2020-luvulla jokaisen yrityksen agendalla on oltava tietoturva ja sen hallinta eli tietojen, tietoliikenteen ja tietojärjestelmien turvallisuudesta huolehtiminen. Kansainvälisen ISO/IEC 27001-standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä (Information Security Management System, ISMS) osoittaa, että organisaatio johtaa tietojensa turvaamista pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvallisuudesta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.
Suomalainen asiantuntija - kansainvälisesti tunnustettu standardi
Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista. Kiwa Inspecta oli ensimmäinen sertifiointiorganisaatio, joka sai suomalaisen FINASin akkreditoinnin tälle standardille. Akkreditoidun sertifiointielimen kansainvälistä ISO/IEC 27001 -standardia vasten sertifioiman tietoturvallisuuden hallintajärjestelmän taso tunnistetaan ja tunnustetaan koko maailmassa. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen muidenkin tietoturvallisuuden vaatimusmallien hallintaan ja niiden vaatimusten mukaiseen toimintaan, esimerkkinä Suomessa valtionhallinnon tietoturvatasot ja Katakri.
Tietoturva on osa yrityksen arkea
Tietoturvallisuuden hallintajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1.000 euroa.
Tietoturvallisuuden sertifioinnista hyötyvät kaikkien alojen yritykset, erityisesti finanssi,- terveydenhuolto-, ICT- ja sovelluspalvelut sekä julkishallinto. Sertifikaatti osoittaa pitkäjänteisen ja määrätietoisen työn tietoturvallisuuden eteen.
ISO/IEC 27001 -standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet:
- Organisaation toimintaympäristön ja tietoturvallisuuden hallintajärjestelmän kattavuuden määrittely
- Sidosryhmien ja näiden vaatimusten tunnistaminen
- Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet
- Riskien arviointi ja riskien käsittely, dokumentaation hallinta
- Tehtävät ja vastuut organisaation sisällä
- Osaamisen ja tietoturvatietoisuuden kehittäminen
- Tietojen, tilojen, tietojärjestelmien ja laitteiden suojaaminen
- Tietokoneiden ja tietoliikenteen hallinta
- Tietojärjestelmien kehittäminen ja ylläpito
- Varajärjestelmät ja toipumissuunnitelmat
- Lainsäädännön noudattaminen
ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän edut
- Sertifioitu hallintajärjestelmä herättää luottamusta ja varmistaa toiminnan jatkuvuutta
- Toimiva ja järjestelmällinen tietoturvariskien hallinta
- Toiminnan tehostuminen
- Häiriöiden väheneminen
- Osaamista ja työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen
- Sertifiointi kehittää toimintaa
- Sertifiointi osallistaa henkilöstöä