• Skip to content
  • Skip to primary sidebar
  • Skip to footer

Secrays

Olemme erikoistuneet kyberturvallisuuden johtamiseen, jotta asiakkaamme voivat keskittyä liiketoimintaansa.

  • Etusivu
  • Referenssit
  • Kyberturvallisuus
    • Kyberturvallisuuden hallinta
    • Kyberturva-arkkitehti
    • Tietoturvapäällikkö palveluna
    • ISO 27001 toteutus
    • Sovelluskehityksen tietoturva
  • Tietosuoja
    • Tietosuojakartoitus
    • Tietosuojavastaavan palvelut
    • Tietosuojan vaikutustenarviointi (DPIA – data protection impact assessment)
    • Tietosuojan toteutusprojekti
  • Asiantuntijat
    • Elina Niemimaa
    • Pauli Kauppila
    • Jyrki Nivala
    • Mika Tolvanen
    • Kimmo Pajunen
    • Eero Paajanen
    • Janne Valo
    • Petri Vetikko
  • Blogit
    • Tietoturvapalvelut
    • Tietosuojapalvelut
  • Yhteystiedot
  • fi
  • en
Home  »  Blogit  »  Tietoturvapalvelut  »  ISO27001  »  Mikä on ISO 27001 -standardi?

Petri Vetikko / 18.1.2019

Mikä on ISO 27001 -standardi?

Standardin historia

ISO (International Organization for Standardization) ja IEC (International Electrotechnical Commission) muodostavat maailmanlaajuisen standardointiin erikoistuneen organisaation, jossa kansalliset jäsenjärjestöt osallistuvat kansainvälisten standardien laadintaan. Järjestössä käsitellään tekniikan eri aloja erillisissä teknisissä komiteoissa.

Ensimmäinen virallinen tietoturvastandardi julkaistiin vuonna 1999 Britanniassa. ISO/IEC omaksui standardin erinimisenä vuonna 2000 ja 2005 uudistettu standardi nimettiin 27001-standardiksi. Sittemmin standardia on tarkennettu, parannettu ja uudistettu useaan otteeseen, joitakin osia jopa aivan viime aikoina, viimeksi vuonna 2017.

Standardin hyödyntäminen yrityksissä

Organisaation strategisena päätöksenä tietoturvallisuuden hallintajärjestelmän luomiseen ja toteuttamiseen vaikuttavat organisaation turvallisuusvaatimukset, käytettävät prosessit, organisaation koko ja rakenne sekä muut tarpeet ja tavoitteet. Koska näiden organisaatioon liittyvien tekijöiden odotetaan muuttuvan ajan kuluessa, tietoturvallisuuden hallintajärjestelmän tulisi olla osa organisaation prosesseja ja yleisiä johtamis- ja hallintarakenteita jo suunnitteluvaiheessa. Vaikka hallintajärjestelmää ei olisi huomioitu organisaatiota luotaessa, peli ei ole menetetty. Aikaisemmin perustetut organisaatiot voivat puuteanalyysin (engl. gap analysis) avulla kartoittaa olemassa olevat järjestelmänsä, niiden erot suhteessa standardin vaatimuksiin ja määrittää keinot, joilla päädytään standardin mukaiseksi.

Standardin keskeinen sisältö

ISO 27001 -standardi käsittelee tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevia vaatimuksia. Vaatimusten tarkoituksena on suojata tiedon luottamuksellisuutta, eheyttä ja saatavuutta prosessien, ohjeiden, riskienhallinnan ja -hallintakeinojen avulla.

Standardi sisältää seitsemän velvoittavaa vaatimusta, jotka jokaisen standardin mukaisesti toimivan on toteutettava. Nämä vaatimukset sisältävät organisaation toimintaympäristöä, johtajuutta, suunnittelua, tukitoimintoja (mm. ylläpitoon tarvittavat voimavarat), itse toimintaa, suorituskyvyn arviointia ja jatkuvaa parantamista koskevia vaatimuksia.

Velvoittavien vaatimusten lisäksi standardin liitteessä A määritellään 114 hallintakeinoa, joista riskianalyysin perusteella valitaan merkitykselliset hallintakeinot toteutettavaksi. Hallintakeinot on jaoteltu neljääntoista eri kategoriaan:

Tietoturvapolitiikat
Tietoturvallisuuden organisointi
Henkilöstöturvallisuus
Suojattavan omaisuuden hallinta
Pääsynhallinta
Salaus
Fyysinen turvallisuus ja ympäristön turvallisuus
Käyttöturvallisuus
Viestintäturvallisuus
Järjestelmien hankkiminen, kehittäminen ja ylläpito
Suhteet toimittajiin
Tietoturvahäiriöiden hallinta
Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia
Vaatimustenmukaisuus

Kun toimitaan standardin mukaisesti, tulee muistaa, että kyseessä ei ole yksittäinen projekti, vaan toimintatapa, jonka koko organisaation tulee omaksua organisaation päivittäisen toiminnan osaksi. Toteuttaminen sitä vastoin voidaan tehdä projektimuodossa ja sitä varten voidaan muodostaa erillinen projektiorganisaatio, johon nimetään toteuttavat henkilöt ja johtoryhmä ohjaamaan ja valvomaan projektin edistymistä.

Kategoria: ISO27001, Tietoturvapalvelut Avainsanat:ISO27001

Reader Interactions

Primary Sidebar

Viimeisimmät artikkelit

  • Brexit ja henkilötietojen siirto Iso-Britanniaan
  • Mikä on ISO 27001 -standardi?
  • Kyberturvajohtamisen haasteet: teknologinen murros
  • Privacy Shieldin toinen vuosittainen arviointi
  • ISO27001 startupin asiakashankinnan tukena

Kategoriat

  • DPIA
  • ISO27001
  • Tietosuojapalvelut
  • Tietoturvapalvelut
  • Uutiset

Haku

Footer

Ota Yhteyttä

Secrays Oy
Ludviginkatu 6
00130 Helsinki
+358 40 720 8007

Secrays Oy

Olemme erikoistuneet kyberturvallisuuden johtamiseen, jotta asiakkaamme voivat keskittyä liiketoimintaansa. Hallitsemme kyberriskejä, tuotamme tietoa päätöksenteon tueksi ja varmistamme asiakkaidemme palveluiden turvallisuuden.

© 2019 · Secrays Oy