Blogi

ISO 27001 -standardin minimivaatimukset

Julkaistu 18.10.2022 kirjoittaja Jari Saali

Tietoturva kiinnostaa tällä hetkellä monia organisaatioita ja on lähes päivittäin otsikoissa. Tarpeet sekä tilanteet voivat vaihtua ja jopa yllättää organisaation hyvinkin nopeasti – muutos on jatkuvaa. Monessa organisaatiossa pohditaan, mikä on juuri meidän organisaatiollemme sopivin ja toimivin tietoturvan taso ja mitä sen toteuttaminen, ylläpito ja kehittäminen vaatii nyt ja tulevaisuudessa.

⬇️ Katso ISO 27001 -standardin minimivaatimukset -webinaaritallenne alta tai ota minimivaatimukset haltuun tämän blogin avulla.

Mistä löytyy minimivaatimustaso?

Kunkin organisaation minimitaso määräytyy kokonaisuudesta, joka on vähintään tehtävä, riittävän hyvän tietoturvatason saavuttamiseksi. Niinpä jokaisella organisaatiolla on erilainen minimi, joka riippuu muun muassa toimialasta, sidosryhmistä, palveluista/tuotteista ja erilaisista vaatimuksista.

1️⃣ Perehdy siis edustamasi organisaation toimintaympäristöön ja johda sieltä minimivaatimukset ja -odotukset ennemmin kuin lukisit pelkästään standardin velvoittavat kohdat ja toteuttaisit vain niitä.

2️⃣ Toteuttakaa organisaatiolle ja sen tarpeisiin sopiva tietoturvajärjestelmä omilla ehdoillanne – ei standardin vuoksi.

3️⃣ ISO 27001 -standardi viitekehys toimii hyvänä ohjeena tietoturvan rakentamistyössä, vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä.

👉 Tämän pikaoppaan avulla ymmärrät mitä ISO 27001 -standardin mukaisen tietoturvallisuuden hallintamallin rakentaminen pitää sisällään – Pikaopas: Näin rakennat tietoturvallisuuden hallintamallin

Organisaation tietoturva on kokonaisuus, jota ei pidä päälle liimata olemassa olevan toiminnan rinnalle tai sysätä vastuuta ICT-osaston harteille

Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva:

  • suunnitellaan,
  • toteutetaan,
  • koulutetaan,
  • arvioidaan,
  • seurataan ja
  • kehitetään yhdessä kokonaisuutena.

Kattavuudeltaan tietoturva tulee sovittaa organisaation toimintaympäristöön, sidosryhmien ja liiketoiminnan tarpeisiin. Näin tietoturvallisuudesta tulee osa arkea ja tukee osaltaan organisaation kokonaisvaltaista riskienhallintaa.

Näin lähdet liikkeelle ISO 27001 -standardin mukaisessa tietoturvatyössä – 8️⃣ kohdan muistilista

Tässä sinulle muistilista, jonka avulla voit lähteä liikkeelle ISO 27001 -standardin mukaisessa tietoturvatyössä niin, että standardin vaatimuksiin vastataan organisaation omien tarpeiden mukaan.

