JavaScript is disabled. Please enable to continue!
In English
Tulosta

Tallenna tämä sivu PDF

Mobile search icon
Valikko
Ajankohtaista >> Uutiset >> 201712 Rakenna ISO 27001 -standardin tietoturvallisuuden hallintajarjestelma
Hae >>

Rakenna ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä

Sidebar Image

 

Tietoturvallisuuden hallintajärjestelmä, ISO 27001

7.12.2017

Tietoturvallisuuden hallintajärjestelmällä suojaat luottamuksellista tietoa ja hallitset riskejä. ISO 27001 -sertifioituna hallintajärjestelmä on riippumattoman kolmannen osapuolen varmistus tietoturvallisuuden hallinnan vaatimustenmukaisuudesta. Lue mitä sinun kannattaa huomioida, kun rakennat ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää.

Tietoturvallisuuden hallintajärjestelmä luo menettelyjä ja työkaluja

Tietoturvallisuuden hallintajärjestelmän (Information Security Management System, ISMS) käyttöönotto auttaa saamaan organisaation tietoturvariskit hallintaan. Sen avulla suojaat luottamuksellista tietoa sekä varmistat liiketoiminnan jatkuvuuden kaikissa tilanteissa. Tietototurvallisuuden hallintajärjestelmä kattaa fyysisen ja sähköisen tiedon, tietovälineet sekä niihin liittyvän tietoturvallisuuden eli tietojen luottamuksellisuuden, eheyden, käytettävyyden sekä kiistämättömyyden säilymisen. Hallintajärjestelmä yhtenäistää ja selkeyttää toimintaa sekä antaa käytännön ohjeet, työkalut ja menetelmät oikeaoppiselle tietoturvalliselle toimin​nalle kaikissa eri tilanteissa.

ISO 27001 on tietoturvallisuuden hallintastandardi

ISO 27001 -standardi on kansainvälisesti merkittävin tietoturvallisuuden hallintastandardi. Standardi antaa vaatimukset tietoturvallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille ja ylläpitämiselle sekä jatkuvalle parantamiselle. Standardi on perusrakenteeltaan yhtenevä muiden merkittävien johtamisjärjestelmästandardien kanssa. Siinä ovat käytössä muista standardeista tutut elementit kuten, prosessimainen johtamismalli, sisäiset auditoinnit, johdonkatselmukset, mittarointi ja analysointi.

Huomioi nämä asiat, kun rakennat ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää

ISO 27001- standardin kappaleissa 4 - 10 on annettu vaatimukset tarvittaville menettelyille, prosesseille ja dokumentaatiolle.

  1. Määritä organisaatio ja toimintaympäristö sekä tunnista sidosryhmät ja heidän tarpeet sekä odotukset.
  2. Yllä olevat asiat huomioiden määritä tietoturvallisuuden hallintajärjestelmän soveltamisala ja riskienhallintamenettelyt sekä riskeihin liittyvät hallintakeinot.
  3. Kirkasta johdon rooli.
    Koska kyseessä on hallintajärjestelmä eli toiselta nimeltään johtamisjärjestelmä on johdon rooli merkittävä. Johdon sitoutuminen hallintajärjestelmään ja tarvittavien resurssien, vastuiden ja valtuuksien määrittäminen on yksi perusedellytys järjestelmälle.

  4. Määritä strategiset tietoturvatarvoitteet eri tietoturvapolitiikkojen muodossa.
    Standardin ISO 27001 velvoittavassa l​iitteessä A on hallintavoitteet ja keinot, joita tulee noudattaa kaikilta osin, mikäli ne ovat sovellettavissa. Liitteeseen A perustuen tulee laatia myös soveltamissuunnitelma (SoA). Soveltamissuunnitelmassa kuvataan hallintatavoit​teiden ja keinojen soveltaminen sekä perustelut, ellei jotain niistä ei voida soveltaa.

ISO 27001 -sertifiointi voi olla kaupan edellytys

Riippumattoman kolmannen osapuolen tekemä ISO 27001 -arviointi ja -sertifiointi toimivat näyttönä tietoturvallisuuden hallinnan vaatimustenmukaisuudesta.

Sertifioitu tietoturvallisuuden hallintajärjestelmä saattaa olla myös asiakkaan edellytys hyväksyttävälle toimittajalle. Sertifioinnin kautta asiakkaiden tekemien toimittaja-arviointien ja muiden toisten osapuolten tekemien auditointien tarve vähenee tai niiltä voidaan välttyä kokonaan. Auditointien ja arviointien määrän vähentymisen kautta pystytään saavuttamaan merkittäviä säästöjä mm. työajassa.

Lisäksi tarjous- ja toimitusprosessi nopeutuu erillisten asiakaskohtaisten tietoturvallisuuden arviointien jäädessä pois. Sertifiointiin sijoitettu pääoma voidaan​ saada nopeasti takaisin esimerkiksi säästyneen työajan tai saavutettujen liiketoimintamahdollisuuksien muodossa.

VTT Expert Services ISO 27001 -sertifioijana

Teemme standardin ISO 27001 mukaisia tietoturvallisuusjärjestelmän arviointeja ja sertifiointeja. Arvioijamme ovat kokeneita ja päteviä, ja he auttavat yritystänne tietoturvajärjestelmän sertifiointiin liittyvissä asioissa. ISO 27001 -esiauditoinnilla voit kartoittaa yrityksesi tietoturvallisuusjärjestelmän kypsyysasteen ja sertifiointivalmiuden.

Ota yhteyttä

Eurofins Expert Services
Mika Riihimaa
Puh. 040 555 3630
MikaRiihima@eurofins.fi

 

Uutisen julkaisi 7.12.2017 VTT Expert Services, joka on nyt nimetään Eurofins Expert Services ja osa Eurofins Groupia.