• Kaikkien alojen yritykset, erityisesti finanssi,- terveydenhuolto-, ICT- ja sovelluspalvelut sekä julkishallinto
  • Osa toiminta- ja johtamisjärjestelmiä

2010-luvulla jokaisen yrityksen agendalla on oltava tietojen, tietoliikenteen ja tietojärjestelmien turvallisuudesta huolehtiminen. Kansainvälisen ISO/IEC 27001-standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä (Information Security Management System, ISMS) osoittaa, että organisaatio johtaa tietojensa turvaamista pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvallisuudesta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.

Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista. Kiwa Inspecta oli ensimmäinen sertifiointiorganisaatio, joka sai suomalaisen FINASin akkreditoinnin tälle standardille. Akkreditoidun sertifiointielimen kansainvälistä ISO/IEC 27001 -standardia vasten sertifioiman tietoturvallisuuden hallintajärjestelmän taso tunnistetaan ja tunnustetaan koko maailmassa. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen muidenkin tietoturvallisuuden vaatimusmallien hallintaan ja niiden vaatimusten mukaiseen toimintaan, esimerkkinä Suomessa valtionhallinnon tietoturvatasot ja Katakri.

Tietoturvallisuuden hallintajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1.000 euroa.

Käyttökohteet

  • Kaikkien alojen yritykset, erityisesti finanssi,- terveydenhuolto-, ICT- ja sovelluspalvelut sekä julkishallinto
  • Osa toiminta- ja johtamisjärjestelmiä

Tietoturvallisuuden hallinnan ISO/IEC 27001 -standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet:

  • Organisaation toimintaympäristön ja tietoturvallisuuden hallintajärjestelmän kattavuuden määrittely
  • Sidosryhmien ja näiden vaatimusten tunnistaminen
  • Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet
  • Riskien arviointi ja riskien käsittely, dokumentaation hallinta
  • Tehtävät ja vastuut organisaation sisällä
  • Osaamisen ja tietoturvatietoisuuden kehittäminen
  • Tietojen, tilojen, tietojärjestelmien ja laitteiden suojaaminen
  • Tietokoneiden ja tietoliikenteen hallinta
  • Tietojärjestelmien kehittäminen ja ylläpito
  • Varajärjestelmät ja toipumissuunnitelmat
  • Lainsäädännön noudattaminen

ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän edut

  • Sertifioitu hallintajärjestelmä herättää luottamusta ja varmistaa toiminnan jatkuvuutta
  • Toimiva ja järjestelmällinen tietoturvariskien hallinta
  • Toiminnan tehostuminen
  • Häiriöiden väheneminen
  • Osaamista ja työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen
  • Sertifiointi kehittää toimintaa
  • Sertifiointi osallistaa henkilöstöä