Blogi

ISO 27001 -standardin 10 keskeistä vaatimusta

Tietoturvallisuudesta ja siitä huolehtimisesta puhutaan nykyään paljon – eikä suotta, sillä onhan tietoturvallisuus osa organisaation toiminnan laatua.

Tietoturvan varmistaminen tarkoittaa tiedon luottamuksellisuuden, eheyden ja saatavuuden takaamista, jolloin on tärkeää, että kaikki organisaation osaset, niin tekniset kuin fyysiset, toimivat yhdessä tietoturvallisesti.

Tietoturvallisuuden toteutumisessa ihmisten osuutta ei tule myöskään unohtaa, sillä toimintakulttuurilla on keskeinen osuus onnistuneen tietoturvan kannalta. Kyberturvallisuuden varmistamisessa on tarkoitus turvata kybertoimintaympäristö, eli sähköisessä muodossa olevat tietojärjestelmät ja palvelut, joihin kuitenkin myös sisältyy fyysisten rakenteiden suojaaminen.

👉 Lataa itsellesi Näin rakennat tietoturvallisuuden hallintamallin -pikaopas tästä.

ISO 27001 standardin keskeiset vaatimukset

ISO 27001-standardia toteuttavan organisaation on toteutettava tietoturvallisuuden hallintajärjestelmä, sekä ylläpidettävä ja parannettava sitä jatkuvasti vaatimusten mukaisesti.

Arterin tietoturvapäällikkö Aleksi Rossi nostaa standardista esiin 10 keskeistä kohtaa.

ISO 27001 kymmenen keskeistä vaatimusta ovat:

1️⃣ Toimintaympäristön määritys
2️⃣ Suojattava omaisuus
3️⃣ Johtajuus

4️⃣
Tietoturvapolitiikka
5️⃣ Riskienhallinta
6️⃣
Soveltuvuuslausunto
7️⃣
Dokumentaatio
8️⃣ Mittarit

9️⃣
Auditoinnit ja johdon katselmukset
🔟 Jatkuva parantaminen

1. Toimintaympäristön määritys

Toimintaympäristön määrityksessä selvitetään, mikä on tietoturvallisuuden hallintajärjestelmän laajuus ja mitä kaikkea se kattaa. Oleellisessa asemassa ovat myös hallintajärjestelmään ja organisaation toimintaan liittyvät sidosryhmät ja se, minkälaisia vaatimuksia he toiminnalle asettavat.

2. Suojattava omaisuus

Tietoturvan varmistamiseksi organisaation tulee määritellä suojattava omaisuus, eli konkreettinen listaus niistä asioista, joita hallintajärjestelmällä pyritään suojaamaan. Näitä ovat esimerkiksi tiedot ja tietojärjestelmät, sekä laitteet ja toimitilat. Tärkeää on myös määrittää suojattavan omaisuuden vastuut ja omistajuus.

3. Johtajuus

Kuten kaikissa ISO-standardeissa, myös ISO 27001 -standardissa johdolla on tärkeä rooli. Johdon tulee sitoutua hallintajärjestelmän mukaiseen toimintaan ja järjestelmän kehittämiseen.

Johdon tehtävänä on myös taata hallintajärjestelmän rakentamiseen vaaditut resurssit, sekä määrittää organisaation tietoturvaroolit. Organisaation johto varmistaa, että tietoturvan kannalta tärkeiden roolien vastuut ja valtuudet määritellään, ja niistä viestitään.

4. Tietoturvapolitiikka

Johdon tulee myös laatia tietoturvapolitiikka, joka määrittää organisaation tavoitteita tietoturvan osalta. Tietoturvapolitiikasta tulee myös käydä ilmi sitoutuminen tietoturvavaatimusten täyttämiseen, sekä hallintajärjestelmän jatkuvaan parantamiseen.

5. Riskienhallinta

Riskienhallinta on mahdollisesti olennaisin osa ISO 27001 -standardia, ja tietoturvatyötä onkin hyvä lähestyä riskiperusteisesti.

