ISO 27001: Full
ISO 27001 on tunnetuin kansainvälinen standardi tietoturvan hallintaan, joka käsittelee kattavasti digitaalisen turvallisuuden kaikkia osa-alueita.
6.
Tietoturvallisuuden organisointi
7.
Henkilöstöturvallisuus
8.
Suojattavan omaisuuden hallinta
9.
Pääsynhallinta
ISO27001 kehikon vaatimukset puretaan tehtävä- ja dokumentaatiopohjiksi.
Tehtävälistaus: Teknisten haavoittuvuuksien hallinta
Tehtävälistaus: Periaatteet ja osoitusvelvollisuus
Tehtävälistaus: Periaatteet ja osoitusvelvollisuus
Vaadittu dokumentaatio: Tietoturvariskit ja -uhkat
Vaadittu dokumentaatio: Tietovarannot
Vaadittu dokumentaatio: Tietovarannot
Raportti: The Statement of Applicability
Raportti: Organisaation digiturvariskien hallinta
Tehtävä: Kumppanien digi-turvan minimivaatimukset
Dokumentoi tieto-omaisuus (järjestelmät, kumppanit, jne.)
Ohje roolille: Riskien omistajan käytännöt
Tehtäväkirja-näkymä näyttää jokaiselle omat vastuunsa tietoturvatyössä.
ISO 27001 -standardi on laaja kokonaisuus, joka sisältää sekä välttämättömiä ydinasioita että edistyneemmän tietoturvan vaatimuksia.
Mikäli systemaattinen tietoturvatyö on uutta on helpompi aloittaa ensin ydinasioista eli ISO 27001: Core -vaatimuskehikosta ja edetä jälkeen tämän kehikon asioihin.
Tutustu Core-kehikkoon sen omalla sivulla.
Digiturvamalli sisältää toimivaksi todetut menettelykuvaukset ISO 27001 -tärkeimmille prosesseille. Menettelykuvausten muutoksia hallitaan tarkemmin ja ne ovat standardin määrittämää "dokumentoitua tietoa".
Menettelykuvaus kertoo tarkemmin, kuinka tietty asia toteutetaan, ja se voidaan jakaa auditoijalle. Menettelyä toteutettaessa tulokset muodostavat tarkempaa dokumentaatiota (ks. seuraava kohta).
Menettelykuvaus kaipaa tuekseen työkalut, jotka ohjaavat ihmisiä toimimaan menettelyn mukaisesti.
Digiturvamalli sisältää valmiit dokumentaatiomallit, joilla esimerkiksi riskienhallinnan, auditointien tai muiden menettelyjen tulokset voidaan kirjata suoraan hallintajärjestelmään.
ISO 27002:n listaamat hallintakeinot toteutetaan organisaation arjessa Digiturvamallin tehtävien kautta. Tehtävien avulla määritetään vastuu ja tehtävä viittaa tarvittaessa ohjeisiin tai dokumentaatioon, kun niitä tarvitaan toteutuksen näyttämiseksi.
Tehtävä sisältää vaatimuksen ja ohjeistuksen. Itse on tarkoitus täyttää todisteet tehtävän toteutuksesta. Tarkistusvälien avulla vastuuhenkilö voidaan velvoittaa kuittaamaan, että kuvatun mukaisesti on todellisuudessa toimittu.
ISO 27001 vaatii monia asioita ohjeistettavan henkilöstölle. Standardissa puhutaan usein politiikoista - Digiturvamallissa politiikka toteutuu vastuuhenkilöiden toteuttamina tehtävinä sekä henkilöstön "kuittaamina" ohjeina.
Luo ohjeistukset valmiiden esimerkkien avulla ja tarkenna halutessasi eri yksiköille. Ohjekirja-näkymän kautta työntekijä hyväksyy ohjeet halutulla syklillä suoraan Teams-ympäristössä. Toistuva, valvottu ja jatkuvasti kehitetty ohjeistusprosessi nähdään myös henkilöstön koulutuksena.
Mikäli ISO 27001 -standardin rakenne on hyvin tuttu, työn edistymistä on mukava hahmottaa standardin vaatimusten kautta.
Digiturvamalli päivittää automaattisesti SoA-raporttia (soveltuvuuslausunto), joka kuvaa eri hallintakeinojen soveltuvuuden ja toteutuksen tilan. Tiedot täyttyvät automaattisesti liittyvien tehtävien statusten perusteella.
Mikäli työnne etenee sertifiointiauditointiin asti, auditoija haluaa nähdä tiettyjä menettelykuvauksia ja tuloksia.
Digiturvamallissa on valmis toimintatapa, jolla halutut raportit voidaan jakaa auditoijalle suoraan haluttuun tiimiin Teams-ympäristössä. Vältätte sähköpostiliitteiden lähettelyn ja tiedot pysyvät oman 365-ympäristönne tunnistautumistapojen takana.
Liity 250+ Digiturvamallia hyödyntävän organisaation joukkoon