Standardin historia
ISO (International Organization for Standardization) ja IEC (International Electrotechnical Commission) muodostavat maailmanlaajuisen standardointiin erikoistuneen organisaation, jossa kansalliset jäsenjärjestöt osallistuvat kansainvälisten standardien laadintaan. Järjestössä käsitellään tekniikan eri aloja erillisissä teknisissä komiteoissa.
Ensimmäinen virallinen tietoturvastandardi julkaistiin vuonna 1999 Britanniassa. ISO/IEC omaksui standardin erinimisenä vuonna 2000 ja 2005 uudistettu standardi nimettiin 27001-standardiksi. Sittemmin standardia on tarkennettu, parannettu ja uudistettu useaan otteeseen, joitakin osia jopa aivan viime aikoina, viimeksi vuonna 2017.
Standardin hyödyntäminen yrityksissä
Organisaation strategisena päätöksenä tietoturvallisuuden hallintajärjestelmän luomiseen ja toteuttamiseen vaikuttavat organisaation turvallisuusvaatimukset, käytettävät prosessit, organisaation koko ja rakenne sekä muut tarpeet ja tavoitteet. Koska näiden organisaatioon liittyvien tekijöiden odotetaan muuttuvan ajan kuluessa, tietoturvallisuuden hallintajärjestelmän tulisi olla osa organisaation prosesseja ja yleisiä johtamis- ja hallintarakenteita jo suunnitteluvaiheessa. Vaikka hallintajärjestelmää ei olisi huomioitu organisaatiota luotaessa, peli ei ole menetetty. Aikaisemmin perustetut organisaatiot voivat puuteanalyysin (engl. gap analysis) avulla kartoittaa olemassa olevat järjestelmänsä, niiden erot suhteessa standardin vaatimuksiin ja määrittää keinot, joilla päädytään standardin mukaiseksi.
Standardin keskeinen sisältö
ISO 27001 -standardi käsittelee tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevia vaatimuksia. Vaatimusten tarkoituksena on suojata tiedon luottamuksellisuutta, eheyttä ja saatavuutta prosessien, ohjeiden, riskienhallinnan ja -hallintakeinojen avulla.
Standardi sisältää seitsemän velvoittavaa vaatimusta, jotka jokaisen standardin mukaisesti toimivan on toteutettava. Nämä vaatimukset sisältävät organisaation toimintaympäristöä, johtajuutta, suunnittelua, tukitoimintoja (mm. ylläpitoon tarvittavat voimavarat), itse toimintaa, suorituskyvyn arviointia ja jatkuvaa parantamista koskevia vaatimuksia.
Velvoittavien vaatimusten lisäksi standardin liitteessä A määritellään 114 hallintakeinoa, joista riskianalyysin perusteella valitaan merkitykselliset hallintakeinot toteutettavaksi. Hallintakeinot on jaoteltu neljääntoista eri kategoriaan:
| Tietoturvapolitiikat |
| Tietoturvallisuuden organisointi |
| Henkilöstöturvallisuus |
| Suojattavan omaisuuden hallinta |
| Pääsynhallinta |
| Salaus |
| Fyysinen turvallisuus ja ympäristön turvallisuus |
| Käyttöturvallisuus |
| Viestintäturvallisuus |
| Järjestelmien hankkiminen, kehittäminen ja ylläpito |
| Suhteet toimittajiin |
| Tietoturvahäiriöiden hallinta |
| Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia |
| Vaatimustenmukaisuus |
Kun toimitaan standardin mukaisesti, tulee muistaa, että kyseessä ei ole yksittäinen projekti, vaan toimintatapa, jonka koko organisaation tulee omaksua organisaation päivittäisen toiminnan osaksi. Toteuttaminen sitä vastoin voidaan tehdä projektimuodossa ja sitä varten voidaan muodostaa erillinen projektiorganisaatio, johon nimetään toteuttavat henkilöt ja johtoryhmä ohjaamaan ja valvomaan projektin edistymistä.