Open search

    ISO27001-puuteanalyysi

    ISO27001-puuteanalyysi (engl. gap analysis) selvittää organisaation nykytilan suhteessa ISO27001:n vaatimuksiin hallintajärjestelmän määritellyn kattavuuden puitteissa.

    Usein puuteanalyysin päätteeksi laaditaan projektisuunnitelma standardin toteutukselle ja arvioidaan toteutuksen kustannukset. Puuteanalyysiin tyypillinen kesto on 1-6 viikkoa hallintajärjestelmän rajauksesta riippuen.

    ISO27001-puuteanalyysi koostuu kahdesta osa-alueesta:

    1. Arvio organisaation nykytilasta suhteessa ISO27001:n kohtien 4-10 vaatimuksiin.
    2. Arvio organisaation nykytilasta suhteessa ISO27001:n Liitteen A hallintakeinoihin.

    Insta Secraysin toteuttamassa ISO27001-puuteanalyysissa arvioidaan ISO27001:n kohtien 4-10 jokaisen vaatimukset toteutumista suhteuttaen ja soveltaen niitä juuri kyseessä olevan organisaation toimintaympäristöön ja tahtotilaan. Esimerkiksi johtajuutta arvioidaan selvittämällä, miten organisaation ylin johto on osoittanut johtajuutta ja sitoutumista hallintajärjestelmään, millainen organisaation tietoturvapolitiikka on ja miten tietoturvallisuuteen liittyvät roolit, vastuut ja valtuudet on määritelty. 

    ISO27001:n kohtien 4-10 vaatimukset


    ISO27001:ssä kohdat 4-10 määrittävät velvoittavat vaatimukset organisaation tietoturvallisuuden hallintajärjestelmälle. Nämä vaatimukset konkretisoivat:

    • Organisaation on huomioitava esimerkiksi sidosryhmien odotukset määrittäessään hallintajärjestelmän rajauksia ja soveltamisalaa.
    • Organisaation ylimmän johdon on osoitettava johtajuutta ja sitoutumista hallintajärjestelmään.
    • Organisaation on mm. määritettävä ja toteutettava tietoturvariskien arviointiprosessi ja asetettava tietoturvatavoitteet relevanteille toiminnoille.
    • Organisaation on löydettävä hallintajärjestelmän luomiseen ja ylläpitoon tarvittavat pätevyydet ja mietittävä millaista hallintajärjestelmän kannalta olennaista sisäistä ja ulkoista viestintää tarvitaan.

    • Organisaation on suunniteltava ja toteutettava prosessit tietoturvavaatimuksien ja riskienhallintatoimenpiteiden toteuttamiseen sekä hallittava suunniteltuja muutoksia ja arvioitava tahattomien muutosten seurauksia.

    • Organisaation on arvioitava tietoturvan tasoa esimerkiksi sisäisin auditoinnein ja varmistettava, että tietoturvallisuuden hallintajärjestelmä on organisaation ylimmän johdon näkemyksen mukaan asianmukainen ja vaikuttava.

    • Organisaation on reagoitava havaittuihin poikkeamiin ja parannettava jatkuvasti tietoturvallisuuden hallintajärjestelmän soveltuvuutta, riittävyyttä ja vaikuttavuutta.   

    Usein yllättävän monet vaatimuksista täyttyvät, vaikka organisaatiolla ei olisikaan aiemmin ollut käytössä ”virallista” tietoturvallisuuden hallintajärjestelmää.

    Vaatimuksien toteutumista arvioidaan sekä olemassa olevan dokumentaation (esim. tietoturvapolitiikka, -periaatteet ja -ohjeet, organisaation intranet-sivustot) ja työpajojen perusteella. Työpajoissa pyritään ymmärtämään erityisesti organisaation tahtotilaa tietoturvan suhteen ja huomioimaan käytettävissä olevat resurssit ja rajoitteet tahtotilaan pääsemiseksi. Tämä ymmärrys auttaa standardin vaatimuksien soveltamisessa juuri organisaation erityiseen toimintaympäristöön sopiviksi.

    ISO27001:n Liitteen A hallintakeinot

    ISO27001:n Liitteessä A kuvataan tietoturvariskien hallintatavoitteita ja -keinoja. Hallintakeinot koskevat mm. tietoturvapolitiikkoja, tietoturvallisuuden organisointia, mobiililaitteita ja etätyötä, pääsynhallintaa, salausta, järjestelmien hankkimista, kehittämistä ja ylläpitoa sekä tietoturvahäiriöiden hallintaa. Esimerkkejä hallintakeinoista ovat mm. tietoturvapolitiikat, tietoturvaroolit ja -vastuut, suojattavan omaisuuden luetteloiminen ja sen omistajuuden määrittely, turvallinen kirjautuminen, salausavainten hallinta, haittaohjelmilta suojautuminen, lokitietojen suojaaminen ja teknisten haavoittuvuuksien hallinta.

    Vastoin yleistä harhaluuloa, ISO27001 ei edellytä, että organisaatio toteuttaisi kaikki Liitteessä A luetellut hallintakeinot. Standardi edellyttää ainoastaan, että organisaatio arvioi riskiperusteisesti näiden hallintakeinojen tarpeellisuutta. Tämä riskiarvio voi hyvin osoittaa, että jokin hallintakeino ei ole tarpeen tai se on esimerkiksi liian kallis toteutettavaksi sillä hallittavaan riskiin nähden.

    Insta Secraysin toteuttamassa puuteanalyysissa arvioidaan jokaisen hallintakeinon toteuttamista. Arvion lopputuloksena syntyy arvio hallintakeinojen toteuttamisen nykytilasta. Esimerkki arvion yhteenvedosta:

     

    ISO27001-puuteanalyysi-raportti ISO27001-puuteanalyysi: esimerkki hallintakeinojen arviosta

    Lisätietoja

    petri_vetikko-150x150-1

    Petri Vetikko

    Instan visio on olla edelläkävijä turvallisessa digitalisaatiossa

    Lue vuoden 2018 vuosikertomus

    Tutustu Instaan työnantajana