  1. Kartoita tarve
    • Miksi ja mihin tarvitsemme tietoturvaa?
    • Mitä tarpeen täyttäminen vaatii?
    • Miten tietoturva työ rajautuu? Mitä koskee? Mitä ei koske?
    • Kuinka hoidamme viestinnän niin sisäisesti kuin ulkoisesti?
    • Kuinka koko organisaatiolle ja tärkeille sidosryhmille saadaan ymmärrys tietoturvatason nostamisen tärkeydestä ja sitä kautta sitoutuminen tulevaan kehitystyöhön?
  2. Varmista tuki
    • Kuinka johto osoittaa sitoutumisen tietoturvaan mm. esimerkillään, nostoillaan, seurannallaan ja priorisoimalla?
    • Millainen on tietoturvan ydinryhmä? Millainen edustus eri osa-aluilta tarvitaan?
    • Millainen on kehitysprojektin aikataulu ja resursointi? Milloin haluamme olla valmiita? Tarvitaanko priorisoituja kehitysaaltoja?
    • Kuinka voimme hyödyntää ja hyötyä muista toimintajärjestelmän elementeistä (laatu, ympäristö ja/tai työsuojelu?
  3. Tunnista toimintaympäristö
    • Mistä muodostuu organisaatiomme suojattavat kohteet, jonka tueksi rakennamme tietoturvaa?
    • Mitkä ovat keskeiset sidosryhmät, joille tietoturva näkyy? Asiakkaat? Henkilöstö? Kumppanit?
    • Miten tunnistamme ja keräämme tietoturvavaatimukset yhteen, jotta tietoturva asettuu oikealle tasolle ja täyttää ne?
    • Onko jotkin palvelut tai prosessit tietoturvan kannalta kriittisempiä kuin toiset?
    • Kuinka havainnoimme tietoturvan kannalta oleelliset riskit ja mahdollisuudet?
  4. Perusta tietoturvan johtamisen periaatteet
    • Mitä tietoturvapolitiikkamme kattaa?
    • Kuinka tunnistetaan pidemmän aikavälin tietoturvan päämäärät ja kuinka niistä johdetaan lyhyemmän aikavälin tavoitteet?
    • Millainen on johtamisen malli? Päätöskäytännöt? Roolit – vastuut ja valtuudet?
    • Kuinka huomioidaan normaali- ja häiriötilanteet?
    • Minkälainen on riittävä muutoshallinta?
  5. Varaa aikaa suunnittelulle
    • Kuinka riskienhallinta ja -arviointi on riittävä ja pysyy ajan tasaisena?
    • Miten hoidamme viestinnän ja kuinka löydämme oikeat sidosryhmät? Kerrommeko riittävästi? Kuuntelemmeko tarpeeksi?
    • Minkälaista osaamista ja pätevyyttä tarvitsemme nyt? Tulevaisuudessa?
    • Kuinka huomioimme toimintamalleissa koko elinkaaren ja sen kehittämisen?
  6. Vie käytäntöön yhteiset toimintatavat
    • Kuinka toimimme normaalitilanteessa tietoturvallisesti, niin että arki sujuu?
    • Kuinka olemme varautuneet tyypillisiin häiriötilanteisiin?
    • Kuinka saamme kiinni erilaisista lähteistä tulevat tietoturvasignaalit ja osaamme reagoida niihin oikein?
    • Miten keräämme ja ylläpidämme tietoa tietoturvajärjestelmämme tasosta?
  7. Seuraa ja arvioi tietoturvan tasoa
    • Mikä on tehokas ja sopiva määrä hyviä tietoturvatason mittareita? Ymmärrämmekö mittarin takana olevat syy-seuraussuhteet?
    • Miten arvioimme ja auditoimme tietoturvan tasoa ja riittävyyttä?
    • Millaiset ovat tietoturvaan liittyvät palautekanavat? Kuinka havainnot ohjaavat tulevaisuutta?
    • Minkälainen tilannekuva on tietoturvasta ja kuinka sitä ohjataan?
  8. Paranna tietoturvaa hallitusti
    • Kuinka voimme kohdistaa tietoturva kehitystyön oikein ja oikea aikaisesti?
    • Millainen on meidän kokonaisvaltainen muutoksenhallinta?

Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia, joten näiden huomioinen ja yhteen liittäminen säästää vaivaa, koska perusrakenne on sama, mutta näkökulma vaihtuu eri hallintajärjestelmien välillä.

Tyypillisesti tietoturvan kehittämisessä syntyvää hallittavaa tietoa, ISO 27001, Arter Oy
Tyypillisesti tietoturvan kehittämisessä syntyvää hallittavaa tietoa. KLIKKAA KUVA ISOMMAKSI.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista minimiratkaisumallia ei ole, vaan organisaation tietoturvallisuusjärjestelmän riittävä taso tulee rakentaa kokonaisuus ymmärtäen.

Tietoturvajärjestelmän menestystekijät, ISO 27001, Arter Oy
Tietoturvajärjestelmän menestystekijät. KLIKKAA KUVA ISOMMAKSI.

Me Arterilla autamme sinua matkalla kohti tietoturvasertifiointia tarjoamalla asiantuntevaa koulutusta sekä apua toimivan ratkaisun rakentamisessa tai olemassa olevan toimintajärjestelmän laajentamisessa. Ohjelmisto riippumattomien Qualitas Fennica -koulutusten lisäksi IMS– ja ARC-ohjelmistomme tukevat järjestelmällistä tietosuoja ja -turvatyötä ja sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa.

👉 Tutustu tietoturvallisuuteen liittyviin koulutuksiin tästä. 

Suosittelen sinulle näitä sisältöjä:

👉 ISO 27001:2022 päivittyneen standardin keskeiset muutokset | webinaari
👉 ISO 27001 -standardin 10 keskeistä vaatimusta| blogi
👉 Tietoturvallisuuden hallintajärjestelmän rakentamisen vaiheet | blogi

 

Kaipaatko apua ISO 27001 -standarin mukaiseen tieturvallisuuden hallintaan? Lataa avuksesi pikaopas, jonka avulla ymmärrät, mitä tietoturvallisuuden hallintamallin rakentaminen pitää sisällään.

Kirjoittaja

Jari Saali

Vanhempi konsultti

jari.saali@arter.fi +358 40 779 2682
Tietoa Tietoa

Arterin seniortason konsultti Jari Saalilla on lähes 30 vuoden historia eri organisaatioiden toiminnan kehittämisen parista. Hänellä on laaja kokemus ja tietämys johtamisen, toimintajärjestelmien, riskienhallinnan ja jatkuvuuden sekä tiedonhallinnan ja -turvan osa-alueilta. Jari saa usein palautetta siitä, miten hänen rauhallinen ja määrätietoinen tapansa luotsata asiakasprojekteja tarttuu projektiryhmiin: suunnitellut muutokset tulevat tehdyiksi ja ne juurtuvat arkeen.

Liittyvät materiaalit

Kaikki resurssit