Uusi standardiversio ISO/IEC 27001:2022 – Kiwa Inspecta palveluksessasi
Mikä on ISO/IEC 27001?
ISO/IEC 27001 on kansainvälinen tietoturvallisuuden hallintajärjestelmästandardi, jonka kehittämisestä vastaa Kansainvälisen standardisoimisjärjestön ISO. Tietoturvallisuuden hallintajärjestelmästä käytetään usein myös lyhennettä ISMS (Information Security Management System). Standardi tarjoaa puitteet organisaation tietoturvallisuuden hallintajärjestelmän toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle.
Organisaatioiden on standardin mukaan tunnistettava hallussaan oleva tieto-omaisuus ja arvioitava niihin liittyvät riskit sekä otettava käyttöön riittävät hallintakeinot tunnistettujen riskien lieventämiseksi. Standardi edellyttää organisaatioilta dokumentoitua tietoturvapolitiikkaa, jonka noudattaminen ja ylläpitäminen varmistetaan tietoturvallisuuden hallintajärjestelmän avulla.
ISO/IEC 27001 -standardia voidaan soveltaa kaikentyyppisissä organisaatioissa riippumatta niiden koosta, liiketoiminnan luonteesta tai toimialasta. Standardi on erityisen tärkeä organisaatioille, jotka käsittelevät arkaluontoisia tai erityisesti suojattavia tietoja, kuten henkilötietoja, taloustietoja tai immateriaalioikeuksia. Standardin vaatimusten noudattaminen osoittaa organisaation sitoutumisen tietoturvaan ja antaa organisaation asiakkaille, kumppaneille ja sidostyhmille varmuuden siitä, että heidän tietonsa ovat suojattuja.
ISO/IEC 27001 -sertifiointiprosessissa akkreditoitu sertifiointielin auditoi organisaation tietoturvallisuuden hallintajärjestelmän vaatimustenmukaisuuden ja vaikuttavuuden. Sertifiointiprosessissa käydään läpi mm. hallintajärjestelmän kattavuus ja soveltamisala, tietoturvapolitiikka, riskienarvioinnin ja käsittelyn sekä toteutettujen hallintakeinojen vaikuttavuus. Sertifioinnin jälkeisillä vuosiarvioinneilla varmistetaan hallintajärjestelmän ylläpidon jatkuvuus ja järjestelmän jatkuva parantaminen.
ISO/IEC 27001 -sertifioinnin etuja ovat mm:
- Tietoturvan parempi taso: Standardi tarjoaa puitteet tehokkaan hallintajärjestelmän kehittämiselle ja jatkuvalle parantamiselle, minkä avulla voidaan vähentää tietoturvarikkomusten riskiä ja parantaa arkaluontoisen tiedon suojausta.
- Asiakkaiden lisääntynyt luottamus: ISO/IEC 27001 -sertifioinnin osoittama sitoutuminen tietoturvallisuuteen rakentaa luottamusta asiakkaiden, kumppaneiden ja sidosryhmien kanssa.
- Lakien, viranomaisvaatimusten ja säädösten noudattaminen: Useat viranomaistahot ja sääntelyelimet tunnustavat ISO/IEC 27001 -standardin hyväksyttäväksi tietoturvallisuuden hallinnan viitekehykseksi, mikä helpottaa organisaatioiden sopeutumista erilaisiin sääntelyvaatimuksiin.
- Kilpailuetu: ISO/IEC 27001 -sertifiointi tarjoaa kilpailuetua osoittamalla organisaation sitoutumisen tietoturvaan ja asiakkaan tietojen suojaamiseen. ISO/IEC 27001 -sertifikaatti on kolmannen, riippumattoman osapuolen todistus organisaation tietoturvallisuuden hallintajärjestelmän vaatimustenmukaisuudesta.
- Parempi tehokkuus: Tietoturvallisuuden hallintajärjestelmän käyttöönotto tehostaa organisaation tietoturvaprosesseja, joiden avulla on mahdollista vähentää tietoturvahäiriöiden riskiä ja minimoida mahdollisten, jo tapahtuneiden häiriöiden riskit.
Uuden ISO/IEC 27001:2022 -standardiversion käyttöönotto ja akkreditoitu sertifiointi
Tietoturvallisuuden hallintajärjestelmästandardin uudistettu versio ISO/IEC 27001:2022 julkaistiin lokakuussa 2022. Uusi standardiversio sisältää joukon teknisiä korjauksia sekä täysin uudistetun normatiivisen liitteen A hallintakeinoineen. Siirtymäaika uuteen standardiversioon on 3 vuotta julkaisukuukauden viimeisestä päivästä eli vanhan standardiversion ISO/IEC 27001:2013 voimassaolo päättyy 31.10.2025. Sertifioitujen organisaatioiden on tätä ennen suoritettava siirtymäarviointi sertifikaattinsa päivittämiseksi.
Jos organisaatioillasi ei vielä ole sertifioitua tietoturvallisuuden hallintajärjestelmää, kannattaa prosessi aloittaa suoraan uuden standardiversion mukaisesti. Kiwa Inspectalla on voimassa oleva suomalainen akkreditointi ISO/IEC 27001:2022 -sertifioinnille, joten meidän kanssamme voit aloittaa prosessin vaikka heti uutta versiota käyttäen. Sama koskee luonnollisesti siirtymäarviointeja.
Siirtymän seitsemän vaihetta (ja se seuraava)
Alla on seitsemän vaihetta, jotka kannattaa toteuttaa ennen sertifiointielimen suorittamaa ulkoista siirtymäarviointia.
Seuraava vaihe: ISO/IEC 27001:2022 -siirtymäarvioinnin toteuttaminen
Kun olet käynyt läpi yllä olevat seitsemän vaihetta, on Kiwa Inspectan vuoro toteuttaa ulkoinen siirtymäarviointi sertifikaattinne päivittämiseksi. Tämän voi tehdä erillisenä siirtymäarviointina tai vuotuisen seuranta-arvioinnin yhteydessä, jolloin normaaliin työmäärän mitoitukseen lisätään organisaation koosta ja kompleksisuudesta riippuen vähintään yksi henkilötyöpäivä. Siirtymän voi tehdä myös osana uudelleensertifiointiarviointia, jolloin lisätyömäärä on vähintään puoli työpäivää. Tarvittavat lisätyömäärät perustuvat Kansainvälisen Akkreditointifoorumin sertifiointielimiä sitoviin siirtymäsäännöksiin.
Siirtymää varten tarvitsemme organisaatioltanne sertifiointihakemuksen, jonka saatte asiakasvastaavaltanne Kiwa Inspectasta, tai asiakaspalvelustamme FI.certification@kiwa.com.
Siirtymäkausi käytännössä
Aiemmin kuvatun mukaisesti siirtymäaika päivitetyn standardiversion käyttöönottoon on kolme vuotta julkaisusta. Alla tiivistetysti, mitä tämä tarkoittaa aikataulujen kannalta:
- Kiwa Inspecta on akkreditoitu tekemään ISO/IEC 27001:2022 -sertifiointeja ja arviointeja. Voit käynnistää prosessin kanssamme vaikka heti.
- ISO/IEC 27001:2013 -version voimassaolo päättyy 31.10.2025, jolloin kaikkien sertifioitujen tietoturvallisuuden hallintajärjestelmien tulee olla siirtynyt uuteen ISO/IEC 27001:2022 -versioon. Mikäli siirtymää ei ole tähän päivämäärään mennessä suoritettu, sertifikaatti lakkaa olemasta voimassa.
- Kiwa Inspecta ei suorita sertifiointi- ja uudelleensertifiointiarviointeja väistyvää ISO/IEC 27001:2013 -versiota vasten 30.4.2024 jälkeen
- Käytännössä kaikkien Kiwa Inspectan sertifioimien tietoturvallisuuden hallintajärjestelmien siirtymäarvioinnit tulee saattaa valmiiksi 30.6.2025 mennessä, jotta mahdollisten poikkeamien korjaaville toimenpiteille sekä sertifiointipäätösten vaatimalle prosessille jää kesälomakausi huomioon ottaen riittävästi aikaa