Blogi

ISO 27001 oppaana kyberturvallisuusmatkalla

Asiakkaiden toimintajärjestelmiä kehitettäessä työpajakeskusteluissa vilahtavaa myös seuraavia sanoja:

  • tiedonhallinta,
  • tietojärjestelmät ja -verkot,
  • pilvipalvelut,
  • järjestelmäintegroinnit,
  • digitalisointi,
  • käyttäjähallinta ja -koulutus.

Yllättävän useasti kuulee myös, että edellä mainittuja asioita kyllä pohditaan, mutta se tehdään jossain muualla – kuin irrallaan.

Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden vuoksi näitä asioita tulisi suunnitella, toteuttaa, kouluttaa, arvioida ja kehittää yhdessä kokonaisuutena, mikä on kattavuudeltaan sovitettu organisaation toimintaympäristöön. Näin kyberturvallisuudesta tulee osa toimintaa eli arkea ja tukee osaltaan organisaation kokonaisvaltaisen riskienhallintaa.

Toisaalta kuulee myös kysymyksen kuinka ja miten päästä alkuun, jotta välttyy ylilyönneiltä ja turhan tekemiseltä. Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, niin oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.

ISO 27001 tukee muita standardeja

ISO 27001:n perusrakenne on toiminut pioneerina muiden (ISO 9001, 14001 ja 45001) viitekehysten rakenteelle, joten tänä päivänä eri viitekehysten välinen tuki ja yhteys on ilmeinen ja toinen toistaan tukevaa. ISO 27001:n yhteydessä näkökulmana on tietoturvallisuus ja sen perusrakenne ja sisällys koostuu jo tutuiksi tulleista elementeistä.

Tutustu ISO 27001 -standardeihin tarkemmin Suomen Standardoimisliiton sivuilla. 

Alla olevan kuvan mukaan eri alojen yksittäiset sertifiointimäärät ovat hieman nousseet vuodesta 2019. Mutta kun sertifioituja yrityksiä ja toimipisteitä tarkastelee kokonaisuutena. ovat sertifiointimäärät yleisesti ottaen kasvaneet. Lukujen lähteenä on käytetty ISO Survey 2019 ja 2020 tutkimustuloksia.

Top 5 sertifioidut toimialat Suomessa ISO 27001 2020 ja 2019, Arter Oy
Top 5 sertifioidut toimialat Suomessa ISO 27001 vuosina 2020 ja 2019. KLIKKAA KUVA ISOMMAKSI.

Kyberturvallisuuden kehitysmatka

Kyberturvallisuutta voidaan parantaa ja kehittää omaan organisaatioon ja toimintaympäristöön sopivaksi eri tavoilla esim. vesiputousmallilla ylhäältä alas. Näin kyberturvallisuuden kehitysmatka voidaan yksinkertaistaa alusta maaliin ja visualisoida henkilöstölle, vaikka näillä askelmerkeillä:

  • Lähtötilanne
  • Toimintaympäristö
  • Johtaminen
  • Suunnittelu
  • Tuki
  • Toiminta
  • Arviointi
  • Parantaminen
  • Sertifiointi
ISO 27001 - oppaana kyberturvallisuusmatkalla
Kyberturvallisuuden kehitysmatka. Klikkaa kuva isommaksi.

Hallintakeinot ja VAHTI apunasi

Muista viitekehyksistä poiketen ISO 27001 myös opastaa käyttäjäänsä pysymään oikealla tiellä ja keskittymään asioihin, jotka vähintään tulee huomioida ja toteuttaa. ISO 27001 tarjoaa (standardin liitteessä A) 114 kpl hallintakeinoa, joihin tulee osoittaa toimiva menetelmä eli sopivasti omaan toimintaympäristöön mitoitettu toimintatapa.

Tämä tarkoittaa, että toimintatapa on organisaatiossa suunniteltu, koulutettu, otettu käyttöön, sitä seurataan ja tarpeen mukaan kehitetään eteenpäin vastaamaan tulevaisuuden tarpeita. Jos 114 hallintakeinon haltuunotto heti alkuun tuntuu haastavalta, kannatta tutustua meidän kokoamaan infograafiin ISO 27001-standardin 10 keskeisestä vaatimuksesa.

Oman kyberturvallisuuskyvykkyyden rakentamiseen löytyy täydentävää apua mm. Valtionvarainministeriön VAHTI-ohjeistuksesta, joka osaltaan tukee ja ottaa huomioon ISO 27001 standardin vaatimuksia.

Kuva: Tietoturvallisuuden hallintajärjestelmän malli (VAHTI 3/2007 3. Tietoturvalli-suuden organisointi), Arter Oy
Kuva: Tietoturvallisuuden hallintajärjestelmän malli, VAHTI 3/2007 3. Tietoturvallisuuden organisointi. Klikkaa kuva isommaksi.

 

Tietoturvallista kyberturvallisuusmatkaa!

Kirjoittaja

Arterin seniortason konsultti Jari Saalilla on lähes 30 vuoden historia eri organisaatioiden toiminnan kehittämisen parista. Hänellä on laaja kokemus ja tietämys johtamisen, toimintajärjestelmien, riskienhallinnan ja jatkuvuuden sekä tiedonhallinnan ja -turvan osa-alueilta. Jari saa usein palautetta siitä, miten hänen rauhallinen ja määrätietoinen tapansa luotsata asiakasprojekteja tarttuu projektiryhmiin: suunnitellut muutokset tulevat tehdyiksi ja ne juurtuvat arkeen.

Liittyvät materiaalit