Open search

    Miten toteutan ISO27001:n mukaisen tietoturvallisuuden hallintajärjestelmän sujuvasti?

    Yllättävän monet pelkäävät kansainvälisen tietoturvastandardin, ISO27001:n, mukaisen tietoturvallisuuden hallintajärjestelmän toteuttamista, koska uskovat sen tarkoittavan ”pelkkää byrokratiaa”, ”merkittävää paperityötä” tai johtavan väistämättömästi ”suureen hankkeeseen”. Nämä uskomukset perustuvat kuitenkin yleensä myytteihin enemmän kuin kokemukseen hallintajärjestelmän toteuttamisesta.

    ISO27001:n toteuttaminen onnistuu vaiheistamalla ja määrittämällä hallintajärjestelmän kattavuus yksiselitteisesti mahdollisimman aikaisessa vaiheessa. Lisäksi toteutuksen tavoitteet, myös alun perin julkilausumattomat, tulee olla selkeästi määritellyt.

    Toteutuksen tavoitteet

    Toteutuksen tavoitteet vastaavat kysymykseen: ”miksi ISO27001 on yritykselle kiinnostava?” Tyypillisiä tavoitteita ovat:

    • Riittävä tietoturvallisuus on myyntiargumentti yrityksen palveluiden myynnille. ISO27001:n avulla yritys pystyy osoittamaan potentiaalisille ja olemassa olevilla asiakkaille, että sen tarjoama palvelu on luotettava tai yritys itse on uskottava toimija.
    • Yrityksen tietoturvapäällikön on osoitettava yrityksen johdolle, hallitukselle tai sijoittajille, että yrityksen tietoturvallisuus vastaa toimialalla odotettua tasoa. Standardin toteuttaminen mahdollistaa tietoturvallisuudesta kommunikoinnin ja riittävän tietoturvallisuuden toteutumisen osoittamisen puolueettomasti.
    • Yritys haluaa varmistaa, että tietoturvallisuutta hallitaan holistisesti. Standardin avulla voidaan varmistaa, että tietoturvallisuuden eri osa-alueet tulevat hallituiksi ja niihin liittyvät toimenpiteet priorisoiduiksi riskiperusteisesti.
    • Yritys haluaa varmistaa tietosuoja-asetuksen edellyttämän tietoturvallisuuden toteutumisen. ISO27001 on esimerkiksi Tanskan tietosuojaviranomaisen suosittama tapa henkilötietojen turvaamiseen.

    Hallintajärjestelmän kattavuus

    Hallintajärjestelmän kattavuus kuvaa hallintajärjestelmän soveltamisalan ja rajaukset. Kattavuuteen vaikuttavat mm. organisaation koko ja rakenne, nykyinen tietoturvataso, ISO27001:n toteutuksen arvioitu budjetti ja ulkoisten ja sisäisten sidosryhmien (esim. asiakkaiden) odotukset. Aluksi on järkevää rajata hallintajärjestelmä suppeaksi esim. tiettyyn asiakkaille tarjottavaan palveluun tai palvelukokonaisuuteen, liiketoimintayksikköön tai toimipisteeseen. Startup-yrityksissä rajauksena on tyypillisesti asiakkaille tarjottu digitaalinen palvelu.

    ISO27001:n toteutuksen vaiheet

    Itse toteuttaminen voidaan jakaa neljään tai viiteen vaiheeseen, riippuen siitä onko tarkoituksena sertifioida hallintajärjestelmä vai ei.

    1. Puuteanalyysi selvittää organisaation nykytilan suhteessa ISO27001:n vaatimuksiin hallintajärjestelmän määritellyn kattavuuden puitteissa. Usein puuteanalyysin päätteeksi laaditaan projektisuunnitelma standardin toteutukselle ja arvioidaan toteutuksen kustannukset. Analyysivaiheen tyypillinen kesto on 1-6 viikkoa hallintajärjestelmän rajauksesta riippuen.
    2. Tietoturvariskien arviointi tunnistaa, analysoi ja arvioi riskit sekä määrittää niille omistajat ja prioriteetit. Vaiheen lopputuloksena syntyy riskienhallintasuunnitelma (engl. risk treatment plan) ja soveltuvuuslausunto (engl. statement of applicability, SoA) eli lista riskien hallintakeinoista. Vaiheen tyypillinen kesto on 2-4 viikkoa hallintajärjestelmän rajauksesta riippuen.
    3. Toteutusvaiheessa toteutetaan ISO27001:n velvoittavat vaatimukset eli esimerkiksi määritellään tietoturvapolitiikka ja tietoturvaan liittyvät roolit ja vastuut sekä tietoturvatavoitteet, varmistetaan organisaation johdon sitoutuminen tietoturvallisuuteen ja kasvatetaan organisaation tietoisuutta tietoturvallisuudesta. Lisäksi toteutetaan vaiheessa 2 määriteltyjen riskienhallintasuunnitelman ja soveltuvuuslausunnon sisältämät hallintakeinot tai varmistetaan niiden toiminta, jos ne ovat olleet organisaatiossa jo aiemmin toteutettuina. Mikäli tavoitteena on sertifioitua, toteutetaan vaiheen lopuksi sisäinen auditointi, jolla varmistetaan, että sertifioinnin vaatimat tehtävät on toteutettu. Vaiheen tyypillinen kesto on 2-6 kuukautta hallintajärjestelmän rajauksesta riippuen.
    4. Sertifiointivaiheessa sertifioiva taho tarkastaa hallintajärjestelmän toteutuksen ja toiminnan. Mikäli taho havaitsee puutteita, ne korjataan ja tahon hyväksyttyä korjaukset, taho myöntää sertifikaatin.
    5.  ISO27001:n keskeinen ajatus riskiperusteisuuden lisäksi on jatkuva parantaminen. Hallintajärjestelmän toteutus ei siis pääty vaiheen 3 tai 4 jälkeen vaan jatkuu osana organisaation normaalia toimintaa. Usein myös hallintakeinojen toteuttaminen ja vähintään niiden kehittäminen jatkuu myös tässä vaiheessa.

     

    ISO27001 TOTEUTTAMINEN

     

     

    ISO27001 TOTEUTTAMINEN 2

     

    Lisätietoja

    elina_niemimaa

    Elina Niemimaa

    Instan visio on olla edelläkävijä turvallisessa digitalisaatiossa

    Lue vuoden 2018 vuosikertomus

    Tutustu Instaan työnantajana