Seuraava webinaari
"
Digiturvamallin pääkäyttäjäkoulutus
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  

ISO 27001: Full

Selkeä suunnitelma, jolla etenet kohti ISO 27001 -vaatimustenmukaisuutta

ISO 27001 on tunnetuin kansainvälinen standardi tietoturvan hallintaan, joka käsittelee kattavasti digitaalisen turvallisuuden kaikkia osa-alueita.

Kokeile ilmaiseksi

Toteutussuunnitelma

Vaihe 1: Luo uskottava menettely riskien tunnistamiseen, arviointiin ja käsittelyyn

Edistyneessä tietoturvatyössä riskienhallinnalla on tärkeä rooli varmistamassa resurssien oikean kohdistuksen ja mahdollistamassa jatkuvan parantamisen.

Määrittele riskien arviointi- ja käsittelyprosessi

Viimeksi päivitetty 4.3.2021

Arvioi, käsittele ja dokumentoi tunnistetut tietoturvariskit

65% vastattu

Vastuuta muutostenhallinnan toteuttaminen

75% vastattu

Vaihe 2: Varmista toimintatavat, joilla ylin johto osallistuu tietoturvaan

Ylimmällä johdolla on oma tärkeä roolinsa tietoturvassa, etenkin tavoitteiden asettajana, resursoijana sekä näyttämässä sitoutumista tietoturvaan.

Määrittele ja julkaise tietoturvapolitiikka

Viimeksi päivitetty 21.3.2021

Dokumentoi tietoturvatavoitteet

87% vastattu

Suorita ja dokumentoi johdon katselmukset

75% vastattu

Vaihe 3: Luo toimintatavat oman tietoturvatason valvontaan ja arviointiin

Ennalta sovitut, selkeät toimintatavat ja säännöllinen oman tietoturvatason arviointi ovat systemaattisen tietoturvatyön avainasioita.

Määrittele menettely sisäisille auditoinneille

Viimeksi päivitetty 16.3.2021

Suorita ja dokumentoi sisäiset auditoinnit

85% vastattu

Dokumentoi käytetyt tietoturvamittarit

65% vastattu

Vaihe 4: Havaitse ja käsittele haavoittuvuudet ja kehitä muuten turvallista koodia

Teknisiä haavoittuvuuksia pyritään välttämään sekä turvallisen kehittämisen säännöillä että systemaattisella prosessilla haavoittuvuuksien löytämiseen ja korjaamiseen.

Vastuuta turvalliseen kehittämiseen liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta teknisten haavoittuvuuksien hallintaan liittyvät tehtävät

Tehtävälistassa on 6 odottavaa tehtävää.

Vaihe 5: Jatka edistyneemmän teknisen tietoturvan pariin

Aiemmissa vaatimuskehikoissa on vastuutettu teknisen tietoturvan perusteita, mutta nyt jatketaan pidemmälle käytönvalvonnan, verkon turvallisuuden ja salauksen parissa.

Vastuuta suojausjärjestelmiin ja käytön valvontaan liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta verkon turvallisuuteen liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vastuuta salaukseen liittyvät tehtävät

Tehtävälistassa on 8 odottavaa tehtävää.

Vaihe 6: Varmista tietojen järjestelmällinen luokittelu ja riittävä suojaus

Tietojen luokittelun avulla suojaustapoja voidaan skaalata tiedon tärkeyden mukaan. Luokittelu on suoritettava ja ohjeistettava järjestelmällisesti.

Määrittele tietoluokat ja ohjeista henkilöstöä

Tehtävän toteutuksen kuvaus
on kirjoitettu

Luokittele tietoaineistot

52% vastattu

Vastuuta muut tietoaineistojen hallinnan tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta siirrettäviin tietovälineisiin liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vaihe 7: Varmista toimittajien riittävä turvallisuustaso

Toimittajien kanssa turvallisuutta voidaan kehittää mm. sopimusten kautta, toimittajiin liittyvällä valvonnalla tai valintakriteereillä tai hankintaprosessien kehittämisellä.

Vastuuta toimittajasopimuksiin liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta toimittajien turvallisuuteen liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta järjestelmien hankintaan liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vaihe 8: Kehitä fyysisen turvallisuuden järjestämistä

Kun ydinasiat ovat hallussa, on aika jatkaa seuraavien vaatimusten pariin tai ylläpitää ja kehittää saavutettua tasoa.

Vastuuta kiinteistöjen turvallisuuteen liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vastuuta paperien käyttöön liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vastuuta laitteiston suojaukseen ja huoltoon liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vaihe 9: Tarkenna muita henkilöstöturvallisuuden vastuita

Palataan vielä henkilöstöturvallisuuden puolelle käsittelemään mm. sopimusasioita sekä uusien ja lähtevien työntekijöiden prosesseja.

Vastuuta sopimusten turvallisuuteen liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vastuuta työsuhteiden muutoshetkiin liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.

Vaihe 10: Luo jatkuvuussuunnitelmat ja käsittele loput johtamisen tehtävät

Jatkuvuussuunnitelmilla varaudutaan epäsuotuisiin tilanteisiin, jotka voivat tapahtuessaan vaarantaa koko organisaation toiminnan.

Dokumentoi jatkuvuussuunnitelmat

85% vastattu

Vastuuta muut riskienhallintaan liittyvät tehtävät

Kaikki tehtävät listassa
on vastuutettu
.

Vastuuta muut digiturvan johtamiseen liittyvät tehtävät

Tehtävälistassa on 3 odottavaa tehtävää.
Tämä on esimerkki toteutussuunnitelmasta, jota suosittelemme Digiturvamallissa.
Saat oman aktiivisen suunnitelmanne ja näet kaikki sisällöt aloittamalla kokeilun.
Aloita ydinasioista

ISO 27001: Core -kehikko auttaa alkuun

ISO 27001 -standardi on laaja kokonaisuus, joka sisältää sekä välttämättömiä ydinasioita että edistyneemmän tietoturvan vaatimuksia.

Mikäli systemaattinen tietoturvatyö on uutta on helpompi aloittaa ensin ydinasioista eli ISO 27001: Core -vaatimuskehikosta ja edetä jälkeen tämän kehikon asioihin.
‍‍
Tutustu Core-kehikkoon sen omalla sivulla.

Valmis toimintamalli + työkalu

Valmiit menettelykuvaukset standardin avainasioihin

Digiturvamalli sisältää toimivaksi todetut menettelykuvaukset ISO 27001 -tärkeimmille prosesseille. Menettelykuvausten muutoksia hallitaan tarkemmin ja ne ovat standardin määrittämää "dokumentoitua tietoa".

Menettelykuvaus kertoo tarkemmin, kuinka tietty asia toteutetaan, ja se voidaan jakaa auditoijalle. Menettelyä toteutettaessa tulokset muodostavat tarkempaa dokumentaatiota (ks. seuraava kohta).

Riskienhallinnan menettelykuvaus
Sisäisten auditointien menettelykuvaus
Tietoturvapolitiikka
Hallintajärjestelmän kuvaus ja soveltamisala
Standardin vaatima dokumentaatio

Näytä, että menettelyjä on toteutettu

Menettelykuvaus kaipaa tuekseen työkalut, jotka ohjaavat ihmisiä toimimaan menettelyn mukaisesti.

Digiturvamalli sisältää valmiit dokumentaatiomallit, joilla esimerkiksi riskienhallinnan, auditointien tai muiden menettelyjen tulokset voidaan kirjata suoraan hallintajärjestelmään.

Tietoturvariskit
Tietoturvatavoitteet
Johdon katselmusten tulokset
Sisäisten auditointien tulokset
Tietoturvan kehittämisen vaatimat tehtävät

Delegoi vaatimuksiin liittyvät tehtävät

ISO 27002:n listaamat hallintakeinot toteutetaan organisaation arjessa Digiturvamallin tehtävien kautta. Tehtävien avulla määritetään vastuu ja tehtävä viittaa tarvittaessa ohjeisiin tai dokumentaatioon, kun niitä tarvitaan toteutuksen näyttämiseksi.

Tehtävä sisältää vaatimuksen ja ohjeistuksen. Itse on tarkoitus täyttää todisteet tehtävän toteutuksesta. Tarkistusvälien avulla vastuuhenkilö voidaan velvoittaa kuittaamaan, että kuvatun mukaisesti on todellisuudessa toimittu.

Jatkuvuussuunnittelu
Ohjelmistokehitys
Tekninen tietoturva
Kumppanisuhteet
Automatisoi henkilöstön ohjeistus ja koulutus

Ohjeista henkilöstöä kehittyneemmissä teemoissa

ISO 27001 vaatii monia asioita ohjeistettavan henkilöstölle. Standardissa puhutaan usein politiikoista - Digiturvamallissa politiikka toteutuu vastuuhenkilöiden toteuttamina tehtävinä sekä henkilöstön "kuittaamina" ohjeina.

Luo ohjeistukset valmiiden esimerkkien avulla ja tarkenna halutessasi eri yksiköille. Ohjekirja-näkymän kautta työntekijä hyväksyy ohjeet halutulla syklillä suoraan Teams-ympäristössä. Toistuva, valvottu ja jatkuvasti kehitetty ohjeistusprosessi nähdään myös henkilöstön koulutuksena.

Tietojen luokittelu
Ohjelmistokehitys
Yksikkökohtaiset ohjeet
Roolikohtaiset ohjeet
Automaattinen statement of applicability

Hahmota edistyminen SoA-raportista työn edetessä

Mikäli ISO 27001 -standardin rakenne on hyvin tuttu, työn edistymistä on mukava hahmottaa standardin vaatimusten kautta.

Digiturvamalli päivittää automaattisesti SoA-raporttia (soveltuvuuslausunto), joka kuvaa eri hallintakeinojen soveltuvuuden ja toteutuksen tilan. Tiedot täyttyvät automaattisesti liittyvien tehtävien statusten perusteella.

Ketterät toimintatavat auditointeihin

Turvallinen tiedonjako auditoijan kanssa

Mikäli työnne etenee sertifiointiauditointiin asti, auditoija haluaa nähdä tiettyjä menettelykuvauksia ja tuloksia.

Digiturvamallissa on valmis toimintatapa, jolla halutut raportit voidaan jakaa auditoijalle suoraan haluttuun tiimiin Teams-ympäristössä. Vältätte sähköpostiliitteiden lähettelyn ja tiedot pysyvät oman 365-ympäristönne tunnistautumistapojen takana.

Liity 250+ Digiturvamallia hyödyntävän organisaation joukkoon

Tietosuojamalliin luottavat isot ja pienet, yritykset, kunnat ja järjestöt.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.