Organisaation tulee määrittää riskienhallintaan prosessi, sekä ne käytännöt, joilla se kykenee sekä tunnistamaan, arvioimaan että vastuuttamaan toiminnassa esiintyviä riskejä. Tämän lisäksi riskeille tulee määrittää hallintakeinot ja toimenpidesuunnitelmat.

6. Soveltuvuuslausunto

ISO 27001 -standardi sisältää yhteensä 93 eri tietoturvan hallintakeinoa. Soveltuvuuslausunnossa tuleekin ilmaista, mitä näistä hallintakeinoista organisaatiossa sovelletaan, millä tavalla ja mihin perustuen. Monia näistä hallintakeinoista voidaan käyttää esimerkiksi tunnistettujen riskien hallitsemiseen.

7. Dokumentaatio

Standardin laajuus huomioon ottaen, se ei välttämättä vaadi suurta määrää dokumentoitua tietoa. Tietty määrä dokumentaatiota on kuitenkin vaadittu, ja monesti käytäntöjen dokumentointi on myös paras tapa viestiä ja jakaa tietoa eteenpäin organisaatiolle.

Tietoturvaohjeet laaditaan, jotta henkilöstö osaa käyttäytyä tietoturvallisesti. Henkilöstö saattaa usein olla tietoturvan toteuttamisen ”heikoin lenkki”, ja hyväkin tietoturvallisuuden suunnitelma epäonnistuu, mikäli henkilöstö ei osaa sitä toteuttaa. Pidä siis huolta ajantasaisista politiikoista, prosessikuvauksista ja toimintaohjeista!

8. Mittarit

Tietoturvallisuuden hallintajärjestelmän suorituskyvyn arviointi on yksi standardin edellytyksistä. Tehokkaimpia tapoja toteuttaa tätä käytännössä, ovat erilaiset tietoturvamittarit, joilla pystytään todentamaan tapahtunutta toimintaa.

Mittarit tulee organisaatiossa myös sitoa asetettuihin tietoturvatavoitteisiin, jotta niiden toteutumista voidaan seurata. Kannattaa siis jo tavoiteasetannan vaiheessa miettiä, millä tavalla tavoitteiden etenemistä seurataan.

9. Auditoinnit ja johdon katselmukset

Mittareiden ohella tietoturvallisuuden hallintajärjestelmää arvioidaan säännöllisesti auditoinneilla ja johdon katselmuksilla.

ISO 27001 -standardi vaatii sekä sisäisiä että ulkoisia auditointeja, ja näihin on syytä varautua koko organisaation osalta.

Johdon katselmuksessa taas tarkastellaan, kuinka vaikuttavasti luotu hallintajärjestelmä toimii ja onko toimintaympäristössä mahdollisesti tapahtunut hallintajärjestelmään vaikuttavia muutoksia.

10. Jatkuva parantaminen

Viimeisimpiä standardin vaatimuksia on hallintajärjestelmän jatkuva parantaminen. Jatkuvalla parantamisella pyritään sekä oman tietoturvallisen toiminnan, että standardin vaatimustenmukaisuuden ylläpitämiseen.

Yksi tehokas tapa toteuttaa jatkuvaa parantamista on poikkeamien hallintaprosessi, jossa määritellään, miten toiminnassa havaittuihin poikkeamiin reagoidaan ja miten niitä käsitellään. Tietoturvapoikkeamat toimivat ”lokina”, joka kertoo mitä poikkeamatilanteissa on tapahtunut ja milloin.

Suosittelen tutustumaan myös:

👉 Näin pääset alkuun tietoturvatyössä | blogi
👉 Näin rakennat tietoturvallisuuden hallintamallin | ladattava pikaopas
👉 NIS2- ja CER-direktiivit käytännössä | blogi

Onko tietoturvallisuuden kehittäminen ajankohtaista? Tilaa sähköpostiisi ISO 27001 minimivaatimukset -artikkeli, jonka avulla ymmärrät mitä ISO 27001 -standardi edellyttää käyttäjältään.

Täytä sähköpostisi ja saat itsellesi ISO 27001 -standardin minimivaatimukset -artikkelin

* merkityt kohdat ovat pakollisia.

Kirjoittaja

Liittyvät materiaalit