Tänä päivänä jokaisen yrityksen agendalla on oltava tietoturva ja sen hallinta eli tietojen, tietoliikenteen ja tietojärjestelmien turvallisuudesta huolehtiminen. Kansainvälisen ISO/IEC 27001-standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä (Information Security Management System, ISMS) osoittaa, että organisaatio johtaa tietojensa turvaamista pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvallisuudesta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.
Tietoturva on osa yrityksen arkea
Tietoturvallisuuden hallintajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1.000 euroa.
Tietoturvallisuuden sertifioinnista hyötyvät kaikkien alojen yritykset, erityisesti finanssi,- terveydenhuolto-, ICT- ja sovelluspalvelut sekä julkishallinto. Sertifikaatti osoittaa pitkäjänteisen ja määrätietoisen työn tietoturvallisuuden eteen. ISO/IEC 27001 -sertifikaatti on osoitus luotettavasta toimijasta.
ISO/IEC 27001 vaatimukset
ISO/IEC 27001 -standardi sisältää vaatimuksia tietoturvan hallinnan järjestelmän (ISMS) perustamiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle. Joitakin ISO/ IEC 27001 -standardin keskeisiä vaatimuksia ovat:
- Riskienhallinta: Organisaation on tunnistettava, arvioitava ja käsiteltävä tietoturvariskit.
- Jatkuvan parantamisen lähestymistapa: ISMS:n on oltava jatkuvan parantamisen alaisuudessa ja tietoturvan hallintaa on kehitettävä jatkuvasti.
- Säännöllinen auditointi: Organisaation on toteutettava säännöllisiä sisäisiä ja ulkoisia arviointeja tietoturvan hallinnan tehokkuuden varmistamiseksi.
- Johtaminen: Organisaation johdon on sitouduttava tietoturvan hallintaan ja varmistettava, että henkilöstö tietää tietoturvan merkityksen ja vastuunsa.
- Dokumentointi: ISMS:n on oltava dokumentoitu, jotta sen tehokkuutta voidaan seurata ja parantaa.
- Koulutus ja osaaminen: Organisaation on varmistettava, että henkilöstö saa asianmukaista koulutusta ja että he ymmärtävät tietoturvan merkityksen ja vastuunsa.
- Tietoturvapolitiikka: Organisaation on kehitettävä ja dokumentoitava tietoturvapolitiikka, joka määrittelee tietoturvan hallinnan yleiset tavoitteet ja suuntaviivat.
- Tietoturvan hallintatoimet: Organisaation on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet tietoturvan hallinnan tavoitteiden saavuttamiseksi.
Suomalainen asiantuntija - kansainvälisesti tunnustettu standardi
Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista. Inspecta Sertifiointi Oy oli ensimmäinen sertifiointiorganisaatio, joka sai suomalaisen FINASin akkreditoinnin tälle standardille.
Akkreditoidun sertifiointielimen kansainvälistä ISO/IEC 27001 -standardia vasten sertifioiman tietoturvallisuuden hallintajärjestelmän taso tunnistetaan ja tunnustetaan koko maailmassa. Tietoturvasertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen muidenkin tietoturvallisuuden vaatimusmallien hallintaan ja niiden vaatimusten mukaiseen toimintaan, esimerkkinä Suomessa valtionhallinnon tietoturvatasot ja Katakri.
ISO/IEC 27001 -standardi huomioi kaikki tietoturvallisuuden hallinnan osa-alueet:
- Organisaation toimintaympäristön ja tietoturvallisuuden hallintajärjestelmän kattavuuden määrittely
- Sidosryhmien ja näiden vaatimusten tunnistaminen
- Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet
- Riskien arviointi ja riskien käsittely, dokumentaation hallinta
- Tehtävät ja vastuut organisaation sisällä
- Osaamisen ja tietoturvatietoisuuden kehittäminen
- Tietojen, tilojen, tietojärjestelmien ja laitteiden suojaaminen
- Tietokoneiden ja tietoliikenteen hallinta
- Tietojärjestelmien kehittäminen ja ylläpito
- Varajärjestelmät ja toipumissuunnitelmat
- Lainsäädännön noudattaminen
Tietoturvan ISO/IEC 27001 sertifikaatin edut
- Sertifioitu hallintajärjestelmä herättää luottamusta ja varmistaa toiminnan jatkuvuutta
- Toimiva ja järjestelmällinen tietoturvariskien hallinta
- Toiminnan tehostuminen
- Häiriöiden väheneminen
- Osaamista ja työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen
- Sertifiointi kehittää toimintaa
- Sertifiointi osallistaa henkilöstöä