat tulevaisuutta?
    • Minkälainen tilannekuva on tietoturvasta ja kuinka sitä ohjataan?
  8. Paranna tietoturvaa hallitusti
    • Kuinka voimme kohdistaa tietoturva kehitystyön oikein ja oikea aikaisesti?
    • Millainen on meidän kokonaisvaltainen muutoksenhallinta?

Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia, joten näiden huomioinen ja yhteen liittäminen säästää vaivaa, koska perusrakenne on sama, mutta näkökulma vaihtuu eri hallintajärjestelmien välillä.

Tyypillisesti tietoturvan kehittämisessä syntyvää hallittavaa tietoa, ISO 27001, Arter Oy
Tyypillisesti tietoturvan kehittämisessä syntyvää hallittavaa tietoa. KLIKKAA KUVA ISOMMAKSI.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista minimiratkaisumallia ei ole, vaan organisaation tietoturvallisuusjärjestelmän riittävä taso tulee rakentaa kokonaisuus ymmärtäen.

Tietoturvajärjestelmän menestystekijät, ISO 27001, Arter Oy
Tietoturvajärjestelmän menestystekijät. KLIKKAA KUVA ISOMMAKSI.

Me Arterilla autamme sinua matkalla kohti tietoturvasertifiointia tarjoamalla asiantuntevaa koulutusta sekä apua toimivan ratkaisun rakentamisessa tai olemassa olevan toimintajärjestelmän laajentamisessa. Ohjelmisto riippumattomien Qualitas Fennica -koulutusten lisäksi IMS- ja ARC-ohjelmistomme tukevat järjestelmällistä tietosuoja ja -turvatyötä ja sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa.

👉 Tutustu Qualitas Fennican tietoturvallisuuteen liittyviin koulutuksiin tästä. 
👉 Tutustu IMS-ohjelmistoon tästä.
👉 Tutustu ARC-ohjelmistoon tästä.

Suosittelen sinulle näitä sisältöjä:

👉 ISO 27001 -standardin 10 keskeistä vaatimusta | blogi
👉 Tietoturvallisuuden hallintajärjestelmän rakentamisen vaiheet | blogi
👉 Tietoturvallisuuden vähimmäisvaatimukset -checklist | ladattava materiaali
👉 Pikaopas: Näin rakennat tietoturvallisuuden hallintamallin | ladattava materiaali

Kirjoittaja

Kouluttaja Jari Saalilla on yli kahdenkymmenen vuoden kokemus kansainvälisessä pörssiyhtiössä mm. laatu-, ympäristö- ja turvallisuusjohtajana, pääauditoijana sekä valmistuksen johtoryhmän jäsenenä. Jari on menestyksellisesti johtanut kymmeniä toiminnankehittämisen, riskienhallinnan ja turvallisuuden sekä jatkuvan parantamisen projekteja Suomessa ja ulkomailla.

Liittyvät materiaalit