Sign In

Rakenna ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä

7.12.2017

​​​

​Tietoturvallisuuden hallintajärjestelmällä suojaat luottamuksellista tietoa ja hallitset riskejä. ISO 27001 -sertifioituna hallintajärjestelmä on riippumattoman kolmannen osapuolen varmistus tietoturvallisuuden hallinnan vaatimustenmukaisuudesta. Lue mitä sinun kannattaa huomioida, kun rakennat ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää.

Tietoturvallisuuden hallintajärjestelmä luo menettelyjä ja työkaluja

Tietoturvallisuuden hallintajärjestelmän (Information Security Management System, ISMS) käyttöönotto auttaa saamaan organisaation tietoturvariskit hallintaan. Sen avulla suojaat luottamuksellista tietoa sekä varmistat liiketoiminnan jatkuvuuden kaikissa tilanteissa. Tietototurvallisuuden hallintajärjestelmä kattaa fyysisen ja sähköisen tiedon, tietovälineet sekä niihin liittyvän tietoturvallisuuden eli tietojen luottamuksellisuuden, eheyden, käytettävyyden sekä kiistämättömyyden säilymisen. Hallintajärjestelmä yhtenäistää ja selkeyttää toimintaa sekä antaa käytännön ohjeet, työkalut ja menetelmät oikeaoppiselle tietoturvalliselle toimin​nalle kaikissa eri tilanteissa.

ISO 27001 on tietoturvallisuuden hallintastandardi

ISO 27001 -standardi on kansainvälisesti merkittävin tietoturvallisuuden hallintastandardi. Standardi antaa vaatimukset tietoturvallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille ja ylläpitämiselle sekä jatkuvalle parantamiselle. Standardi on perusrakenteeltaan yhtenevä muiden merkittävien johtamisjärjestelmästandardien kanssa. Siinä ovat käytössä muista standardeista tutut elementit kuten, prosessimainen johtamismalli, sisäiset auditoinnit, johdonkatselmukset, mittarointi ja analysointi.

Huomioi nämä asiat, kun rakennat ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää

ISO 27001- standardin kappaleissa 4 - 10 on annettu vaatimukset tarvittaville menettelyille, prosesseille ja dokumentaatiolle.

  1. Määritä organisaatio ja toimintaympäristö sekä tunnista sidosryhmät ja heidän tarpeet sekä odotukset.

  2. Yllä olevat asiat huomioiden määritä tietoturvallisuuden hallintajärjestelmän soveltamisala ja riskienhallintamenettelyt sekä riskeihin liittyvät hallintakeinot. 

  3. Kirkasta johdon rooli.
    Koska kyseessä on hallintajärjestelmä eli toiselta nimeltään johtamisjärjestelmä on johdon rooli merkittävä. Johdon sitoutuminen hallintajärjestelmään ja tarvittavien resurssien, vastuiden ja valtuuksien määrittäminen on yksi perusedellytys järjestelmälle.

  4. Määritä strategiset tietoturvatarvoitteet eri tietoturvapolitiikkojen muodossa.

    Standardin ISO 27001 Velvoittavassa Liitteessä A on hallintavoitteet ja keinot, joita tulee noudattaa kaikilta osin, mikäli ne ovat sovellettavissa. Liitteeseen A perustuen tulee laatia myös soveltamissuunnitelma (SoA). Soveltamissuunnitelmassa kuvataan hallintatavoiteiden ja keinojen soveltaminen sekä perustelut, ellei jotain niistä ei voida soveltaa.

ISO 27001 -sertifiointi voi olla kaupan edellytys

Riippumattoman kolmannen osapuolen tekemä ISO 27001 -arviointi ja -sertifiointi toimivat näyttönä tietoturvallisuuden hallinnan vaatimustenmukaisuudesta.

Sertifioitu tietoturvallisuuden hallintajärjestelmä saattaa olla myös asiakkaan edellytys hyväksyttävälle toimittajalle. Sertifioinnin kautta asiakkaiden tekemien toimittaja-arviointien ja muiden toisten osalpuolten tekemien auditointien tarve vähenee tai niiltä voidaan välttyä kokonaan. Auditointien ja arviointien määrän vähentymisen kautta pystytään saavuttamaan merkittäviä säästöjä mm. työajassa.

Lisäksi tarjous- ja toimitusprosessi nopeutuu erillisten asiakaskohtaisten tietoturvallisuuden arviointien jäädessä pois. Sertifiointiin sijoitettu pääoma voidaa saada nopeasti takaisin esimerkiksi säästyneen työajan tai saavutettujen liiketoimintamahdollisuuksien muodossa.

VTT Expert Services ISO 27001 -sertifioijana

Teemme standardin ISO 27001 mukaisia tietoturvallisuusjärjestelmän arviointeja ja sertifiointeja. Arvioijamme ovat kokeneita ja päteviä, ja he auttavat yritystänne tietoturvajärjestelmän sertifiointiin liittyvissä asioissa. ISO 27001 -esiauditoinnilla voit kartoittaa yrityksesi tietoturvallisuusjärjestelmän kypsyysasteen ja sertifiointivalmiuden.



Asiakaspalvelu
Sähköpostiinfo@vtt.fi
Puhelin020 722 7070
Faksi020 722 7001
Avoinna 9.00 - 11.00 ja 12.00 - 15.00

OTA YHTEYTTÄ

PL 1001, 02044 VTT
Puh. vaihde 020 722 111
Avoinna arkisin 8.00 - 16.30
Faksi 020 722 7001
Yhteydenottolomake

ASIAKASPALVELU

info@vtt.fi
Puh. 020 722 7070
Faksi 020 722 7001
Avoinna 9.00 - 11.00 ja
12.00 - 15.00