Yleistä ISO 27001 -standardista
Tietoturvallisuuden hallintajärjestelmä ISO 27001 on kansainvälinen standardi, ja sen perimmäinen tarkoitus on pitää organisaation tietovarat luottamuksellisina, ehyinä ja saatavilla niitä tarvitseville. Sen tehtävänä on myös suojata organisaation tietovarojen häviämistä tai joutumista vääriin käsiin.
Tietoturvauhkat ovat arkea ja riippuvuus tietojärjestelmistä tekee organisaatiot herkiksi erilaisille uhkille, esimerkiksi hakkeroinneille ja kiristysyrityksille. Tieto on kuitenkin tärkeä voimavara toiminnassa ja siksi se on suojattava asianmukaisesti. Toukokuussa 2018 voimaan tullut EU:n laajuinen tietosuoja-asetus oli herätys monen organisaation tietoturvavastaavalle.
Organisaation on kyettävä osoittamaan kumppaneilleen – esimerkiksi asiakkaille, kuluttajille, osakkaille, viranomaisille ja yhteiskunnalle, että yrityksen tietovarat on suojattu hyvin ja tarvittaessa saatavilla.
ISO 27001 -standardi määrittelee, kuinka järjestää tietoturva-asiat missä tahansa organisaatiossa. Se kattaa kaikenlaiset organisaatiot, esimerkiksi kaupalliset yritykset, valtion virastot ja voittoa tavoittelemattomat järjestöt.
Standardi ei koske ainoastaan tietotekniikkaa, vaan kattaa kaikki näkökulmat tiedon siirrosta julkisiin keskusteluihin ja tietojen jakamiseen. ISO 27001 auttaa yritystä turvaamaan liiketoiminnan jatkuvuutta eri olosuhteissa, esimerkiksi tulipalossa, vesivahingossa, hakkeroinnissa, tietojen häviämisessä ja tahallisissa tietovuodoissa. ISO 27001 standardi sisältää organisaatiorakenteen, politiikat, suunnittelutoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit ja resurssit.
Tietoturvallisuuden hallintajärjestelmän avulla voidaan varautua seuraaviin toimenpiteisiin:
- omaisuuden hallintaan
- tieturvallisuuspolitiikkaan
- tietoturvallisuusstrategiaan
- IT:n hallinnointiin
- jatkuvuuden hallintaan
- tietoturvaloukkausten ja uhkien hallintaan
- palvelujen hallittavuuteen, käytettävyysaikoihin
- tiedon häviämisen estämiseen
- tietomurtoihin
- tiedon hallittavuuden menettelyihin
- järjestelmien rajapintojen yhteensovittamiseen tiedon häviämistä ja hallittavuutta silmällä pitäen
Tietoturvan hallintajärjestelmää suositellaan, jos organisaatio haluaa saada kokonaiskattavan hallittavuuden erilaisille tietoturvauhkille, joita ovat esimerkiksi:
- tietojärjestelmärikollisuus
- yritysvakoilu
- henkilöön liittyvät tietovuodot
- vandalismi ja tahallinen vahingoittaminen
- onnettomuuden tai tulipalon vaikutusten pienentäminen
- tiedon väärinkäyttö
- tietovarkaudet
- virushyökkäykset
Standardi auttaa myös tunnistamaan, arvioimaan ja hallitsemaan riskejä ja toimii todisteena, että organisaatio toimii lakien ja säännösten mukaisesti.
Perusasiat kalvosarjana
Olemme koostaneet ytimekkään kalvosarjan, jossa käydään lyhyesti läpi standardeihin liittyvät ydinasiat. Lataa pdf-muotoinen kalvosarja allaolevasta linkistä.
Perusasiat videona
Voit myös katsoa perustietopaketin videomuodossa.
Pro Laadunhallinnan esittely
Katso alta Pro Laadunhallinnan yleisesittely videomuodossa tai lataa se pdf-muodossa.
Pro Riskienhallinnan esittely
Pro Laadunhallinnan tueksi olemme kehittäneet riskien arviointiin keskittyvän Pro Riskienhallinta -palvelun. Katso sen esittelyvideo alta tai lataa esittely pdf-muodossa tästä.
