ISO 27001 vaatimukset auttavat modernin tietoturvan hallintajärjestelmän (ISMS) rakentamisessa ja standardi onkin hyvä lähtökohta organisaatiolle, jolla on moninaisia tarpeita tietoturvan eri osa-alueilla. ISO 27001 on globaalisti käytetty ja yksi kattavampia tietoturvastandardeja, joka soveltuu niin isoille kuin pienille organisaatioille. Tietoturvan hallintajärjestelmä antaa organisaatioille näkyvyyttä ja varmuutta oman liiketoimintansa tietoturvallisuuden tilaan ja pienentää näin liiketoimintaan kohdistuvia tietoturvariskejä sekä -uhkia.
Mitä ISO 27001 -mukainen tietoturvan hallintajärjestelmä sitten organisaatiolta vaatii ja kuinka sen saa käyttöön? Lue alta mitkä ovat tärkeimmät ISO 27001 vaatimukset ja mitä nämä vaatimukset käytännössä organisaatiolle tarkoittavat!
ISO 27001 vaatimukset – Mitkä ovat standardin tärkeimmät vaatimukset?
ISO 27001 sisältää kattavan joukon vaatimuksia tietoturvan hallintajärjestelmän suunnittelemiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle.
ISO 27001 tietoturvan hallintajärjestelmän tärkeimpiä vaatimuksia ovat:
- Päätös soveltamisalasta
- Johdon sitoutuminen
- Tietoturvariskien hallinta
- Tietoturvapolitiikat ja -menettelyt
- Turvallisuuskontrollit
- Sisäiset auditoinnit
- Johdon katselmukset
- Jatkuva parantaminen
- Viestintä ja koulutus
ISO 27001 edellyttää tietoturvan hallintajärjestelmän soveltamisalan määrittelyä, jolloin sen vaatimukset ja vaikuttavuus kohdistuvat monipuolisesti organisaation eri toimintoihin varmistaen hallintajärjestelmän kattavuuden. Tämän ansiosta tietoturvan hallintajärjestelmä vastaa hyvin erilaisten organisaatioiden tarpeisiin ja sitä voidaan käyttää monipuolisesti tietoturvan hallintaan.
Mitä ISO 27001 vaatimukset käytännössä tarkoittavat?
Päätös soveltamisalan rajaamisesta on tärkeää, jotta tiedetään mitä tietoturvallisuuden hallintajärjestelmä kattaa ja mitä ei. Muuten riskinä voi esimerkiksi olla, että kriittisiä osa-alueita jää suojaamisen ulkopuolelle tai resursseja kohdistetaan ylimitoitetusti, jolloin organisaatiossa on tarpeettomia tietoturvariskejä.
Ylimmän johdon sitoutuminen tietoturvallisuuden hallintaan ja johtamiseen on tärkeää, jotta tietoturvallisuuden hallintajärjestelmä upotetaan organisaation toimintamalleihin ja näin ollen tietoturvallisesta toiminnasta tulee osa organisaation käytäntöjä.
Tietoturvariskien hallinta vaatii, että riskit kuvataan ja, että organisaatiossa otetaan käyttöön yhtenäiset käytännöt riskien tunnistamiseen, analysointiin ja käsittelyyn. Tämä edesauttaa riskien hallinnassa ja luo kontrolleja erilaisten riskien käsittelyyn sekä edesauttaa liiketoiminnan jatkuvuuden suunnittelussa.
Tietoturvapolitiikat ja -menettelyt vaatimuksessa tunnistetaan riskiperusteisesti ne osa-alueet, joihin laaditaan ja otetaan käyttöön yleisiä tai aihekohtaisia ohjeita.
Turvallisuuskontrollit tarkoittavat käytännön tasolla sitä, että organisaatiossa toteutetaan asianmukaiset turvallisuuskontrollit tunnistettujen tietoturvallisuusriskien vähentämiseksi. Standardi kuvaa tietoturvakontrolleja, jotka liittyvät kattavasti toiminnallisiin kyvykkyyksiin, kuten esimerkiki toimittajasuhteiden hallintaan sekä uhkien ja haavoittuvuuksien hallintaan.
Vaatimus sisäisistä auditoinneista tarkoittaa, että organisaatiossa suoritetaan säännöllisiä, tietyin aikavälein toistuvia sisäisiä auditointeja ISMS:n tehokkuuden arvioimiseksi ja kehittämistarpeiden tunnistamiseksi.
Johdon katselmukset ovat hallintajärjestelmää ylläpitävä ja kehittävä vaatimus, jonka avulla varmistetaan, että ISMS on edelleen sopiva, riittävä ja tehokas.
ISMS:n jatkuvaa parantamista tehdään vuosittaisen tehtäväsuunnitelman mukaisesti ja parantaminen perustuu seurantatietoihin (esim. tietoturvatapahtumat, tietoturvakoulutukset ja -tietoisuus) sekä auditointien ja katselmusten tuloksiin.
ISMS:stä viestitään kaikille työntekijöille ja tarjotaan tarvittavaa koulutusta. Koulutus on yleistä tietoturvatietoisuutta parantavaa tai roolikohtaista tietoturvallisia käytäntöjä kehittävää.
Miten päästä alkuun ISO 27001 tietoturvan hallintajärjestelmän käyttöönotossa?
ISO 27001 tietoturvan hallintajärjestelmän käyttöönotto on helpointa aloittaa osaavan kumppanin kanssa, jonka kanssa voi suunnitella yhdessä prosessin tarpeet ja aikataulun. 2NS:n kanssa ISO 27001 prosessi lähtee useimmiten käyntiin esihaastattelulla, jossa selvitetään organisaation lähtötilanne tietoturvan osalta. Tämän jälkeen siirrytään GAP-analyysiin, jossa selvitetään tietoturvan nykytilanne ja käydään läpi kaikki ISO 27001 osa-alueet, jolloin myös ISO 27001 vaatimukset astuvat prosessiin mukaan. Tämän jälkeen siirrytään kehitysvaiheeseen, jossa kehitetään hallintajärjestelmän kannalta oleellisia puutteita. Kehitysvaiheen jälkeen toteutetaan sisäinen auditointi, jossa selvitetään organisaation valmiuksia ISO 27001 sertifiointiin. Jos auditoinnin tuloksena lähdetään sertifioitumaan, tekee ISO 27001 sertifioinnin akkreditoitu sertifiointitaho. Sertifioinnin jälkeen sertifiointia ylläpidetään valvonta-auditoinnein sekä uusintasertifiointiauditoinnein. Lisätietoa prosessista löydät blogipostauksestamme Polku ISO 27001/27701 sertifiointiin.
Jäivätkö ISO 27001 vaatimukset vielä mietityttämään tai onko ISO 27001 ajankohtainen organisaatiollenne? Ota meihin yhteyttä, kerromme mielellämme lisää ISO 27001 tietoturvan hallintajärjestelmästä ja pohditaan yhdessä parasta ratkaisua organisaatiollenne!