Rakenna ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä
7.12.2017
Tietoturvallisuuden hallintajärjestelmällä suojaat luottamuksellista tietoa ja hallitset riskejä. ISO 27001 -sertifioituna hallintajärjestelmä on riippumattoman kolmannen osapuolen varmistus tietoturvallisuuden hallinnan vaatimustenmukaisuudesta. Lue mitä sinun kannattaa huomioida, kun rakennat ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää.
Tietoturvallisuuden hallintajärjestelmä luo menettelyjä ja työkaluja
Tietoturvallisuuden hallintajärjestelmän (Information Security Management System, ISMS) käyttöönotto auttaa saamaan organisaation tietoturvariskit hallintaan. Sen avulla suojaat luottamuksellista tietoa sekä varmistat liiketoiminnan jatkuvuuden kaikissa tilanteissa. Tietototurvallisuuden hallintajärjestelmä kattaa fyysisen ja sähköisen tiedon, tietovälineet sekä niihin liittyvän tietoturvallisuuden eli tietojen luottamuksellisuuden, eheyden, käytettävyyden sekä kiistämättömyyden säilymisen. Hallintajärjestelmä yhtenäistää ja selkeyttää toimintaa sekä antaa käytännön ohjeet, työkalut ja menetelmät oikeaoppiselle tietoturvalliselle toiminnalle kaikissa eri tilanteissa.
ISO 27001 on tietoturvallisuuden hallintastandardi
ISO 27001 -standardi on kansainvälisesti merkittävin tietoturvallisuuden hallintastandardi. Standardi antaa vaatimukset tietoturvallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille ja ylläpitämiselle sekä jatkuvalle parantamiselle. Standardi on perusrakenteeltaan yhtenevä muiden merkittävien johtamisjärjestelmästandardien kanssa. Siinä ovat käytössä muista standardeista tutut elementit kuten, prosessimainen johtamismalli, sisäiset auditoinnit, johdonkatselmukset, mittarointi ja analysointi.
Huomioi nämä asiat, kun rakennat ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää
ISO 27001- standardin kappaleissa 4 - 10 on annettu vaatimukset tarvittaville menettelyille, prosesseille ja dokumentaatiolle.
- Määritä organisaatio ja toimintaympäristö sekä tunnista sidosryhmät ja heidän tarpeet sekä odotukset.
- Yllä olevat asiat huomioiden määritä tietoturvallisuuden hallintajärjestelmän soveltamisala ja riskienhallintamenettelyt sekä riskeihin liittyvät hallintakeinot.
- Kirkasta johdon rooli.
Koska kyseessä on hallintajärjestelmä eli toiselta nimeltään johtamisjärjestelmä on johdon rooli merkittävä. Johdon sitoutuminen hallintajärjestelmään ja tarvittavien resurssien, vastuiden ja valtuuksien määrittäminen on yksi perusedellytys järjestelmälle. - Määritä strategiset tietoturvatarvoitteet eri tietoturvapolitiikkojen muodossa.
Standardin ISO 27001 velvoittavassa liitteessä A on hallintavoitteet ja keinot, joita tulee noudattaa kaikilta osin, mikäli ne ovat sovellettavissa. Liitteeseen A perustuen tulee laatia myös soveltamissuunnitelma (SoA). Soveltamissuunnitelmassa kuvataan hallintatavoitteiden ja keinojen soveltaminen sekä perustelut, ellei jotain niistä ei voida soveltaa.
ISO 27001 -sertifiointi voi olla kaupan edellytys
Riippumattoman kolmannen osapuolen tekemä ISO 27001 -arviointi ja -sertifiointi toimivat näyttönä tietoturvallisuuden hallinnan vaatimustenmukaisuudesta.
Sertifioitu tietoturvallisuuden hallintajärjestelmä saattaa olla myös asiakkaan edellytys hyväksyttävälle toimittajalle. Sertifioinnin kautta asiakkaiden tekemien toimittaja-arviointien ja muiden toisten osapuolten tekemien auditointien tarve vähenee tai niiltä voidaan välttyä kokonaan. Auditointien ja arviointien määrän vähentymisen kautta pystytään saavuttamaan merkittäviä säästöjä mm. työajassa.
Lisäksi tarjous- ja toimitusprosessi nopeutuu erillisten asiakaskohtaisten tietoturvallisuuden arviointien jäädessä pois. Sertifiointiin sijoitettu pääoma voidaan saada nopeasti takaisin esimerkiksi säästyneen työajan tai saavutettujen liiketoimintamahdollisuuksien muodossa.
VTT Expert Services ISO 27001 -sertifioijana
Teemme standardin ISO 27001 mukaisia tietoturvallisuusjärjestelmän arviointeja ja sertifiointeja. Arvioijamme ovat kokeneita ja päteviä, ja he auttavat yritystänne tietoturvajärjestelmän sertifiointiin liittyvissä asioissa. ISO 27001 -esiauditoinnilla voit kartoittaa yrityksesi tietoturvallisuusjärjestelmän kypsyysasteen ja sertifiointivalmiuden.
Ota yhteyttä
Eurofins Expert Services
Mika Riihimaa
Puh. 040 555 3630
MikaRiihima@eurofins.fi
Uutisen julkaisi 7.12.2017 VTT Expert Services, joka on nyt nimetään Eurofins Expert Services ja osa Eurofins Groupia.