Blogi

ISO 27001 -standardin minimivaatimukset

Tietoturva kiinnostaa tällä hetkellä monia organisaatioita ja on lähes päivittäin otsikoissa. Monessa organisaatiossa pohditaan, mikä on juuri meidän organisaatiollemme sopivin ja toimivin tietoturvan taso ja mitä sen toteuttaminen, ylläpito ja kehittäminen vaatii nyt ja tulevaisuudessa.

⬇️ Katso ISO 27001 -standardin minimivaatimukset -webinaaritallenne alta tai ota ISO 27001 -standardin minimivaatimukset haltuun tämän blogin avulla.

Mistä löytyy ISO 27001 -standardin minimivaatimustaso?

Kunkin organisaation minimitaso määräytyy kokonaisuudesta, joka on vähintään tehtävä, riittävän hyvän tietoturvatason saavuttamiseksi. Niinpä jokaisella organisaatiolla on erilainen minimi, joka riippuu muun muassa toimialasta, sidosryhmistä, palveluista/tuotteista ja erilaisista vaatimuksista.

  1. Perehdy siis edustamasi organisaation toimintaympäristöön ja johda sieltä minimivaatimukset ja -odotukset ennemmin kuin lukisit pelkästään standardin velvoittavat kohdat ja toteuttaisit vain niitä.
  2. Toteuttakaa organisaatiolle ja sen tarpeisiin sopiva tietoturvajärjestelmä omilla ehdoillanne – ei standardin vuoksi.
  3. ISO 27001 -standardi viitekehys toimii hyvänä ohjeena tietoturvan rakentamistyössä, vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä.

Näin lähdet liikkeelle ISO 27001 -standardin mukaisessa tietoturvatyössä – 8️⃣ kohdan muistilista

Tässä sinulle muistilista, jonka avulla voit lähteä liikkeelle ISO 27001 -standardin mukaisessa tietoturvatyössä niin, että standardin vaatimuksiin vastataan organisaation omien tarpeiden mukaan.

