Digiturvamalli.fi
Kokeile
Kirjaudu
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Akatemian etusivu
Blogit
Mikä on ISO 27001? Johdanto maailmanlaajuiseen tietoturvan kultaiseen standardiin.

Mikä on ISO 27001? Johdanto maailmanlaajuiseen tietoturvan kultaiseen standardiin.

Kyberrikollisuuden lisääntyessä ja verkkouhkien kehittyessä yritykset joutuvat yhä enemmän osoittamaan sitoutumisensa tietoturvaan.

ISO 27001 on maailmanlaajuisesti tunnustettu paras käytäntö tietoturvan hallintaan ja ISMS-järjestelmän (”tietoturvan hallintajärjestelmä”) käyttöön. ISO 27001 on maailmanlaajuisesti tunnetuin tietoturvastandardi. Siksi myös monet teistä tuntevat sen ja pitävät sen noudattamista tärkeänä.

Olitpa sitten uusi ISO 27001 -standardin suhteen tai haluat vahvistaa nykyisiä käytäntöjäsi, tässä kirjoituksessa käydään läpi sen olennaiset piirteet, miksi sillä on merkitystä ja miten se voi parantaa lähestymistapaasi tietoturvaan.

Mikä on tietoturvastandardi?

Aloitetaan aivan perusasioista. ISO 27001 on turvallisuusstandardi. Se tarkoittaa, että se tarjoaa strukturoidun joukon parhaita käytäntöjä, joita kannattaa noudattaa. Alan asiantuntijat ovat luoneet nämä parhaat käytännöt, joiden tarkoituksena on edustaa parhaita mahdollisia tapoja vähentää tietoturvariskejä.

Joihinkin turvallisuusstandardeihin (kuten ISO 27001) sisältyy myös sertifiointimekanismi. Tämä tarkoittaa, että ulkopuolinen akkreditoitu tarkastaja voi todentaa ( etukäteen laaditun sääntöluettelon mukaisesti), että noudatat kaikkia standardin parhaita käytäntöjä. Tämän prosessin lopputuloksena saat organisaatiollesi sertifikaatin.

Organisaation tietoturvasta vastaavan henkilön näkökulmasta tietoturvastandardit tarjoavat mm. seuraavia etuja:

  • Saat taistelussa testatun listan parhaista käytännöistä: Sinun ei tarvitse rakentaa tietoturvajärjestelmääsi tyhjästä, ja säästät aikaa, kun hyödynnät alan asiantuntijoiden luomia ja satojen tuhansien organisaatioiden testaamia parhaita käytäntöjä.
  • Ymmärrät oman turvallisuustasosi: Noudatatko ISO 27001 -standardia 30/100, 60/100 vai 90/100? Tämä tarjoaa organisaatiollesi pohdittavaa ja mahdollistaa tavoitteiden asettamisen. Liian usein organisaatiot perustavat tietoturvakäsityksensä tehtyjen (usein vain teknologisten) panostusten aavistuksen perusteella, ilman että niillä olisi oikeastaan mitään vertailukohtaa.
  • Asiakasystävällisen tietosuojaviestinnän luominen: Asiakkaasi tuntevat myös ISO 27001 -standardin, joten raportointi sitä vasten merkitsee heille jotakin. ISO 27001:n kaltaisen maailmanluokan standardin noudattaminen osoittaa, että kyseessä on turvallinen organisaatio, joka suhtautuu tietoturvaan vakavasti ja jonka asiakkaiden tietojen käsittelyyn voidaan luottaa.

Mitä ISO 27001 -standardi pitää sisällään?

ISO 27001 -standardin parhaita käytäntöjä on kahdenlaisia:

  • Ylimmän johdon vaatimukset: Näillä varmistetaan, että tietoturvasta vastaava järjestelmä on määritelty selkeästi ja että sitä hallinnoidaan asianmukaisesti.
  • Tietoturvakontrollit: Näillä varmistetaan, että huolehdit hyvin tietojen luottamuksellisuudesta, eheydestä ja saatavuudesta. Valvontakeinot kattavat esimerkiksi ...

