slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
OPPILAITOSPORTAALI PowerPoint Presentation
Download Presentation
OPPILAITOSPORTAALI

Loading in 2 Seconds...

play fullscreen
1 / 46

OPPILAITOSPORTAALI - PowerPoint PPT Presentation


  • 119 Views
  • Uploaded on

OPPILAITOSPORTAALI. Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012. Tervetuloa luentoaineiston käyttäjäksi!.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'OPPILAITOSPORTAALI' - hollie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät.

ISO/IEC 27000 -standardiperhe

Kalvosarja oppilaitoksille

Suomen Standardisoimisliitto SFS ry

2012

tervetuloa luentoaineiston k ytt j ksi
Tervetuloa luentoaineiston käyttäjäksi!

Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella.

Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee tietoturvallisuuden hallintajärjestelmästandardiperheen ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea standardiperheen sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön.

Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat.

aineiston k ytt ja tekij noikeudet
Aineiston käyttö ja tekijänoikeudet
  • Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry.
  • Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita.
  • Aineiston käyttö kaupallisiin tarkoituksiin on kielletty.
  • Tämä materiaali on päivitetty viimeksi 27.8.2012.
sis lt
Sisältö
  • Opetuskokonaisuus
  • Turvallisuuden kokonaisuus
  • Tietoturvallisuuden hallinta ja siihen liittyvät termit
    • Tietoturvallisuuden hallintajärjestelmä
  • ISO/IEC 27000 -standardiperhe
    • Historia, standardit ja viitekehys
  • Tietoturvauhkat
  • Standardit ja lainsäädäntö
  • Lisätietoa ISO/IEC 27001- ja 27005 -standardeista
  • Kokemuksia ja hyötyjä standardien käytöstä
opetuskokonaisuus
Opetuskokonaisuus
  • Opetuskokonaisuus on yksi 45 min oppitunti
  • Kalvot soveltuvat 27K-standardisarjan esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa.
tietoturvallisuuden hallintaj rjestelm n tarve
Tietoturvallisuuden hallintajärjestelmän tarve
  • Kaikentyyppiset ja -kokoiset organisaatiot
    • keräävät, käsittelevät, säilyttävät ja välittävät suuria määriä informaatiota,
    • pitävät informaatiota sekä siihen liittyviä prosesseja, järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina kohteina, joiden avulla organisaation tavoitteet saavutetaan,
    • kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa turvattavien kohteiden toimintaan, ja
    • muokkaavat riskejä toteuttamalla tietoturvamekanismeja.
tietoturvallisuuden hallintaj rjestelm
Tietoturvallisuuden hallintajärjestelmä
  • on osa yleistä hallintajärjestelmää, joka liiketoimintariskien arviointiin perustuen luodaan ja toteutetaan ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus
  • luodaan yritysjohdon tietoturvatyön organisoimiseksi ja helpottamiseksi.
  • Hallintajärjestelmien tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet.
  • ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti.
  • Hallintajärjestelmän osia ovat mm. riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat.
27000 standardiperhe
27000-standardiperhe
  • ISO/IEC 27000 viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät".
  • Tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä.
  • Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi.
27000 standardiperheen historia ja kehittyminen
27000-standardiperheen historia ja kehittyminen
  • Englannin aloite
    • 1992: Code of Practice for Information Security Management (hallituksen opaste)
    • 1995: Muutetaan BSI standardiksi BS 7799
    • 1999: Sertifiointi alkaa täysimääräisenä
  • 2000: ISO/IEC 17799  ISO/IEC 27002:2005
  • 2002: BS7799-2. Information Security Management Specification  ISO/IEC 27001:2005
  • 27000, 27001 ja 27002:n 2. painos valmisteilla
  • Uudet versiot vuoden 2013 aikana
27000 standardiperhe1
27000-standardiperhe…
  • 27000:2009 - Yleiskatsaus ja sanasto - Overview and vocabulary
  • 27001:2005 - Vaatimukset - Requirements
  • 27002:2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje - Code of practice for information security management
  • 27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance
  • 27004:2009 - Mittaaminen - Measurement
  • 27005:2011 - Tietoturvariskien hallinta - Information security risk management
  • 27006:2011 - Auditointi- ja sertifiointielinten vaatimukset – Requirements for bodies providing audit and certification of information security management systems (suomennosta ollaan tekemässä)
  • 27007:2011 - Guidelines for Information Security Management Systems Auditing (suomennosta ollaan tekemässä)
  • 27008:2011 - Guidelines for auditors on information security management systems controls (suomennosta ollaan tekemässä)
  • 27010 :?- Information security management for inter-sector and inter-organizational communications
  • 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
27000 standardiperhe2
…27000-standardiperhe…
  • 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
  • 27014:? - Governance of information security
  • 27015:? - Proposal on an Information security management guidelines for financial and insurance services
  • 27016:? - Organizational economics
  • 27017:? - Cloud computing security and privacy management system -- Security controls
  • 27018:? - Code of practice for data protection controls for public cloud computing services
  • 27031:2011 - Guidelines for information and communication technology readiness for business continuity
  • 27032:? - Guidelines for cybersecurity
  • 27033:eri osia - Network security, sisältää useita osia (1–7)
  • 27034:eri osia – Application security, sisältää useita osia (1–5)
  • 27035:2011 - Information security incident management
  • 27036:eri osia - Information security for supplier relationships, sisältää useita osia (1-3)
27000 standardiperhe3
…27000-standardiperhe
  • 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence
  • 27038:? - Specification for Digital Redaction
  • 27039:? - Selection, deployment and operations of intrusion detection systems
  • 27040:? - Storage security
  • 27041:? - Guidance on assuring suitability and adequacy of investigation methods
  • 27042:? - Guidelines for the analysis and interpretation of digital evidence
  • 27043:? - Investigation principles and processes
  • 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002
tietoturvallisuusuhat
Tietoturvallisuusuhat
  • Teollisuusuhat
  • Hyökkäykset sulautettuja laitteita vastaan
  • Haktivismi ja anonymiteetti
  • Virtuaalinen raha
  • Cyberwar
  • DNSsec
  • Spam ”laillistuu”
  • Mobiilit uhkat, bottiverkot ja rootkitit
  • Väärät sertifikaatit
  • Käyttöjärjestelmien uudet tietoturvaomaisuudet kohdistavat hyökkäykset muualle
  • Sosiaalinen media ja verkko
  • Käyttöjärjestelmät
  • Hyökkäykset kannettavia laitteita vastaan
  • Uudet teknologiat (HTML5, IPv6)
  • Viihde-elektroniikka
  • Haktivismi ja suunnatut hyökkäykset lisääntyvät
  • Tietoa koskevat määräykset ja rangaistukset
  • Mobiilimaksaminen
  • Pilvipalvelut
  • Perusasioissa tehdään virheitä