  1. Kartoita tarve
    • Miksi ja mihin tarvitsemme tietoturvaa?
    • Mitä tarpeen täyttäminen vaatii?
    • Miten tietoturva työ rajautuu? Mitä koskee? Mitä ei koske?
    • Kuinka hoidamme viestinnän niin sisäisesti kuin ulkoisesti?
    • Kuinka koko organisaatiolle ja tärkeille sidosryhmille saadaan ymmärrys tietoturvatason nostamisen tärkeydestä ja sitä kautta sitoutuminen tulevaan kehitystyöhön?
  2. Varmista tuki
    • Kuinka johto osoittaa sitoutumisen tietoturvaan mm. esimerkillään, nostoillaan, seurannallaan ja priorisoimalla?
    • Millainen on tietoturvan ydinryhmä? Millainen edustus eri osa-aluilta tarvitaan?
    • Millainen on kehitysprojektin aikataulu ja resursointi? Milloin haluamme olla valmiita? Tarvitaanko priorisoituja kehitysaaltoja?
    • Kuinka voimme hyödyntää ja hyötyä muista toimintajärjestelmän elementeistä (laatu, ympäristö ja/tai työsuojelu?
  3. Tunnista toimintaympäristö
    • Mistä muodostuu organisaatiomme suojattavat kohteet, jonka tueksi rakennamme tietoturvaa?
    • Mitkä ovat keskeiset sidosryhmät, joille tietoturva näkyy? Asiakkaat? Henkilöstö? Kumppanit?
    • Miten tunnistamme ja keräämme tietoturvavaatimukset yhteen, jotta tietoturva asettuu oikealle tasolle ja täyttää ne?
    • Onko jotkin palvelut tai prosessit tietoturvan kannalta kriittisempiä kuin toiset?
    • Kuinka havainnoimme tietoturvan kannalta oleelliset riskit ja mahdollisuudet?
  4. Perusta tietoturvan johtamisen periaatteet
    • Mitä tietoturvapolitiikkamme kattaa?
    • Kuinka tunnistetaan pidemmän aikavälin tietoturvan päämäärät ja kuinka niistä johdetaan lyhyemmän aikavälin tavoitteet?
    • Millainen on johtamisen malli? Päätöskäytännöt? Roolit – vastuut ja valtuudet?
    • Kuinka huomioidaan normaali- ja häiriötilanteet?
    • Minkälainen on riittävä muutoshallinta?
  5. Varaa aikaa suunnittelulle
    • Kuinka riskienhallinta ja -arviointi on riittävä ja pysyy ajan tasaisena?
    • Miten hoidamme viestinnän ja kuinka löydämme oikeat sidosryhmät? Kerrommeko riittävästi? Kuuntelemmeko tarpeeksi?
    • Minkälaista osaamista ja pätevyyttä tarvitsemme nyt? Tulevaisuudessa?
    • Kuinka huomioimme toimintamalleissa koko elinkaaren ja sen kehittämisen?
  6. Vie käytäntöön yhteiset toimintatavat
    • Kuinka toimimme normaalitilanteessa tietoturvallisesti, niin että arki sujuu?
    • Kuinka olemme varautuneet tyypillisiin häiriötilanteisiin?
    • Kuinka saamme kiinni erilaisista lähteistä tulevat tietoturvasignaalit ja osaamme reagoida niihin oikein?
    • Miten keräämme ja ylläpidämme tietoa tietoturvajärjestelmämme tasosta?
  7. Seuraa ja arvioi tietoturvan tasoa
    • Mikä on tehokas ja sopiva määrä hyviä tietoturvatason mittareita? Ymmärrämmekö mittarin takana olevat syy-seuraussuhteet?
    • Miten arvioimme ja auditoimme tietoturvan tasoa ja riittävyyttä?
    • Millaiset ovat tietoturvaan liittyvät palautekanavat? Kuinka havainnot ohjaavat tulevaisuutta?
    • Minkälainen tilannekuva on tietoturvasta ja kuinka sitä ohjataan?
  8. Paranna tietoturvaa hallitusti
    • Kuinka voimme kohdistaa tietoturva kehitystyön oikein ja oikea aikaisesti?
    • Millainen on meidän kokonaisvaltainen muutoksenhallinta?

Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia, joten näiden huomioinen ja yhteen liittäminen säästää vaivaa, koska perusrakenne on sama, mutta näkökulma vaihtuu eri hallintajärjestelmien välillä.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista minimiratkaisumallia ei ole, vaan organisaation tietoturvallisuusjärjestelmän riittävä taso tulee rakentaa kokonaisuus ymmärtäen.

Tietoturvajärjestelmän menestystekijät, ISO 27001, Arter Oy
Tietoturvajärjestelmän menestystekijät. KLIKKAA KUVA ISOMMAKSI.

Me Arterilla autamme sinua matkalla kohti tietoturvasertifiointia tarjoamalla asiantuntevaa koulutusta sekä apua toimivan ratkaisun rakentamisessa tai olemassa olevan toimintajärjestelmän laajentamisessa. Ohjelmisto riippumattomien Qualitas Fennica -koulutusten lisäksi IMS- ja ARC-ohjelmistomme tukevat järjestelmällistä tietosuoja ja -turvatyötä ja sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa.

Haluatko tietää lisää? Tilaa sähköpostiisi ISO 27001 minimivaatimukset -artikkeli, joka kertoo minimivaatimusten lisäksi vinkit tietoturvan kehitystyöhön ja pääset tutustumaan ISO 27001 -standardin sisällysluetteloon.

Kirjoittaja

Arterin seniortason konsultti Jari Saalilla on lähes 30 vuoden historia eri organisaatioiden toiminnan kehittämisen parista. Hänellä on laaja kokemus ja tietämys johtamisen, toimintajärjestelmien, riskienhallinnan ja jatkuvuuden sekä tiedonhallinnan ja -turvan osa-alueilta. Jari saa usein palautetta siitä, miten hänen rauhallinen ja määrätietoinen tapansa luotsata asiakasprojekteja tarttuu projektiryhmiin: suunnitellut muutokset tulevat tehdyiksi ja ne juurtuvat arkeen.

Liittyvät materiaalit