Tietoturvallisuus ja ISO/IEC 27001

Digitalisaation myötä kaikkien organisaatioiden on huolehdittava tietoturvasta ja sen hallinnasta. ISO/IEC 27001 -standardi tarjoaa hyvät käytännöt tietoturvan riskien hallintaan. Complyn avulla varmistat, että organisaatiosi täyttää nämä vaatimukset.

Tieto- ja kyberturvallisuuden kehittämistä ja johtamista tarvitaan kaikissa organisaatioissa. Tarpeen taustalla ovat tietoturvahäiriöiden ja -loukkausten mahdolliset, hyvinkin vakavat seuraukset ja tiukkeneva regulaatio mm. EU:n NIS2- ja CER-direktiivien kautta. Mistä aloittaa ja mitä tehdä? Kiwa ComplyTM täydennettynä Kiwan asiantuntijapalveluilla ja koulutuksilla auttaa alkuun ja tukee kattavasti tietoturvallisuuden johtamisen kehittämistä ja ylläpitoa erilaisten vaatimusten täyttämiseksi. 

Tietoturvallisuus

Tarve vastata tieto- ja kyberturvallisuuden haasteisiin on laajasti tunnistettu poliittisella ja viranomaistasoilla. Esimerkiksi tietosuojalaki (GDPR) ja edelleen tiukkeneva lainsäädäntö mm. NIS2- ja CER-direktiivien muodossa edellyttävät systemaattista ja aktiivista lähestymistapaa tietoturvallisuuden kehittämiseen ja ylläpitoon.

Onneksi apuna vastata sekä konkreettisiin uhkiin, että viranomais- ja lakivaatimuksiin, on organisaation tietoturvallisuuden hallintaan ja johtamiseen olemassa erilaisia tunnustettuja kansainvälisiä tai kansallisia malleja. Näin oikeita toimintamalleja ei tarvitse keksiä itse, vaan voi kohdistaa omaan organisaation soveltuvat ratkaisut yleisten hyvien käytäntöjen pohjalta.

Mikä on tietoturvallisuuden hallintajärjestelmä ISO/IEC 27001?

ISO/IEC 27001 on tietoturvallisuuden riskiperusteisen hallintakokonaisuuden standardi, joka sisältää vaatimusmuotoon kirjoitettuja hyviä käytäntöjä. Sisältäessään vaatimuksia tätä standardia vasten voidaan tehdä auditointeja ja jopa hakea sertifikaattia puolueettomalta kolmannelta osapuolelta – tyypillisesti akkreditoidulta sertifiointielimeltä.  

Standardin kuvaaman hallintamallin ytimessä on riskiperusteinen tapa päättää mitä tunnistetuille, tieto-omaisuuden luottamuksellisuutta, eheyttä tai saatavuutta uhkaaville tekijöille tehdään. Järjestelmällisen ja jatkuvasti kehittyvän tuen johtamiseen varmistavat standardin lukuisat hyvät käytännöt mm. dokumentoidun tiedon, osaamisen, tavoitteellisuuden, sisäisen auditoinnin, poikkeamien ja ylimmälle johdolle raportoinnin hallintaan. 

ISO/IEC 27001 noudattaa yleistä hallintajärjestelmästandardien mallia, jossa suuri osa vaatimuksista luvuissa 4-10 on yhteneviä. Varsinaisia tietoturvallisuuden johtamisen ja hallinnan vaatimuksia tukevat standardin 93 yksityiskohtaista ja konkreettista hallintakeinoa tietoturvallisuuden eri osa-alueille mm. häiriöiden hallintaan, henkilöstöturvallisuuteen, fyysiseen turvallisuuteen ja teknisiin aiheisiin kuten laitteiden suojaamiseen ja ohjelmistokehitykseen. 

Complyn uusimpana sisältönä on tuki ISO/IEC 27001:2022 -standardin mukaiselle tietoturvallisuuden hallintajärjestelmälle. Hallintakeinot on koottu omaksi osiokseen, jossa niiden käsittely on sujuvaa ja standardin vaatimat toimenpiteet myös hallintakeinojen osalta tulee toteutettua.

Mistä lähteä liikkeelle?

Kiwa Comply™ on erilaisten hallintajärjestelmien kehittämiseen ja ylläpitoon kehitetty pilvipalvelu, jonka uusimpana sisältönä on tuki ISO/IEC 27001:2022 –standardin mukaiselle tietoturvallisuuden hallintajärjestelmälle.

Comply kuvaa mm. suositellun toteutusjärjestyksen hallintajärjestelmän eri osioille ja opastaa vaatimusten tulkinnassa sekä niihin vastaamisessa. Standardin lukuisat vaatimukset on koottu 18 laajemman kokonaisuuden, moduulin, alle. Moduulinäkymien avulla yhdistetään standardin eri kohdissa samaa asiaa käsittelevät vaatimukset yhdeksi helpommin käsiteltäväksi kokonaisuudeksi.

ISO/IEC 27001 -hallintajärjestelmään liittyvät olennaisesti tietoturvallisuuden hallintakeinot, joihin muodostetaan organisaation oma vastaus vaaditun soveltuvuuslausunto-dokumentin kautta. Tämä lausunto kytkeytyy myös sertifikaattiin ja se tulee pitää ajantasaisena. Complyssa hallintakeinot on koottu omaksi osiokseen, jossa niiden käsittely on sujuvaa ja jonka avulla varmistat, että standardin vaatimat asiat ja toimenpiteet myös hallintakeinojen osalta tulee toteutettua. Standardin edellyttämä soveltuvuuslausunto syntyy Complysta helposti suoraan hallintakeinojen tietojen pohjalta.

Complyssa tietoturvallisuuden hallintakeinot on koottu omaksi osiokseen, jossa niiden käsittely on sujuvaa ja jonka avulla varmistat, että standardin vaatimat asiat ja toimenpiteet myös hallintakeinojen osalta tulee toteutettua.

Miten voimme auttaa?

Järjestämme mielellämme demon Complysta ja niin halutessasi saat maksutta viikon ajaksi tunnukset järjestelmään voidaksesi tutustua siihen rauhassa. 

Complyn lisäksi tarjoamme myös kattavan valikoiman erilaisia koulutus-, auditointi- ja konsultointipalveluita, jos tarvitset enemmän tukea organisaatiosi tietoturvallisuuden ja sen johtamisen kehittämiseen.

Palveluvalikoimaamme kuuluvat tietoturvallisuuden osalta mm. 

Varaa tapaaminen!

Tapaamisen jälkeen sinulla on alustava suunta ja ymmärrys siitä, miten edetä käytännössä. Tapaaminen sisältää mm.

✓  Tilannearvion: keskustelu nykytilanteesta ja haasteista.

✓  Tarvekartoituksen: erityistarpeet ja priorisointi

✓  Kokonaiskuvan: alustavat ratkaisut ja suositukset havaittuihin tarpeisiin.

✓  Seuraavat askeleet: saat organisaatiosi tarpeisiin räätälöidyn tarjouksen ja halutessasi sovimme erillien tarjouksen läpikäyntitapaamisen.