Viitekehyksiä parempiin tietoturvallisuuskäytäntöihin: Osa 2 – ISO/IEC 27001
Blogisarjan toisessa osassa käyn läpi ISO 27001 -standardia ja sen sertifiointiprosessia. Pyrin tarkastelemaan sekä saavutettavia hyötyjä, että mahdollisia haasteita. Sarjan ensimmäinen osa esitteli taustaa viitekehysten käytölle yrityksen tieto- ja kyberturvallisuuden kehitystyössä. Tekstin lopussa on mukana ensimmäisen osan tapaan määrittelyt tietoturvalle ja kyberturvallisuudelle.
ISO 27001
ISO 27001 on kansainvälinen tietoturvallisuuden standardi, joka asettaa vaatimukset yrityksen tietoturvallisuuden hallintajärjestelmälle (TTHJ, englanniksi Information Security Management System, ISMS). Standardi on hyvin riskilähtöinen. Ensin tunnistetaan riskit, joiden pohjalta luodaan riskienhallintasuunnitelma. Suunnitelmaan valitaan sitten soveltuvat tietoturvakontrollit. Riskienhallinnassa olennaista on erilaisen tieto-omaisuuksien (assets) tunnistaminen ja näiden kriittisyyden määrittely tiedon luottamuksellisuuden, eheyden ja saatavuuden perusteella (Confidentiality-Integrity-Availability, CIA triad).
STANDARDIN HYÖDYNTÄMINEN
Standardia hyödyntäessä ilman sertifioitumistavoitetta erilaisten työkalujen, kuten digiturvamalli.fi:n, mukaisten käytänteiden noudattaminen luo yritykselle matalilla kustannuksilla hyvän pohjan tietoturvalliselle toiminnalle. Lähestyttäessä ISO 27001-standardin vaatimusten noudattamista, vain tarvittavat kontrollit tulevat käyttöön ja tietoturvallisuuden hallintajärjestelmää (TTHJ) ei päädytä tekemään kiireellä auditointia varten. ISO.org:n mukaan sertifioituminen on globaalisti kasvava trendi. Standardin yleistyminen voi kertoa siitä, että sitä vaaditaan yhä useammin erilaisissa tarjouskilpailuissa. Täten sertifioitumisella voi olla potentiaalia lisätä myös yrityksen myyntiä.
SERTIFIOITUMISPROSESSI
Sertifikaatin avulla organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen. Nopeasti kasvavissa yrityksissä ISO 27001 saattaa auttaa selvittämään puuttuvan työnjaon ongelmia, sillä osana tietoturvallisuuden hallintajärjestelmän muodostamista tiedonhallintajärjestelmään kirjataan vastuuhenkilöt tuotettavalle dokumentaatiolle.
Sertifioitumisprojekti sitouttaa yrityksen johdon tietoturvatekemiseen muita tietoturvaviitekehyksiä paremmin, koska johdon tukea tarvitaan sertifioitumisprosessin monessa osassa. Yksi ISO 27001:n vahvuuksia on ehdottomasti yrityksen johdon sitouttaminen tietoturvatekemiseen. Tämä käy järkeen, sillä mikään näin laaja tietoturvaprojekti ei johda kattavaan tulokseen IT-osaston yksinään implementoidessa muutoksia.
Riittävien resurssien varmistamisessa on kuitenkin usein haasteita. Kiireen yllättäessä, ja jos tavoitteeksi on asetettu nimenomaan sertifioituminen eikä systemaattinen tietoturvajohtamisen parantaminen, voi tietoturva näyttäytyä yrityksen työntekijöille puhtaasti työn jarruna. Näin erityisesti, jos tietoturvakehittämistä tehdään puhtaasti teknisisistä näkökulmista, eikä huomioida liiketoiminnan vaatimuksia.
