Tietoturvajärjestelmä ISO 27001 -standardin avulla
Tietoturvasta on tulossa yhä tärkeämpi aihe yrityksille digitaalisen muutoksen keskellä. Ilman asianmukaisia turvatoimia on olemassa riski, että hakkerit menettävät ja varastavat tietoja, verkkohyökkäyksistä johtuvat toimintahäiriöt tai tietojen väärinkäyttö. Vaihtoehto jäsennellylle lähestymistavalle on ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä (ISMS).
Mikä on ISO 27001?
ISO/IEC 27001 on johtava kansainvälinen standardi kokonaisvaltaisen tietoturvallisuuden hallintajärjestelmän toteuttamiseksi. Siinä keskitytään tiedonhallintaprosesseihin liittyvien riskien tunnistamiseen, arviointiin ja hallintaan. Luottamuksellisten tietojen turvallisuutta korostetaan elintärkeänä strategisena tekijänä. Tieto ympäröi meitä kaikkialla ja on osa jokaista prosessia. Joskus se voi olla triviaalia, mutta aivan liian usein se on kriittistä ja luottamuksellista. Jotta voit tehdä tämän organisaatiosi kannalta tärkeän eron, tiedot on luokiteltava. Tämä johtuu siitä, että ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän (ISMS) suojatoimenpiteet perustuvat tähän luokitteluun. ISMS luo puitteet liiketoimintatietojen ja niiden luottamuksellisuuden suojaamiseksi. Samalla maailmanlaajuisesti tunnustetulla standardilla varmistetaan yrityksen prosesseihin osallistuvien tietojärjestelmien käytettävyys. Tässä yhteydessä ISO 27001 -sertifiointi lähettää vahvan signaalin markkinoille: se on riippumaton ulkoinen arviointi ja vahvistus ISMS-järjestelmän tehokkuudesta. EN ISO/IEC 27001:2017-06 -standardilla on julkaistu Euroopan standardointikomitean (CEN) koordinoima versio. Siinä yhdistyvät kaksi korjausta (corrigenda) Cor 1:2014 ja Cor 2:2015. Korjaukseen liittyvät muutokset koskevat vain asiaan liittyvien vaatimusten parempaa kuvausta, mutta eivät uusia lisävaatimuksia. ISO/IEC 27001:2013 -version mukaiset sertifikaatit säilyttävät siten voimassaolonsa.
Kenelle ISO 27001 -sertifiointi sopii?
ISMS-standardia ISO 27001 sovelletaan maailmanlaajuisesti. Se tarjoaa kaikenkokoisille ja -tehtävissä toimiville yrityksille puitteet tietoturvan suunnitteluun, toteuttamiseen ja seurantaan. Vaatimuksia sovelletaan yksityisiin ja julkisiin yrityksiin sekä voittoa tavoittelemattomiin organisaatioihin, ja ne sitovat niitä. Esimerkiksi Saksassa kriittisen infrastruktuurin alaan (KRITIS) kuuluvien ja tietyn kynnysarvon ylittävien yritysten on osoitettava, miten ne varmistavat tietoturvansa. KRITIS-aloja ovat energia, vesi, terveydenhuolto, rahoitus ja vakuutus, elintarvikkeet, kuljetus ja liikenne, tietotekniikka ja televiestintä. Vastaavat todisteet täytäntöönpanosta voidaan antaa tietoturva-auditoinneilla, testauksella tai sertifioinneilla. Tätä tarkoitusta varten voidaan käyttää auditoinnin perustana joko ISO 27001:n kaltaisia tunnustettuja standardeja tai vaihtoehtoisesti Saksan liittovaltion tietoturvaviraston (BSI) tunnustamia toimialakohtaisia turvallisuusstandardeja.
Mikä tekee ISO 27001 -standardista hyödyllisen yritykselleni?
ISO/IEC 27001 -standardin mukaisen ISMS-järjestelmän käyttöönotto on yrityksesi kannalta strateginen päätös. Standardin tarkoituksellisten yleisten vaatimusten noudattamisen on heijastettava yrityksen erityistilannetta. Toteutus yrityksessä riippuu tarpeista ja tavoitteista, turvallisuusvaatimuksista ja organisaatioprosesseista sekä yrityksen koosta ja rakenteesta. Erityisen arvokasta käytännön kannalta on standardin liitteessä A esitettyjen toimenpiteiden toteuttaminen. ISO-standardi sisältää johtamisjärjestelmäkeskeisen vaatimusosan (luvut 4-10) lisäksi kattavan luettelon 35 valvontatavoitteesta ja 114 konkreettista toimenpidettä eri turvallisuusnäkökohtiin 14 luvussa liitteessä A. Toimenpiteet on toteutettava johtamisjärjestelmän puitteissa. Nämä toimenpiteet on toteutettava osana johtamisjärjestelmää siinä määrin kuin ne ovat yrityksesi kannalta olennaisia. Yrityksen prosessien johdonmukainen yhdenmukaistaminen ISO 27001 -standardin kanssa johtaa todistetusti useisiin hyötyihin:
- Turvallisuustason jatkuva parantaminen.
- Olemassa olevien riskien vähentäminen.
- Vaatimustenmukaisuusvaatimusten noudattaminen.
- työntekijöiden tietoisuuden lisääntyminen.
- Asiakastyytyväisyyden lisääntyminen.
Sisäiset auditoinnit ja johdon katselmukset, joihin ylin johto osallistuu, ovat sisäisiä vipuvoimia tämän tavoitteen saavuttamiseksi. Muita myönteisiä näkökohtia on se, että sidosryhmät, kuten sääntelyviranomaiset, vakuutusyhtiöt, pankit ja kumppaniyritykset, luottavat enemmän yritykseesi. Tämä johtuu siitä, että sertifioitu johtamisjärjestelmä osoittaa, että organisaatiosi hallitsee riskejä järjestelmällisesti ja on sitoutunut jatkuviin parannuksiin (CIP), mikä tekee siitä kestävämmän epätoivottujen vaikutusten suhteen. Kansainvälinen standardi ISO/IEC 27001 voidaan ottaa käyttöön, käyttää ja sertifioida myös muista johtamisjärjestelmistä, kuten ISO 9001:stä (laadunhallinta) tai ISO 14001:stä (ympäristöasioiden hallinta) riippumatta.