Toteutuksen tavoitteet
Toteutuksen tavoitteet vastaavat kysymykseen: ”miksi ISO27001 on yritykselle kiinnostava?” Tyypillisiä tavoitteita ovat:
- Riittävä tietoturvallisuus on myyntiargumentti yrityksen palveluiden myynnille. ISO27001:n avulla yritys pystyy osoittamaan potentiaalisille ja olemassa olevilla asiakkaille, että sen tarjoama palvelu on luotettava tai yritys itse on uskottava toimija.
- Yrityksen tietoturvapäällikön on osoitettava yrityksen johdolle, hallitukselle tai sijoittajille, että yrityksen tietoturvallisuus vastaa toimialalla odotettua tasoa. Standardin toteuttaminen mahdollistaa tietoturvallisuudesta kommunikoinnin ja riittävän tietoturvallisuuden toteutumisen osoittamisen puolueettomasti.
- Yritys haluaa varmistaa, että tietoturvallisuutta hallitaan holistisesti. Standardin avulla voidaan varmistaa, että tietoturvallisuuden eri osa-alueet tulevat hallituiksi ja niihin liittyvät toimenpiteet priorisoiduiksi riskiperusteisesti.
- Yritys haluaa varmistaa tietosuoja-asetuksen edellyttämän tietoturvallisuuden toteutumisen. ISO27001 on esimerkiksi Tanskan tietosuojaviranomaisen suosittama tapa henkilötietojen turvaamiseen.
Hallintajärjestelmän kattavuus
Hallintajärjestelmän kattavuus kuvaa hallintajärjestelmän soveltamisalan ja rajaukset. Kattavuuteen vaikuttavat mm. organisaation koko ja rakenne, nykyinen tietoturvataso, ISO27001:n toteutuksen arvioitu budjetti ja ulkoisten ja sisäisten sidosryhmien (esim. asiakkaiden) odotukset. Aluksi on järkevää rajata hallintajärjestelmä suppeaksi esim. tiettyyn asiakkaille tarjottavaan palveluun tai palvelukokonaisuuteen, liiketoimintayksikköön tai toimipisteeseen. Startup-yrityksissä rajauksena on tyypillisesti asiakkaille tarjottu digitaalinen palvelu.
ISO27001:n toteutuksen vaiheet
Itse toteuttaminen voidaan jakaa neljään tai viiteen vaiheeseen, riippuen siitä onko tarkoituksena sertifioida hallintajärjestelmä vai ei.
- Puuteanalyysi selvittää organisaation nykytilan suhteessa ISO27001:n vaatimuksiin hallintajärjestelmän määritellyn kattavuuden puitteissa. Usein puuteanalyysin päätteeksi laaditaan projektisuunnitelma standardin toteutukselle ja arvioidaan toteutuksen kustannukset. Analyysivaiheen tyypillinen kesto on 1-6 viikkoa hallintajärjestelmän rajauksesta riippuen.
- Tietoturvariskien arviointi tunnistaa, analysoi ja arvioi riskit sekä määrittää niille omistajat ja prioriteetit. Vaiheen lopputuloksena syntyy riskienhallintasuunnitelma (engl. risk treatment plan) ja soveltuvuuslausunto (engl. statement of applicability, SoA) eli lista riskien hallintakeinoista. Vaiheen tyypillinen kesto on 2-4 viikkoa hallintajärjestelmän rajauksesta riippuen.
- Toteutusvaiheessa toteutetaan ISO27001:n velvoittavat vaatimukset eli esimerkiksi määritellään tietoturvapolitiikka ja tietoturvaan liittyvät roolit ja vastuut sekä tietoturvatavoitteet, varmistetaan organisaation johdon sitoutuminen tietoturvallisuuteen ja kasvatetaan organisaation tietoisuutta tietoturvallisuudesta. Lisäksi toteutetaan vaiheessa 2 määriteltyjen riskienhallintasuunnitelman ja soveltuvuuslausunnon sisältämät hallintakeinot tai varmistetaan niiden toiminta, jos ne ovat olleet organisaatiossa jo aiemmin toteutettuina. Mikäli tavoitteena on sertifioitua, toteutetaan vaiheen lopuksi sisäinen auditointi, jolla varmistetaan, että sertifioinnin vaatimat tehtävät on toteutettu. Vaiheen tyypillinen kesto on 2-6 kuukautta hallintajärjestelmän rajauksesta riippuen.
- Sertifiointivaiheessa sertifioiva taho tarkastaa hallintajärjestelmän toteutuksen ja toiminnan. Mikäli taho havaitsee puutteita, ne korjataan ja tahon hyväksyttyä korjaukset, taho myöntää sertifikaatin.
- ISO27001:n keskeinen ajatus riskiperusteisuuden lisäksi on jatkuva parantaminen. Hallintajärjestelmän toteutus ei siis pääty vaiheen 3 tai 4 jälkeen vaan jatkuu osana organisaation normaalia toimintaa. Usein myös hallintakeinojen toteuttaminen ja vähintään niiden kehittäminen jatkuu myös tässä vaiheessa.