ISO 27001 ERITYISET HYÖDYT
TTHJ:n luonti lähtee riskien ja assettien arvioimisesta, joka oikein tehtynä johtaa siihen, että tietoturvan hallintajärjestelmä on räätälöity kullekin yritykselle sopivaksi. Erityisesti Euroopassa, jossa ISO-standardien hyödyntäminen on laajaa, tietoturvatoimien yhteensovittaminen yhteistyökumppaneiden kanssa myös helpottuu, sillä ISO 27001 on pääasiallisesti käytetyin standardi mitä tulee tietoturvan hallintaan tai laatuun. ISO standardissa käytetty nimeämisperiaate noudattaa Annex SL:n mukaista nimeämistapaa, jolloin se on yhteensopiva kaikkien nimeämiskäytäntöjä noudattavien muiden standardien kanssa. Erityisesti isoissa yrityksissä tämä on hyödyllistä, koska useampien standardien samanaikainen käyttö helpottuu.
ISO 27001 HAASTEET
Standardoitumisella ja sertifioimisella on myös haasteelliset puolensa. ISO 27001 on pohjimmiltaan laatujärjestelmä. Yrityksen tavoitellessa sertifioitumista saattaa käydä niin, että dokumentaation, kuten politiikkojen ja eri toimintaohjeiden, merkitys korostuu liiaksi. Riski siihen, että kaikki näyttää hyvältä vain paperilla, kasvaa jos loppukäyttäjien puolella varsinainen tarvittavien toimien noudattaminen jää heikoksi. Tämä oman kokemukseni mukaan toki kostautuu sitten auditointivaiheessa. Dokumentaation kohdentaminen ja tarvittavien asioiden hyvin kohdistettu viestiminen työntekijöille tulee myös suunnitella tarkoin, jotta koko yrityksessä saavutetaan tavoiteltu toimintakulttuurin muutos.
ISO27001 ei myöskään kata juurikaan tietosuojaa. ISO 27701 on ISO 27001:n laajennusosa ISO-standardiperheessä kuvaten EU:n yleisen tietosuoja-asetuksen (GDPR), California Consumer Privacy Act (CCPA) sekä muun alueellisen tietosuojalainsäädännön vaatimuksia täyttävää tietosuojan hallintajärjestelmän (Privacy Information Management System, PIMS) luontia ja ylläpitoa.
ISO STANDARDIPERHEEN MUITA JÄSENIÄ
On ylipäätään huomionarvoista, että ISO 27001 on vain yksi osa kokonaista standardiperhettä, ja se asettaa vaatimukset nimenomaan tietoturvallisuuden hallintajärjestelmälle. Oikeastaan yksi olennainen asia standardissa itsessään onkin standardin liite A, jossa luetellaan edellä mainitut hallintakeinot. ISO 27002 taas määrittelee periaatteita tietoturvallisuuden hallinnan käyttöönottoon ja ylläpitoon, 27005 määrittelee TTHJ:n mittaamista ja niin edelleen. Ja toisaalta ISO-standardeista löytyy standardeja kuten ISO/IEC 62443, joka on teollisuuden kyberturvallisuuden standardi, joka on suunnattu nimenomaan teollisuuden (esim. komponenttivalmistajat) toimijoille.
Sertifioituminen tapahtuu aina ISO 27001 -standardia vasten, ja samoin edellä mainitut muut standardit tulisi tuntea. Usein niiden vaatimuksia kuuluu myös noudattaa tai valita käyttöön korvaavat käytännöt.
LOPPUSANAT
Mielestäni ISO 27001 -standardin noudattamista voi suositella tällä hetkellä oikeastaan kaikille yrityksille ja sertifioitumistakin hyvin monelle. Kaikista yrityksistä löytyy tieto-omaisuutta, jonka suojaukseen on hyödyllistä käyttää globaalia standardia, vaikkei yrityksessä olisi välttämättä heti nähtävissä liiketoiminnallista perustelua sertifioitumiselle. Blogisarjan seuraava osa käsittelee CIS Controls -viitekehystä, joka tarjoaa yhden vaihtoehdon ISO 27001:lle erityisesti teknisestä näkökulmasta.
MÄÄRITTELYT TIETOTURVALLE JA KYBERTURVALLISUUDELLE
Tietoturvasta puhuttaessa tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Täten tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen.
