ISO 27001 – Tietoturvallisuuden standardi

ISO 27001-standardi koskee tietoturvallisuuden hallintajärjestelmää, sisältäen vaatimuksia ja suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin.¹

Tietoturvallisuus ja kyberturvallisuus

Organisaatioissa tietoturvallisuuden rooli ja merkitys toiminnassa on suurentunut entisestään uusien ja jatkuvasti kasvavien tietoturva- ja kyberuhkien ansiosta. Organisaatioiden toimintatavat, käytössä olevat työkalut ja koko toimintaympäristö muuttuvat, jolloin ollaan jatkuvasti riippuvaisempia erilaisista tietojärjestelmistä.

Sana tietojärjestelmä rinnastetaan joskus tietokoneohjelmistoon, mutta todellisuudessa se voi koostua yhdistelmästä tietoa käsitteleviä tietokoneita, järjestelmään tietoa syöttäviä ihmisiä, dataa sisältäviä tietokantoja, ja eri rajapinnat yhteen kokoavaa ohjelmistoa. Esimerkiksi sosiaali- ja terveysalan tietojärjestelmä viittaa asiakastietojen sähköistä käsittelyyn luotuun ohjelmistoon tai järjestelmään, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja².

Tietoturvallisuus ei siis koske ainoastaan teknologiarajapintaa, vaan sisältää myös mm. henkilöstön, fyysisen turvallisuuden, häiriötilanteet ja toiminnan jatkuvuuden varmistamisen³. Myös kyberturvallisuus koostuu eri toimijoiden vuorovaikutuksesta, joita ovat ihmiset, ohjelmistot ja palvelut, ja jotka toimivat nykyajan verkottuneessa yhteiskunnassa teknologian avulla verkon välityksellä.

ISO 27001-standardi

Tietoturvallisuuden hallintajärjestelmä on organisaation strategisena päätöksenä keino suojata organisaation taloudellista informaatiota ja aineetonta omaisuutta, sekä työntekijöiden henkilötietoja tai asiakkaiden tai muiden osapuolten organisaatiolle antamia tietoja.³ ISO 27001 on johtamisen viitekehys, jonka avulla eri organisaatiot saavat itsellensä menetelmät liiketoiminnan kannalta kriittisen tiedon suojaamiseen. Menetelmiä voi myös laajentaa kattamaan laajemmin eri tietoturvallisuuden osa-alueita. Lue myös aiempi blogikirjoitus kyberturvallisuudesta huolehtimisesta organisaation kilpailuetuna.

Standardin vaatimukset, joita on päivitetty vastaamaan aina uutta toimintaympäristöä, kohdistuvat tiedon luottamuksellisuuden, eheyden ja saatavuuden takaamiseen.

Samat kohdat pätevät kyberturvallisuuden kohdalla kyberavaruudessa. Tietoturvallisuuden hallintajärjestelmää luotaessa tuleekin kartoittaa kaikki mahdolliset riskit, jotka käsiteltävään tietoon voivat kohdistua. Riskiarvioinnin jälkeen viitekehys voidaan luoda organisaation tarpeiden mukaiseksi, missä ISO 27001 toimii apuna systemaattisella tavalla. Tämä auttaa kaiken saatavilla olevan tiedon ja tiedossa olevien riskien huomioinnissa, mikä taas parantaa johtamisen tehokkuutta ja toimivuutta.⁴

Lähteet:

1. ISO/IEC 27000 Tietoturvallisuuden hallintajärjestelmä, SFS ry
2. Tietojärjestelmät, Valvira
3. ISO 27001, Inspecta
4. ISO 27001, ISO