ISO27001 standardi

Tietoturva

ISO 27001 -hallintajärjestelmä

Luotettavaa asiantuntemusta onnistuneen ISO/IEC 27001 -projektin toteuttamiseen

ISO 27001 -hallintajärjestelmä

ISO/IEC 27001 -sertifikaatti on merkki luotettavuudesta ja tietoturvallisesta hallintajärjestelmästä. Toimimme neuvonantajana tietoturvallisuuden hallintajärjestelmän sertifiointiprosessissa ja annamme konkreettisia toimenpide-ehdotuksia standardin täyttämiseksi.

Lue alta lisää ISO 27001 -standardin vaatimuksista.

Avullamme suoritat ISO/IEC27001 -hallintajärjestelmän sertifioinnin onnistuneesti.

ISO 27001 -puuteanalyysimme kartoittaa standardinmukaiset vaatimukset ja toimenpiteet.

Mikä on ISO 27001?

Insta ikoni 3 valkoinen yhteys ihmiset

Kansainvälinen standardi

ISO/IEC 27001 -nimen taakse kätkeytyy kansainvälinen standardi, jonka tarkoituksena on linjata vaatimuksia tietoturvallisuuden hallintajärjestelmän luomiselle, toteuttamiselle, ylläpitämiselle ja jatkuvalle parantamiselle. Alun perin standardin ovat kehittäneet ISO (International Organization for Standardization) ja IEC (International Electrotechnical Commission) vuonna 2005, minkä jälkeen se on käynyt läpi uudistuksia, viimeisimpänä vuonna 2022.

Insta ikoni 13 pilvi ratas

Sertifikaatin saavuttaminen

ISO 27001 -sertifikaatin saavuttaminen ei ole vain kertaluontoinen suoritus, vaan sen ylläpitäminen vaatii jatkuvaa työtä ja standardin vaatimusten täyttämistä. Standardi on kuitenkin merkittävä etu yritykselle ja merkki luotettavuudesta esimerkiksi asiakasyrityksille. ISO 27001 -standardin vaatimusten täyttäminen on puolueettoman tahon sertifioima merkki riittävästä tietoturvallisuudesta niin yrityksen sisällä kuin ulkoisille sidosryhmille ja asiakkaille.

Miksi tietoturvan hallintajärjestelmän ISO/IEC 27001 -sertifiointi kannattaa?

Tietoturvallisuuden hallintajärjestelmä eli ISMS (information security management system) kattaa käytäntöjä ja toimia organisaation tietoturvan hallintaan. Sillä pyritään pitämään organisaation tietovarat luottamuksellisina ja saatavilla sekä estämään tietoja häviämästä tai vaarantumasta.

ISO 27001 -sertifikaatti osoittaa, että yritys on tehnyt tarvittavat toimenpiteet tietojensa toimivan hallinnan ja turvaamisen eteen. Hyvä ja kansainvälisten standardien mukainen tietoturvallisuuden hallinta on merkittävä kilpailuetu. Se on merkki luotettavuudesta, josta on hyötyä kaiken kokoisille organisaatioille eri toimialoilla. Sertifioinnin avulla yritys voi osoittaa tarjoamiensa palveluiden turvallisuuden niin olemassa oleville kuin potentiaalisille asiakkaille.

ISO 27001 -sertifikaatin saavuttaminen ei ole ainoastaan merkki organisaation hyvästä tietoturvallisuuden hallinnasta asiakkaille. Tämän lisäksi standardinmukainen toiminta turvaa organisaation tietovarat ulkoisilta uhkilta sekä pitää tiedot eheinä ja saavutettavissa. Sertifikaatti osoittaa organisaation johdolle sekä eri sidosryhmille tietoturvan hallintajärjestelmän olevan kansainvälisten standardien mukaista. Samalla se osoittaa hallintajärjestelmän olevan yrityksen liiketoiminnan ja sisäisten operaatioiden kannalta kestävällä pohjalla.

ISO/IEC 27001
Sinnen kyberkello Insta
ISO 27001

ISO 27001 -standardin vaatimukset

Yrityksen sekä sen käyttämän tietoturvallisuuden hallintajärjestelmän on täytettävä joukko ISO 27001 -standardin vaatimuksia ollakseen kelpoinen sertifikaatille.