Lähteet:

McAfee 2012 Threats Predictions ja Sophos Security Threat Report 2012

standardit ja lains d nt
Standardit ja lainsäädäntö
  • Standardisoimislaki
  • Sertifiointilaitoksia koskeva lainsäädäntö
  • Yhteissääntely
  • Kansallinen turvallisuusauditointikriteeristö (KATAKRI)
    • Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä.
  • Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI)
    • Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
keskeiset k sitteet 27000 1 2
Keskeiset käsitteet 27000 1/2
  • Pääsynvalvonta
  • Tilivelvollisuus
  • Turvattava kohde
  • Hyökkäys
  • Todennus
  • Aitous
  • Saatavuus
  • Toiminnan jatkuvuus
  • Luottamuksellisuus
  • Turvamekanismi
  • Valvontatavoite
  • Korjaava toimenpide
  • Vaikuttavuus
  • Tehokkuus
  • Tapahtuma
  • Ohje
  • (Haitta)vaikutus
  • Tieto-omaisuus
  • Tietoturvallisuus
  • Tietoturvatapahtuma
  • Tietoturvahäiriö
  • Tietoturvahäiriöiden hallinta
  • Tietoturvallisuuden hallintajärjestelmä (ISMS)
keskeiset k sitteet 27000 2 2
Keskeiset käsitteet 27000 2/2
  • Tietoturvariski
  • Eheys
  • Johtamisjärjestelmä
  • Kiistämättömyys
  • Politiikka
  • Ehkäisevä toimenpide
  • Menettely
  • Prosessi
  • Tallenne
  • Luotettavuus
  • Riski
  • Riskin hyväksyntä
  • Riskianalyysi
  • Riskien arviointi
  • Riskeistä viestintä
  • Riskikriteerit
  • Riskin suuruuden arviointi
  • Riskien arvottaminen
  • Riskien hallinta
  • Riskien käsittely
  • Soveltamissuunnitelma (SoA)
  • Uhka
  • Haavoittuvuus
iso iec 27000 2009 yleiskatsaus ja sanasto
ISO/IEC 27000:2009”Yleiskatsaus ja sanasto”
  • Sisältää koko ISO/IEC 27000 -perheen
    • yleiskatsauksen ja esittelyn,
    • perheessä käytettyjen termien määritelmät ja niiden luokitukset ja
    • yleisiä vaatimuksia.
  • Määrittelee yleiset vaatimukset
    • tietoturvallisuuden hallintajärjestelmän luomiselle,
    • toteuttamiselle,
    • käyttämisellä,
    • valvonnalle,
    • katselmoinnille,
    • ylläpidolle ja
    • parantamiselle.
iso iec 27001 ja 27005 standardit
ISO/IEC 27001 ja 27005 -standardit
  • Kaksi ehkä tärkeintä 27000-perheen standardia
  • Määrittävät tietoturvallisuuden hallintajärjestelmän vaatimukset (27001) ja riskienhallinnan (27005).
  • Tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation strateginen päätös.
  • Vuoteen 2009 mennessä yli 12000 organisaatiota oli 27001-sertifioitu.
iso iec 27001 2005 vaatimukset
ISO/IEC 27001:2005”Vaatimukset”
  • Tavoitteena linjata tietoturvallisuuden hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa
  • Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli)
  • On hallinnointistandardi eikä tekninen standardi
    • Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia
  • Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin
  • Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä
    • Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa
27001 termit ja m ritelm t
27001: Termit ja määritelmät
  • Suojattava kohde
  • Käytettävyys
  • Luottamuksellisuus
  • Tietoturvallisuus
  • Tietoturvatapahtuma
  • Tietoturvahäiriö
  • Eheys
  • Jäännösriski
  • Riskin hyväksyntä
  • Riskianalyysi
  • Riskien arviointi
  • Riskien vaikutuksen arviointi
  • Riskien hallinta
  • Riskien käsittely
  • Soveltamissuunnitelma (SoA)
27001 vaiheet
27001: Vaiheet
  • Tietoturvallisuuden hallintajärjestelmän luominen ja johtaminen
    • Luominen
    • Toteuttaminen ja käyttäminen
    • Valvominen ja katselmointi
    • Ylläpitäminen ja parantaminen
pdca malli sovellettuna tietoturvallisuuden hallintaj rjestelm n prosesseihin
PDCA-malli sovellettuna tietoturvallisuuden hallintajärjestelmän prosesseihin
27001 vaatii ett hallinto
27001 vaatii, että hallinto
  • tarkastelee organisaation tietoturvallisuusriskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset
  • suunnittelee ja toteuttaa yhdenmukaiset ja kattavat tietoturvallisuuskontrollit ja riskien käsittelyohjeet (suite), jotta riskit, joita on mahdoton hyväksyä, saadaan käsiteltyä (address), ja
  • omaksuu ylikaartuvan (overarching) hallintoprosessin varmistaakseen tietoturvallisuuskontrollien jatkuvuuden tulevaisuudessa.
27001 n k ytt
27001:n käyttö
  • Käytetään usein yhdessä ISO/IEC 27002:n kanssa
  • Liite A sisältää suppean listan ISO/IEC 27002:n tietoturvallisuuskontrolleista
  • ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa
  • 27001 antaa vaatimuksia tietoturvallisuuden hallintajärjestelmän
    • sisäiseen auditointiin,
    • johdon katselmointiin, ja
    • parantamiseen
27001 n liite a
27001:n liite A
  • Liite A luettelee valvontatavoitteet ja turvamekanismit
  • Esim. A.10.5 Varmuuskopiointi
    • Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen.
  • A.10.5.1: Tietojen varmuuskopiointi
    • Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti.
27001 n liite a esimerkkej
27001:n liite A - esimerkkejä
  • A.10.7 Tietovälineiden käsittely
    • Tavoite: Estää suojattavien kohteiden luvaton paljastaminen, muuttaminen, paikalta siirtäminen tai tuhoutuminen sekä liiketoiminnan keskeytyminen.
  • A.10.7.1: Siirrettävien tietovälineiden hallinta
    • Turvamekanismi: Siirrettävien tietovälineiden hallintaan tulee olla toimivat menettelytavat.
  • A.10.7.2: Tietovälineiden poistaminen käytöstä
    • Turvamekanismi: Tietovälineet tulee poistaa käytöstä turvallisella ja varmalla tavalla määriteltyjä menettelytapoja käyttäen, kun niitä ei enää tarvita.
27001 n liite a esimerkkej1
27001:n liite A - esimerkkejä
  • A.10.10 Tarkkailu
    • Tavoite: Luvattomien tietojenkäsittelytoimintojen havaitseminen.
  • A.10.10.4: Pääkäyttäjä- ja operaattorilokit
    • Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata.
  • A.10.10.6: Kellojen synkronointi
    • Turvamekanismi: Kaikkien samassa organisaatiossa tai turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa.
27001 n liite a esimerkkej2
27001:n liite A - esimerkkejä
  • A.11.7 Tietokoneen matkakäyttö ja etätyö
    • Tavoite: Varmistaa tietojen turvallisuus tietokoneiden matkakäytössä ja etätyössä.
  • A.11.7.1: Tietokoneen matkakäyttö ja tietoliikenne
    • Turvamekanismi: Tulee ottaa käyttöön määritellyt toimintaperiaatteet ja turvamekanismit, joilla suojaudutaan tietokoneen matkakäytön ja etäyhteyksien aiheuttamilta riskeiltä.
  • A.11.7.2: Etätyö
    • Turvamekanismi: Etätyötoimintaa varten tulee kehittää ja ottaa käyttöön periaatteet, toimintasuunnitelmat ja menettelytavat.
27001 n liite a esimerkkej3
27001:n liite A - esimerkkejä
  • A.14.1 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia
    • Tavoite: Ehkäistä liiketoiminnan keskeytyminen ja suojata kriittisiä liiketoimintaprosesseja tietojärjestelmien merkittävien häiriöiden tai onnettomuuksien vaikutuksilta ja taata prosessien viiveetön jatkaminen.
  • A.14.1.2: Liiketoiminnan jatkuvuus ja riskien arviointi
    • Turvamekanismi: Liiketoimintaprosessit mahdollisesti keskeyttävät tapahtumat tulee yksilöidä samoin kuin tällaisten keskeytysten todennäköisyys, vaikutus ja seuraukset tietoturvallisuuden kannalta.
iso iec 27005 2011 tietoturvariskien hallinta
ISO/IEC 27005:2011:”Tietoturvariskien hallinta”
  • Sisältää ohjeita organisaation tietoturvariskien hallinnasta.
  • Tukee erityisesti ISO/IEC 27001 –standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia.
  • Ei esitä mitään tiettyä tietoturvan riskien hallinnan menettelytapaa.
  • Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma
  • Ensimmäinen versio julkaistu 2008, toinen 2011.
  • Suunnattu lähinnä organisaation tietoturvariskien hallinnasta vastaaville johtajille ja henkilöstölle.
27005 riskien hallinnan termit
27005: Riskien hallinnan termit
  • Vaikuttavuus, vaikutusarvo
    • Välitön vaikutus
    • Myöhempi vaikutus
  • Tietoturvariski
  • Riskin välttäminen
  • Riskeistä viestintä
  • Riskin suuruuden arviointi
  • Riskin tunnistus
  • Riskin pienentäminen
  • Riskin säilyttäminen
  • Riskin siirto
27005 n sis lt
27005:n sisältö
  • kuvaus tietoturvariskien hallintaprosessista (Information Security Risk Management, ISRM).
    • riskien arviointi (Information Security Risk Assessment, ISRA)
    • riskien käsittely (risk treatment)
    • riskien hyväksyntä (acceptance)
    • riskeistä viestiminen (communication)
    • Riskien tarkkailu (monitoring) ja katselmointi (review).
27005 n k ytt
27005:n käyttö
  • Soveltuu käytettäväksi organisaatioissa, jotka haluavat hallinnoida riskejä, jotka voivat vaarantaa yrityksen tietoturvallisuuden.
  • Ei sisällä tai suosittele mitään spesifistä metodiikkaa.
  • Vaatii 27001:2005 ja 27002:2005 –standardit viiteasiakirjoiksi.
27005 riskien k sittely
27005: Riskien käsittely
  • Käsittelyvaihtoehdot
    • Riskien pienentäminen
    • Riskin säilyttäminen ”jemmaaminen”
    • Riskin välttäminen
    • Riskin siirto
  • Käsittelyvaihtoehtojen valintamenetelmät
    • Kustannuksien ja hyötyjen suhde
    • Riskien haitalliset seuraukset
    • Harvinaiset mutta vakavat riskit
esimerkki auditointiprosessista
Esimerkki auditointiprosessista
  • Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi
    • Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation tietoturvapolitiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma).
  • Vaihe 2. Yksityiskohtaisempi ja muodollisempi audiointi
    • Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin.
  • Vaihe 3. jatkokatselmoinnit ja auditoinnit
    • Säännöllinen uudelleenarviointi.
27k sertifioidut
27K-sertifioidut
  • Suomessa on 18 sertifioitua auditoijaa (Leena Haapaniemi, 12.4.2012)
  • Esim. GIAC sertifioi vuoden 2012 huhtikuussa 16 henkilöä.
    • http://www.giac.org/certified-professionals/directory/g2700
standardin soveltaminen ja kokemuksia
Standardin soveltaminen ja kokemuksia*
  • Johdon todellinen sitouttaminen voi olla hankalaa
    • Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia
    • Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille
  • Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää
  • Yritys voi olla ennakoiva tietoturvan suhteen.
  • Suurilta ja kalliilta yllätyksiltä voidaan välttyä.
  • Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille.

* Lea Viljanen

standardin soveltaminen ja kokemuksia1
Standardin soveltaminen ja kokemuksia
  • Lopputöitä:
    • Markus Kuivalainen, ”Valmistautuminen ISO/IEC 27001 standardin sertifiointiin”, joulukuu 2011
    • Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman laatiminen”, syyskuu 2010
    • Simo Kemppainen, ”Tietoturvallisuuden sertifiointi ISO/IEC 27001 -tietoturvallisuusstandardilla”, toukokuu 2009
tietoturvallisuusstandardin k yt n hy dyt
Tietoturvallisuusstandardin käytön hyödyt
  • ISO/IEC 27001:
    • Parempi kuva organisaatiossa itsestään.
      • Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy.
    • Vältetyt riskit vähentävät kuluja.
    • Organisaation operaatiot sujuvat sulavammin, koska vastuut ja businessprosessit on selvästi määritelty.
    • Tietoturvavalveutuneisuus paranee.
    • Asiakkaiden luottamus ja näkemys yrityksestä paranee.
lis tietoa standardeista
Lisätietoa standardeista
  • ISO:n online browsing platform -palvelu
    • http://www.iso.org/obp/ui
  • 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1).
  • Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja.
    • Puheenjohtaja: Reijo Savola (VTT)
    • Sihteeri: Juha Vartiainen (SFS)