Tietoturva ja tietoturvajärjestelmän sertifiointi (ISO/IEC 27001)

 :

Tietoturva ja tietoturvajärjestelmän sertifiointi (ISO/IEC 27001)

Nykypäivänä yksikään yritys ei voi kiistää tietoturvan merkitystä. Kansainvälisen ISO/IEC 27001-standardin pohjalta sertifioitu tietoturva ja sen hallintajärjestelmä (Information Security Management System, ISMS) osoittaa, että organisaatio hallinnoi tietojaan pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvasta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.

Suomalaisilla asiantuntijoillamme on pitkä kokemus tietoturvallisuuden ja tietoturvajärjestelmien arvioinnista. Inspecta on myös ainoa sertifiointiorganisaatio, jolla on suomalaisen FINASin akkreditointi tälle standardille. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen myös muiden tietoturvallisuuden vaatimusmallien mukaiseen toimintaan, esimerkkinä Suomessa julkishallinnon tietoturvatasot.

Tietoturvan ja tietoturvajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1 000 euroa. 

Tietoturvan ISO/IEC 27001 -standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet:

 

  • Tietoturvajärjestelmän kattavuuden määrittely, riskien arviointi ja dokumentaation hallinta
  • Johdon hyväksymät yrityksen tietoturvallisuuden periaatteet ja tavoitteet
  • Tehtävät ja vastuut organisaation sisällä
  • Tietojen, tilojen ja laitteiden suojaaminen
  • Inhimillisten riskien ja väärinkäytösten minimointi
  • Tietoja sisältävien tilojen ja järjestelmien suojaaminen luvattomilta
  • Tietokoneiden ja tietoliikenteen hallinta
  • Tietojärjestelmien kehittäminen ja ylläpito
  • Varajärjestelmät ja -suunnitelmat
  • Lainsäädännön noudattaminen

ISO/IEC 27001 -standardin mukaisen tietoturvan ja tietoturvajärjestelmän edut

  • ISO/IEC 27001 -standardi parantaa riskienhallintaa ja pienentää riskejä
  • Arvioitu tietoturvallisuus tehostaa toimintaa
  • Arvioitu hallintajärjestelmä vähentää häiriöitä
  • Standardisoitu hallintajärjestelmä herättää luottamusta
  • Tietoturvan sertifiointiprosessi kehittää omaa toimintaa ja varmistaa toiminnan jatkuvuutta
  • Tietoturvajärjestelmän sertifiointi osallistaa henkilöstöä
  • Tietoturvan ja tietoturvajärjestelmän arvointi antaa työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen