Andrea Giesler | 3. kesäkuuta 2019

ISO 27001 -standardi tarjoaa vaatimuksia ja rakenne, joka antaa ohjeita tietoturvan hallintajärjestelmän (ISMS) käyttöönotossa. Hallintajärjestelmänä ISO 27001 perustuu jatkuvaan parantamiseen – tästä artikkelista saat lisätietoja siitä, miten tämä näkyy ISO 27001 -vaatimuksissa ja -rakenteessa.

Standardin kaksi pääosaa

Standardi on jaettu kahteen osaan. Ensimmäinen pääosa koostuu 11 lauseesta (0-10). Toisessa osassa, jota kutsutaan liitteeksi A, annetaan ohjeistus 114 valvontatavoitteelle ja valvonnalle. Lausekkeissa 0–3 (Johdanto, Soveltamisala, Normatiiviset viitteet, Termit ja määritelmät) asetetaan ISO 27001 -standardin käyttöönotto. Seuraavia kohtia 4-10, joissa esitetään ISO 27001 -vaatimukset, jotka ovat pakollisia, jos yritys haluaa noudattaa standardia, tarkastellaan tarkemmin tässä artikkelissa.

Standardin liite A tukee seuraavia kohtia: lausekkeet ja niiden vaatimukset sekä luettelo valvonnista, jotka eivät ole pakollisia, mutta jotka valitaan osana riskienhallintaprosessia. Lisätietoja on artikkelissa ISO 27001: n peruslogiikka: Kuinka tietoturva toimii?

Lauseke 4: Organisaation konteksti

Yksi tietoturvan hallintajärjestelmän onnistuneen käyttöönoton edellytys on organisaation kontekstin ymmärtäminen. Ulkoiset ja sisäiset kysymykset sekä asianomaiset osapuolet on tunnistettava ja otettava huomioon. Vaatimukset voivat sisältää sääntelykysymyksiä, mutta ne voivat myös mennä paljon pidemmälle.

Tämän vuoksi organisaation on määriteltävä ISMS: n laajuus. Kuinka laajasti ISO 27001 -standardia sovelletaan yritykseen?

Lue lisää organisaation asiayhteydestä artikkeleista Kuinka määritellä organisaation konteksti ISO 27001 -standardin mukaisesti, Kuinka tunnistaa kiinnostuneet osapuolet ISO 27001 -standardin mukaisesti ja ISO 22301 sekä ISMS-laajuuden määrittely.

Lauseke 5: Johtajuus

ISO 27001: n vaatimukset riittävälle johtamiselle ovat moninaiset. Ylin johto on sitoutunut johtamisjärjestelmään. Tavoitteet on määriteltävä organisaation strategisten tavoitteiden mukaisesti. ISMS: n edellyttämien resurssien tarjoaminen sekä henkilöiden tukeminen ISMS: ään osallistumiseksi ovat muita esimerkkejä velvoitteista, jotka täytetään.

Lisäksi ylimmän johdon on luotava tietoturvan mukainen käytäntö. Tämä käytäntö on dokumentoitava, ja siitä on tiedotettava organisaatiossa ja asianomaisille osapuolille.

Myös roolit ja vastuut on määritettävä, jotta ISO 27001 -standardin vaatimukset voidaan täyttää ja raportoida ISMS: n suorituskyky.

Lue lisää ISO 27001: n ylimmästä johdosta näistä artikkeleista: Ylimmän johdon näkökulma tietoturvan toteuttamiseen, Ylimmän johdon roolit ja vastuut ISO 27001: ssä ja ISO 22301: ssä kirjoitetaan tietoturvakäytäntöön ISO 27001 -standardin mukaisesti?

Lauseke 6: Suunnittelu

Suunnittelussa ISMS-ympäristössä tulee aina ottaa huomioon riskit ja mahdollisuudet. Tietoturvariskien arviointi tarjoaa hyvän perustan, johon voi luottaa. Näin ollen tietoturvatavoitteiden tulisi perustua riskinarviointiin. Nämä tavoitteet on mukautettava yrityksen yleisiin tavoitteisiin. Lisäksi tavoitteita on edistettävä yrityksen sisällä. Ne tarjoavat turvallisuustavoitteita, joiden eteen pyrkivät kaikki yrityksen sisällä olevat ja linjassa olevat yritykset. Riskinarvioinnista ja turvallisuustavoitteista johdetaan riskinhallintasuunnitelma, joka perustuu liitteessä A lueteltuihin valvontaan.

Lue lisää riskien ja mahdollisuuksien ymmärtämisestä artikkelista ISO 27001 riskiarviointi & hoito – 6 perusvaihetta. Lisätietoja valvontatavoitteista on artikkelissa ISO 27001 – valvontatavoitteet – miksi ne ovat tärkeitä? Lisätietoja yrityksen suunnasta on artikkelissa Tietoturvan sovittaminen yrityksen strategiseen suuntaan ISO 27001: n mukaisesti.