Kyberturvallisuus määritellään tavoitetilana, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kybertoimintaympäristö koostuu yhdestä tai useammasta tietojärjestelmästä, jotka nähdään yhteiskunnassa kriittisinä. Esimerkiksi elintarvikkeiden kuljetus- ja logistiikkajärjestelmät sekä pankki- ja maksujärjestelmät.
Kybertoimintaympäristön häiriöt aiheutuvat usein toteutuneista tietoturvauhista, joten tietoturva on keskeinen osa kyberturvallisuutta. Tietoturvan varmistamisen lisäksi kyberturvallisuuden varmistamisessa tarkoituksena on turvata häiriytyneestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman osa-alueet.
”Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.” Lähde: https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf
Kerromme mielellämme lisää kyberturvallisuuden eri viitekehysvaihtoehdoista, jos mieleesi nousee kysymyksiä aiheeseen liittyen. Saat meihin helpoiten yhteyttä osoitteen myynti[at]netum.fi kautta!
Petri Saarenmaa
Teknisen tietoturvan asiantuntija, Kyberturvallisuuspalvelut, Netum Oy
petri.saarenmaa(at)netum.fi
Lisätietoja
Tagit
Liiketoimintaprosessi
Tietohallinto |
Erikoisosaaminen
Tietoturva |
Toimialakokemus
IT |
Tarjonnan tyyppi
Johtamistyö | |
Konsultointi | |
Toteutustyö | |
Valmisohjelmisto |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Ready Solutions Oy - Senior Data Scientist
- Nordea - Qualtrics XM Process Specialist
- Laura - Analyytikot, tietohallinto
- Laura - Project Director, PMO
- Nordea - Sr IT Operations Support Engineer (Adobe/SAS Marketing Automation)
- Laura - Full Stack kehittäjä
- Digia Oyj - iPaaS-integraatiokehittäjiä ja -arkkitehteja
Premium-asiakkaiden viimeisimmät referenssit
- Red & Blue Oy - Taivalkosken uusi saavutettava ja erottuva verkkopalvelu
- Hion Digital Oy - Vauvan ja vanhemman matkassa – Verkkosovellus, jonka sisältö mukautuu elämäntilanteeseen
- Verkkovaraani Oy - Uudet kotisivut Talin ja Ruusulan keilahalleille
- S1 Networks Oy - Pitäiskö teidän hankkia parempi netti?
- Altoros Finland Oy - Automaattinen kestävyysraportointityökalu CSRD siirtymää varten / Sustashift
- Digiteam Oy - Verkkokaupan toteutus Apollokaihdin.fi
- Digiteam Oy - Kattokeskuksen sivut ykköseksi Googlessa
Tapahtumat & webinaarit
- 13.12.2024 - AamuAreena 13.12.2024: Kestävä kehitys – Vihreät ICT-laitehankinnat
- 17.12.2024 - Rakettiwebinaari: jouluspesiaali – kysy mitä vain!
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
- 23.01.2025 - Generatiivisen tekoälyn hyödyt liiketoimintajohtajalle
Premium-asiakkaiden viimeisimmät bloggaukset
- Nordea - Dušana Milinkovićin kokemus Nordean graduaattiohjelmasta
- Kisko Labs Oy - Hackathonien haasteet ja ratkaisut: reiluuden ja tuloksellisuuden tavoittelu
- SD Worx - Herkkukori tai viinipullo, ovatko ne enää nykypäivää? Mitä työntekijöille joululahjaksi
- SD Worx - 5 HR-trendiä vuodelle 2025: ihmislähtöisen ja tekoälyvetoisen tulevaisuuden rakentaminen
- Timeless Technology - Aranet4 HOME sisäilman laadun langaton mittari!
- Kisko Labs Oy - Innovatiivisuuden kiihdyttäjä: Miten hackathonit voivat tuoda yrityksellesi uutta potentiaalia
- Ready Solutions Oy - Harjoittelu data- ja tekoälyratkaisujen parissa Ready Solutions Oy:lla
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |