Blogi

Matka kohti ISO 27001/27701 -tietoturvasertifiointia

Tietoturva on nykyisin lähes päivittäin otsikoissa. Muutos on nykyään jatkuvaa ja tarpeet sekä tilanteet voivat vaihtua ja jopa yllättää organisaation hyvinkin nopeasti.

Tästä blogista voit lukea vinkit tietoturvatyön aloittamiseen ja kokonaisuuden huomioimiseen. Pidimme aiheesta myös yhdessä Aditron tietoturvajohtajan, Jani Rädyn kanssa maaliskuussa webinaarin, jonka aikana keskustelimme organisaatioiden tietoturvan parantamisesta, sekä kävimme läpi konkreettisia oppeja matkalle kohti ISO 27001 -sertifiointia.

>> Voit katsoa webinaarin lataamalla tallenteen sivun alalaidasta.

Organisaation tietoturva on kokonaisuus, jota ei pidä rakentaa erikseen, ”päälleliimata” olemassa olevan rinnalle, tai sysätä vastuuta esim. ICT-osaston harteille. Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva

  • suunnitellaan,
  • toteutetaan,
  • koulutetaan,
  • arvioidaan,
  • seurataan ja
  • kehitetään

yhdessä kokonaisuutena.

Kattavuudeltaan tietoturva tulee sovittaa organisaation toimintaympäristöön, sidosryhmien ja liiketoiminnan tarpeisiin. Näin tietoturvallisuudesta tulee osa toimintaa eli arkea ja se myös tukee osaltaan organisaation kokonaisvaltaista riskienhallintaa.

Kuinka pääset alkuun tietoturvatyössä ja vältyt ylilyönneiltä tai turhan tekemiseltä?

Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.

Voit lähteä liikkeelle tietoturvallisuuden kehittämisessä vaikkapa seuraavaa polkua pitkin:

Näin pääset liikkeelle tietoturvallisuuden kehittämisessä, Arter Oy
Näin pääset liikkeelle tietoturvallisuuden kehittämisessä. KLIKKAA KUVA ISOMMAKSI.

Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia. Näiden samankaltaisuuksien huomiointi ja yhteen liittäminen säästää vaivaa, koska vaikka näkökulma vaihtuu eri hallintajärjestelmien välillä, niiden perusrakenne on sama.

ISO 27001 -standardin sisällysluettelon järjestystä mukaillen, tietoturvamatka voidaan kuvata myös seuraavasti:

ISO 27001 -standardin sisällysluettelon järjestystä mukaillen, tietoturvamatka voidaan kuvata myös seuraavasti: Alkukartoitus, Toimintaympäristö, Johtaminen, Suunnittelu, Tuki, Toiminta, Arviointi, Parantaminen, Sertifiointi
Tietoturvamatka ISO 27001 -standardin rakennetta mukaillen. KLIKKAA KUVA ISOMMAKSI.

Voiko tietosuojaa olla ilman tietoturvaa?

Webinaarin vierailevan puhujan, Aditron tietoturvajohtaja Jani Rädyn mukaan vastaus on ei:

Kuten taloa ei voi rakentaa ilman kunnollista perustaa, ei tietosuojaa voi toteuttaa jos tietoturva ei ole kunnossa. Henkilötiedot ovat organisaation kaikkien tietojen osajoukko ja niin tietosuoja- sekä tietoturvavastaavilla on yhteinen etu suojata henkilötietoja. Yhteinen sanasto ja ISO 27001 pohjalle rakentuva ISO 27701 ovat tässä työssä oivallisia lähtökohtia.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei siis irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista ratkaisumallia ei ole. Sen sijaan organisaation tietoturvallisuusjärjestelmä tulee rakentaa ymmärtämällä kokonaisuutta.

Kokonaisuuden kannalta tulee pohtia omasta organisaatiosta lähestyen keskeisten kolmen elementin: ihmiset, toimintatavat ja teknologiat

  • vahvuudet ja mahdollisuudet, sekä
  • heikkoudet ja uhat.

Tuntemalla oman organisaation kulttuuri ja historia, voidaan tehdä oikeat valinnat siitä, missä tilanteissa luotetaan enemmän henkilöstöön mm. koulutus, perehdytys, luottamus, ja milloin taas teknologiaan ja sen erilaisiin ratkaisuihin.

Muista, että teknisin keinoin saavutetulla turvallisuudella on rajansa, ja sitä on tuettava asianmukaisella osaamisella, tietoisuudella, viestinnällä ja menettelyillä.

Tarjoamme koulutuksen ja työkalut avuksesi tietoturvatyöhön

Me Arterilla autamme sinua matkalla kohti tietoturvasertifiointia tarjoamalla asiantuntevaa koulutusta, sekä apua toimivan ratkaisun rakentamisessa tai olemassa olevan toimintajärjestelmän laajentamisessa.

>> Tutustu tästä tulevaan Qualitas Fennican ISO 27001:2017 Tietoturvajärjestelmän rakentaminen -koulutukseen tietoturvatyön kehittämisen tukena.

Ohjelmistoriippumattomien Qualitas Fennica -koulutusten lisäksi ohjelmistomme, sekä tietoturvallisuuden palvelumme tukevat järjestelmällistä tietosuoja ja -turvatyötä ja sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa. Tietoturvapalvelulla tarjoamme teille kokonaisvaltaisen ratkaisun tietoturvallisuuden hallintaan. Palvelu räätälöidään tarpeidenne mukaan vastaamaan ajankohtaisimpia tietoturvallisuuden standardeja, ja sen aikana toteutatte asettamienne tavoitteiden mukaisen tietoturvan hallintamallin. Valmis tietoturvallisuusviitekehys ohjaa kuvausten tekemistä ja luotavien elementtien linkittämistä toisiinsa.

>> Lue lisää tietoturvallisuuden hallinnan ratkaisusta ja tuo lisää selkeyttä tietoturvallisuuden hallintaan.

Tietoturvallisin kevätterveisin
Jari Saali, Arter ja Jani Räty, Aditro

Suosittelemme tutustumaan myös:

👉 Kyberturvallisuuden pikaopas | ilmainen ladattava pikaopas
👉 Kyberturvallisuus – näin otat sen haltuun organisaatiossasi | blogi
👉 Tietoturvallisuuden integroiminen osaksi johtamisjärjestelmää | blogi

Katso webinaari tietoturvallisuuden kehittämisestä täyttämällä alla oleva lomake! Saat tallenteen sähköpostiisi.

Täytä tietosi ja lataa webinaaritallenne

Lähettämällä hyväksyn, että antamani henkilötiedot tallennetaan Arter Oy:n suoramarkkinointirekisteriin.

Kirjoittaja

Kouluttaja Jari Saalilla on yli kahdenkymmenen vuoden kokemus kansainvälisessä pörssiyhtiössä mm. laatu-, ympäristö- ja turvallisuusjohtajana, pääauditoijana sekä valmistuksen johtoryhmän jäsenenä. Jari on menestyksellisesti johtanut kymmeniä toiminnankehittämisen, riskienhallinnan ja turvallisuuden sekä jatkuvan parantamisen projekteja Suomessa ja ulkomailla.

Liittyvät materiaalit