Tietoturvallisuuden hallintajärjestelmän sertifiointi (ISO/IEC 27001)

 :

Tietoturvallisuuden hallintajärjestelmän sertifiointi (ISO/IEC 27001)

2010-luvulla jokaisen yrityksen agendalla on oltava tietojen, tietoliikenteen ja tietojärjestelmien turvallisuudesta huolehtiminen. Kansainvälisen ISO/IEC 27001-standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä (Information Security Management System, ISMS) osoittaa, että organisaatio johtaa tietojensa turvaamista pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvallisuudesta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.

helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvallisuudesta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.
Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista. Inspecta oli ensimmäinen sertifiointiorganisaatio, joka sai suomalaisen FINASin akkreditoinnin tälle standardille. Akkreditoidun sertifiointielimen kansainvälistä ISO/IEC 27001 -standardia vasten sertifioiman tietoturvallisuuden hallintajärjestelmän taso tunnistetaan ja tunnustetaan koko maailmassa. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen muidenkin tietoturvallisuuden vaatimusmallien hallintaan ja niiden vaatimusten mukaiseen toimintaan, esimerkkinä Suomessa valtionhallinnon tietoturvatasot ja Katakri.  
Tietoturvallisuuden hallintajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1.000 euroa. 
Käyttökohteet
Kaikkien alojen yritykset, erityisesti finanssi,- terveydenhuolto-, ICT- ja sovelluspalvelut sekä julkishallinto
Osa toiminta- ja johtamisjärjestelmiä
Tietoturvallisuuden hallinnan ISO/IEC 27001 -standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet:
Organisaation toimintaympäristön ja tietoturvallisuuden hallintajärjestelmän kattavuuden määrittely
Sidosryhmien ja näiden vaatimusten tunnistaminen
Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet
Riskien arviointi ja riskien käsittely, dokumentaation hallinta
Tehtävät ja vastuut organisaation sisällä
Osaamisen ja tietoturvatietoisuuden kehittäminen
Tietojen, tilojen, tietojärjestelmien ja laitteiden suojaaminen
Tietokoneiden ja tietoliikenteen hallinta
Tietojärjestelmien kehittäminen ja ylläpito
Varajärjestelmät ja toipumissuunnitelmat
Lainsäädännön noudattaminen
 
ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän edut
Sertifioitu hallintajärjestelmä herättää luottamusta ja varmistaa toiminnan jatkuvuutta
Toimiva ja järjestelmällinen tietoturvariskien hallinta
Toiminnan tehostuminen
Häiriöiden väheneminen
Osaamista ja työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen
Sertifiointi kehittää toimintaa
Sertifiointi osallistaa henkilöstöä

Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista. Inspecta oli ensimmäinen sertifiointiorganisaatio, joka sai suomalaisen FINASin akkreditoinnin tälle standardille. Akkreditoidun sertifiointielimen kansainvälistä ISO/IEC 27001 -standardia vasten sertifioiman tietoturvallisuuden hallintajärjestelmän taso tunnistetaan ja tunnustetaan koko maailmassa. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen muidenkin tietoturvallisuuden vaatimusmallien hallintaan ja niiden vaatimusten mukaiseen toimintaan, esimerkkinä Suomessa valtionhallinnon tietoturvatasot ja Katakri.  

Tietoturvallisuuden hallintajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1.000 euroa. 

 

Käyttökohteet

Kaikkien alojen yritykset, erityisesti finanssi,- terveydenhuolto-, ICT- ja sovelluspalvelut sekä julkishallinto

 

Osa toiminta- ja johtamisjärjestelmiä

Tietoturvallisuuden hallinnan ISO/IEC 27001 -standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet:

  • Organisaation toimintaympäristön ja tietoturvallisuuden hallintajärjestelmän kattavuuden määrittely

  • Sidosryhmien ja näiden vaatimusten tunnistaminen

  • Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet

  • Riskien arviointi ja riskien käsittely, dokumentaation hallinta

  • Tehtävät ja vastuut organisaation sisällä

  • Osaamisen ja tietoturvatietoisuuden kehittäminen

  • Tietojen, tilojen, tietojärjestelmien ja laitteiden suojaaminen

  • Tietokoneiden ja tietoliikenteen hallinta

  • Tietojärjestelmien kehittäminen ja ylläpito

  • Varajärjestelmät ja toipumissuunnitelmat

  • Lainsäädännön noudattaminen

 

 

ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän edut

 

  • Sertifioitu hallintajärjestelmä herättää luottamusta ja varmistaa toiminnan jatkuvuutta

  • Toimiva ja järjestelmällinen tietoturvariskien hallinta

  • Toiminnan tehostuminen

  • Häiriöiden väheneminen

  • Osaamista ja työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen

  • Sertifiointi kehittää toimintaa

  • Sertifiointi osallistaa henkilöstöä