Standardin vaatimusten täyttäminen on kuitenkin helpommin sanottu kuin tehty, ja tällöin organisaatio voi tarvita ulkoista kyberasiantuntemusta vaadittavien puutteiden paikkaamiseksi ja toiminnan kehittämiseksi. Tarjoamme sinulle vuosien asiantuntemustamme ISO 27001 -standardin vaatimusten täyttämiseen sekä kyberriskien hallitsemiseen liiketoimintatavoitteidesi tueksi.

Toimiakseen standardin mukaisesti, organisaation hallintajärjestelmän on toteutettava seuraavia osa-alueita koskevia vaatimuksia ISO 27001:n kohtien 4-10 mukaisesti:

ISO 27001

Standardin vaatimukset

kohta 4

Toimintaympäristö

Organisaatio ottaa huomioon sen toimintaympäristön, tarpeet ja sidosryhmät hallintajärjestelmän määrittelyssä

kohta 5

Johtajuus

Organisaation ylin johto on sitoutunut hallintajärjestelmään ja osoittaa johtajuutta sen toteutuksessa.

kohta 6

Suunnittelu

Organisaatio määrittää ja toteuttaa prosessin tietoturvariskien arvioimiseksi sekä asettaa tavoitteet relevanteille toiminnoille.

kohta 7

Tukitoiminnot

Organisaatio varmistaa vaaditut pätevyydet hallintajärjestelmän luomiseksi ja ylläpitämiseksi sekä arvioi tarpeet ulkoiselle ja sisäiselle viestinnälle.

kohta 8

Toiminta

Organisaatio suunnittelee ja toteuttaa vaaditut prosessit tietoturvavaatimusten ja riskienhallintatoimenpiteiden toteuttamiseksi. Myös suunniteltujen ja tahattomien muutosten seuraukset on arvioitava.

kohta 9

Suorituskyvyn arviointi

Organisaatio arvioi tietoturvan tason muun muassa sisäisellä auditoinnilla. Tietoturvallisuuden hallintajärjestelmän on oltava organisaation ylimmän johdon näkökulmasta asianmukainen ja vaikuttava.

KOHTA 10

Jatkuva parantaminen

Organisaatio reagoi mahdollisiin poikkeamiin sekä parantaa tietoturvallisuuden hallintajärjestelmän soveltuvuutta, riittävyyttä ja vaikuttavuutta jatkuvasti osana jokapäiväistä toimintaa.

ISO 27001 -puuteanalyysi kartoittaa hallintajärjestelmän nykytilan

ISO 27001 -puuteanalyysimme auttaa sinua arvioimaan standardin vaatimusten täyttymistä. Toimimme tarvittaessa asiantuntevana apuna yrityksesi ISO 27001 -projektissa ja annamme konkreettisia toimenpide-ehdotuksia sertifikaatin saavuttamiseksi. Riippuen hallintajärjestelmän rajauksesta, ISO 27001 -puuteanalyysin kesto on 1-6 viikkoa.

Analyysin päätteeksi laaditaan projektisuunnitelma standardin toteutukselle ja arvioidaan toteutuksen kustannukset. Puuteanalyysi koostuu arvioista organisaation nykytilasta suhteessa ISO 27001:n kohtien 4-10 vaatimuksiin sekä ISO 27001:n Liitteen A hallintakeinoihin.

Liite A:ssa määritellään 93 kontrollia, jotka on jaettu neljään eri teemaan.

Näihin kuuluvat:

  • Tietoturvapolitiikat

  • Tietoturvallisuuden organisointi

  • Henkilöstöturvallisuus

  • Suojattavan omaisuuden hallinta

  • Pääsynhallinta

  • Salaus

  • Fyysinen turvallisuus ja ympäristön turvallisuus

  • Käyttöturvallisuus

  • Viestintäturvallisuus

  • Järjestelmien hankkiminen, kehittäminen ja ylläpito

  • Suhteet toimittajiin

  • Tietoturvahäiriöiden hallinta

  • Liiketoiminnan jatkuvuuden hallintaan liittyvät tietoturvanäkökohdat

  • Vaatimustenmukaisuus

Sen sijaan, että organisaatio suoriutuisi jokaisesta Liitteen A hallintakeinosta, ISO 27001 -standardi edellyttää hallintakeinojen riskiperusteista arviointia. Voi olla, että jokin hallintakeinoista ei ole organisaatiolle tarpeen, jolloin sitä ei välttämättä tarvitse ottaa huomioon puuteanalyysissä.

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.