Akatemia

/

Koulutus

/

Intro standardin ja tietoturvan hallintajärjestelmän pääasioihin

Mikä on ISO 27001?

ISO 27001 on kansainvälisesti tunnetuin tietoturvastandardi.

Käytännössä ISO 27001 on kattava lista vaatimuksia tietoturvan johtamiselle sekä hallintakeinoja tietojen konkreettisempaan suojaamiseen, joita tietoturvallisuuden vakavasti ottavan organisaation voidaan nykyaikana olettaa noudattavan.

ISO 27001:n pääsisällöt

Organisaation on uskottavasti huolehdittava seuraavista asioista standardin noudattamiseksi:

  • Hallintajärjestelmän olemassaolo - Organisaatiolla on oltava selkeä toimintamalli tietoturva-asioiden johtamiseen - suojattavan omaisuuden tunnistamisesta eri tietoturvatoimenpiteiden vastuuttamiseen sekä riskien arvioinnin toteuttamiseen.
  • Tietoturvan johtamisen toimintatavat - 22 pakollista vaatimusta mm. johdon osallistumiselle, riskien hallinnalle, henkilöstön osaamiselle ja oman toiminnan seurannalle
  • Hallintakeinot tietojen luottamuksellisuuden / saatavuuden / eheyden suojaamiseen - 114 tietoturvan hallintakeinoa pääsynhallinnasta salaukseen ja kumppanihallintaan
ISO 27001 -standardi on saamassa päivityksen loppuvuonna 2022. Heti kun päivitys on viimeistelty, tulemme julkaisemaan päivitetyn version vaatimuskehikosta myös Digiturvamallissa.

ISO 27002:n hallintakeinot

114 tietoturvan hallintakeinoa jakautuvat seuraaviin 14 kategoriaan:

  • 5. Tietoturvapolitiikat
  • 6. Tietoturvallisuuden organisointi
  • 7. Henkilöstöturvallisuus
  • 8. Suojattavan omaisuuden hallinta
  • 9. Pääsynhallinta
  • 10. Salaus
  • 11. Fyysinen turvallisuus
  • 12. Käyttöturvallisuus
  • 13. Viestintäturvallisuus
  • 14. Järjestelmien hankinta ja kehitys
  • 15. Toimittajasuhteet
  • 16. Häiriöiden hallinta
  • 17. Jatkuvuuden hallinta
  • 18. Vaatimustenmukaisuus

ISO 27001:n positiivisia puolia

ISO 27001 -standardin suosia kasvaa jatkuvasti. Hyviä puolia ovat etenkin seuraavat:

  • Monipuoliset hyödyt - sertifioinnin hankkineista organisaatioista valtaosa kertoo suurimmaksi hyödyksi parantuneen tietoturvan, mutta suuri osa myös myynnilliset ja maineelliset hyödyt
  • Sopii kaikille organisaatioille - toimii suurille ja pienille sekä kaikille toimialoille. Listaa monia kontrolleja, mutta mukautuvasti riskinarvioinnin sisältäen
  • Sertifiointi saatavilla - sertifiointia varten on saatavilla monia akkreditoituja auditoijia ja selkeät auditointisäännöt standardissa
  • Kansainvälisesti hyväksytty - globaali “gold standard”, joka auttaa todistamaan hyvää tietoturvatasoa missä tahansa maailmassa.