Lauseke 7: Tuki

Resurssit, työntekijöiden osaaminen, tietoisuus ja viestintä ovat avainkysymyksiä syyn tukemisessa. Toinen vaatimus on ISO 27001 -standardin mukaisen tiedon dokumentointi. Tiedot on dokumentoitava, luotava ja päivitettävä sekä hallittava. ISMS: n onnistumisen tukemiseksi on ylläpidettävä sopivia asiakirjoja.

Lisätietoja koulutuksesta, tietoisuudesta ja viestinnästä on artikkeleissa Kuinka suorittaa koulutusta & ISO 27001- ja ISO 22301 -tietoisuus ja kuinka luoda viestintäsuunnitelma ISO 27001: een. Lue lisätietoja asiakirjojen hallinnasta artikkelista Asiakirjojen hallinta standardissa ISO 27001 & BS 25999-2.

Lauseke 8: Käyttö

Prosessit ovat pakollisia tietoturvan toteuttamiseksi. Nämä prosessit on suunniteltava, toteutettava ja valvottava. Riskien arviointi ja hoito – joiden on oltava ylimmän johdon mielessä, kuten aiemmin opimme – on pantava täytäntöön.

Lisätietoja riskinarvioinnista ja hoidosta on artikkeleissa ISO 27001 riskiarviointi: Kuinka vastaamaan varoja, uhkia ja haavoittuvuuksia ja kuinka arvioida seurauksia ja todennäköisyyttä ISO 27001 -riskianalyysissä ja tässä ISO 27001: 2013 -riskien arviointi- ja käsittelyprosessin vapaassa kaaviossa.

Lauseke 9: Suorituskyvyn arviointi

ISO 27001 -standardin vaatimukset edellyttävät tietoturvan hallintajärjestelmän seurantaa, mittaamista, analysointia ja arviointia. Sen lisäksi, että osaston on itse tarkistettava työnsä, on lisäksi suoritettava sisäiset tarkastukset. Ylimmän johdon on tietyin väliajoin tarkistettava organisaation ISMS.

Lisätietoja suorituskyvystä, seurannasta ja mittaamisesta on artikkeleissa ISO 27001 ISMS: n keskeiset suorituskykyindikaattorit ja kuinka seuranta ja mittaus suoritetaan ISO: ssa 27001.

Lauseke 10: Parannus

Parannus seuraa arviointia. Poikkeamat on korjattava ryhtymällä toimiin ja poistamalla syyt tarvittaessa. Lisäksi olisi toteutettava jatkuva parantamisprosessi, vaikka PDCA (Plan-Do-Check-Act) -sykli ei ole enää pakollinen (lue lisää artikkelista Onko PDCA-sykli poistettu uusista ISO-standardeista? Silti, PDCA-jaksoa suositellaan usein, koska se tarjoaa vankan rakenteen ja täyttää ISO 27001 -vaatimukset.

Lisätietoja ISO 27001 -parannuksista on artikkelissa Jatkuvan parantamisen saavuttaminen kypsyysmallien avulla.

Liite A (normatiivinen) Viitevalvonnan tavoitteet ja valvonnat

Liite A on hyödyllinen luettelo vertailun valvonnan tavoitteista ja valvonnasta. Alkaen A.5-tietoturvakäytännöistä A.18-vaatimustenmukaisuuden kautta, luettelo tarjoaa valvontaa, jolla ISO 27001 -vaatimukset voidaan täyttää ja ISMS: n rakenne voidaan johtaa. Edellä kuvatun riskinarvioinnin avulla tunnistetut kontrollit on harkittava ja pantava täytäntöön.

Lisätietoja liitteestä A, lue artikkelit Pikaopas ISO: lle 27001-ohjausobjektit liitteestä A ja kuinka rakentaa asiakirjat ISO 27001 -standardin liitteen A -ohjaimille.

ISMS-vaatimukset

Toteutus ja itse standardi saattavat vaikuttaa haastavilta tai monimutkaisilta ensi silmäyksellä , koska jotkin vaatimukset eivät ehkä kuulosta loogisilta sinulle. Mutta kun asiasta perehdytään perusteellisemmin, asiat asettuvat paikoilleen ja alkaa arvostaa kattavuutta, jonka ISO 27001 -standardin käyttöönotto tuo turvallisuuteen. Pian sen jälkeen, kun olet tullut vaatimustenmukaiseksi, huomaat varmasti, että standardi tarjoaa sinulle jäsennellyn ohjeen ja olet tyytyväinen käyttöönottopäätöksesi.

Jos haluat lisätietoja ISO 27001 -vaatimuksista, lataa tämä ilmainen lauseke – lauseke ISO 27001: n selityksestä.

Täältä voit oppia kuinka yksityiskohtaisten ISO 27001 -dokumenttien tulisi olla?

Startup-maailman päättäjille , on erittäin suositeltavaa lukea, miksi heidän pitäisi sijoittaa ISO 27001: een ja miten toteutus voi lisätä yritystä.

Tietoja kirjoittajasta:

Andrea Giesler on sisäinen tarkastaja , joka sijaitsee Kölnissä, Saksassa ja erikoistunut ISO 27001-, ISO 9001- ja EU GDPR -alueisiin. Hän on sertifioitu tietojärjestelmien tarkastaja (CISA) ja ISACA on sertifioinut riskien ja tietojärjestelmien valvonnassa (CRISC).