Tietoturvajärjestelmän sertifiointi (ISO/IEC 27001)

 :

Tietoturvajärjestelmän sertifiointi (ISO/IEC 27001)

Nykypäivänä yksikään yritys ei voi kiistää tietoturvan merkitystä. Kansainvälisen ISO/IEC 27001-standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä (Information Security Management System, ISMS) osoittaa, että organisaatio hallinnoi tietojaan pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. Se kertoo asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.

Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvajärjestelmien arvioinnista. Inspecta on myös ainoa sertifiointiorganisaatio, jolla on suomalaisen FINASin akkreditointi tälle standardille. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen myös muiden tietoturvallisuuden vaatimusmallien mukaiseen toimintaan, esimerkkinä Suomessa julkishallinnon tietoturvatasot.

Palvelu käsittää erilaiset arvioinnit ja sertifioinnin. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. Standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1000 euroa. 

Standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet:

  • Järjestelmän kattavuuden määrittely, riskien arviointi ja dokumentaation hallinta
  • Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet
  • Tehtävät ja vastuut organisaation sisällä
  • Tietojen, tilojen ja laitteiden suojaaminen
  • Inhimillisten riskien ja väärinkäytösten minimointi
  • Tietoja sisältävien tilojen ja järjestelmien suojaaminen luvattomilta
  • Tietokoneiden ja tietoliikenteen hallinta
  • Tietojärjestelmien kehittäminen ja ylläpito
  • Varajärjestelmät ja -suunnitelmat
  • Lainsäädännön noudattaminen

Edut

  • Parantaa riskienhallintaa ja pienentää riskejä
  • Tehostaa toimintaa
  • Vähentää häiriöitä
  • Herättää luottamusta
  • Kehittää omaa toimintaa
  • Varmistaa toiminnan jatkuvuutta
  • Osallistaa henkilöstöä
  • Antaa työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen