Blogi
Blogi
Julkaistu 03.05.2021 kirjoittaja Jari Saali
Asiakkaiden toimintajärjestelmiä kehitettäessä työpajakeskusteluissa vilahtavaa myös seuraavia sanoja:
Yllättävän useasti kuulee myös, että edellä mainittuja asioita kyllä pohditaan, mutta se tehdään jossain muualla – kuin irrallaan.
Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden vuoksi näitä asioita tulisi suunnitella, toteuttaa, kouluttaa, arvioida ja kehittää yhdessä kokonaisuutena, mikä on kattavuudeltaan sovitettu organisaation toimintaympäristöön. Näin kyberturvallisuudesta tulee osa toimintaa eli arkea ja tukee osaltaan organisaation kokonaisvaltaisen riskienhallintaa.
Toisaalta kuulee myös kysymyksen kuinka ja miten päästä alkuun, jotta välttyy ylilyönneiltä ja turhan tekemiseltä. Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, niin oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.
ISO 27001:n perusrakenne on toiminut pioneerina muiden (ISO 9001, 14001 ja 45001) viitekehysten rakenteelle, joten tänä päivänä eri viitekehysten välinen tuki ja yhteys on ilmeinen ja toinen toistaan tukevaa. ISO 27001:n yhteydessä näkökulmana on tietoturvallisuus ja sen perusrakenne ja sisällys koostuu jo tutuiksi tulleista elementeistä.
Tutustu ISO 27001 -standardeihin tarkemmin Suomen Standardoimisliiton sivuilla.
Alla olevan kuvan mukaan eri alojen yksittäiset sertifiointimäärät ovat hieman nousseet vuodesta 2019. Mutta kun sertifioituja yrityksiä ja toimipisteitä tarkastelee kokonaisuutena. ovat sertifiointimäärät yleisesti ottaen kasvaneet. Lukujen lähteenä on käytetty ISO Survey 2019 ja 2020 tutkimustuloksia.
Kyberturvallisuutta voidaan parantaa ja kehittää omaan organisaatioon ja toimintaympäristöön sopivaksi eri tavoilla esim. vesiputousmallilla ylhäältä alas. Näin kyberturvallisuuden kehitysmatka voidaan yksinkertaistaa alusta maaliin ja visualisoida henkilöstölle, vaikka näillä askelmerkeillä:
Muista viitekehyksistä poiketen ISO 27001 myös opastaa käyttäjäänsä pysymään oikealla tiellä ja keskittymään asioihin, jotka vähintään tulee huomioida ja toteuttaa. ISO 27001 tarjoaa (standardin liitteessä A) 114 kpl hallintakeinoa, joihin tulee osoittaa toimiva menetelmä eli sopivasti omaan toimintaympäristöön mitoitettu toimintatapa.
Tämä tarkoittaa, että toimintatapa on organisaatiossa suunniteltu, koulutettu, otettu käyttöön, sitä seurataan ja tarpeen mukaan kehitetään eteenpäin vastaamaan tulevaisuuden tarpeita. Jos 114 hallintakeinon haltuunotto heti alkuun tuntuu haastavalta, kannatta tutustua meidän kokoamaan infograafiin ISO 27001-standardin 10 keskeisestä vaatimuksesa.
Oman kyberturvallisuuskyvykkyyden rakentamiseen löytyy täydentävää apua mm. Valtionvarainministeriön VAHTI-ohjeistuksesta, joka osaltaan tukee ja ottaa huomioon ISO 27001 standardin vaatimuksia.
Tietoturvallista kyberturvallisuusmatkaa!
Suosittelemme sinulle:
👉 Näin rakennat tietoturvallisuuden hallintamallin | ladattava materiaali
👉 Selkeät askelmerkit kyberturvallisuuden hallintaan | blogi
👉 ISO 27001 -standardin 10 keskeistä vaatimusta | blogi