ISO 27001:n ylimmän johdon vaatimukset

ISO 27001 -standardin nykyisessä versiossa (2022) esitetään 22 ylimmän johdon vaatimusta.

Jokaisella vaatimuksella on selkeä nimi, tunniste (numero) ja kuvaus vaatimuksesta, joka on täytettävä, jotta se on standardin mukainen.

Tietoturvan hallintavaatimukset kattavat muun muassa seuraavia aiheita:

  • 4. Organisaation konteksti (eli organisaation ymmärtäminen): Tunnistetaan organisaation ympäristö, keskeiset tekijät ja sidosryhmät, jotka voivat vaikuttaa tietoturvaan.
  • 5. Johtaminen: Ylimmän johdon on aktiivisesti tuettava ISMS:ää asettamalla selkeät tavoitteet, jakamalla vastuualueet ja edistämällä kulttuuria, jossa tietoturva asetetaan etusijalle.
  • 6. Suunnittelu (eli riskienhallinta): Kehitetään jäsennelty lähestymistapa tietoturvariskien tunnistamiseksi, arvioimiseksi ja käsittelemiseksi sekä suunniteltujen toimien toteuttamiseksi valittujen riskien lieventämiseksi.
  • 7. Tuki (eli resurssit ja dokumentointi): Varmistetaan, että organisaatiolla on resurssit, taidot ja tietämys ISMS:n onnistuneeseen toteuttamiseen. Ylläpidä hyvin organisoitua dokumentaatiota ja viesti selkeästi tietoturvakäytännöistä.
  • 8. Toiminta (eli ISMS:n toteuttaminen): Toteuta ISMS:ää ottamalla käyttöön valvontatoimia ja suorittamalla keskeisiä prosesseja (esim. riskienhallinta ja jatkuva parantaminen). Varmista, että ISMS:ää käytetään luotettavasti ja johdonmukaisesti päivittäisessä toiminnassa.
  • 9. Suorituskyvyn arviointi (eli seuranta ja tarkastelu): Arvioidaan säännöllisesti ISMS:n toimivuutta auditointien, tarkastusten ja mittareiden avulla. Käytä näitä tietoja ISMS:n tehokkuuden arviointiin.
  • 10. Jatkuva parantaminen: Parannetaan jatkuvasti ISMS:ää puuttumalla poikkeamiin, toteuttamalla korjaavia toimia ja parantamalla prosesseja, jotta varmistetaan, että ISMS pysyy tehokkaana ja ajan tasalla.

ISO 27001 tietoturvan kontrollit

ISO 27001:n nykyisessä versiossa (2022) on 93 tietoturvan kontrollia.

Jokaisella valvonnalla on selkeä nimi, tunniste (numero), pakollinen osa, joka on toteutettava, ja ohjeet täytäntöönpanon koventamiseksi entisestään. Tietoturvakontrollien ohjeistukset löytyvät ISO 27002 -dokumentista.

ISO 27001 -standardin nykyisessä versiossa valvontatoimet on luokiteltu neljään lukuun, jotka ovat organisaation, henkilöstön, fyysiset ja teknologiset valvontatoimet. Tämä jaottelu korostaa hyvin sitä, että vain yksi osa tietoturvasta on teknistä. Monissa kontrolleissa prosessit, henkilöstön tietoisuus tai fyysinen suojaus korostuvat enemmän kuin teknologiset suojatoimet.

ISO 27001 -standardin tietoturvakontrollit kattavat tietoturvan kaikki osa-alueet, esimerkiksi:

  • Omaisuudenhallinta: Keskeisten tietovarojen (esim. tietojärjestelmät, data, henkilöt, fyysiset toimipaikat, laitteet) tunnistaminen, luokittelu, omistajuuden määrittely ja siten järjestelmällinen hallinta ja suojaaminen.
  • Identiteetin ja käyttöoikeuksien hallinta: Määritellään prosessit, joilla varmistetaan, että vain valtuutetuilla henkilöillä on pääsy tietovarantoihin, esim. roolipohjaisen käyttöoikeuksien hallinnan, käyttöoikeuksien tarkistusten, tunnistustietojen suojaamisen ja tehokkaiden kirjautumisproseduurien avulla.
  • Toimittajasuhteet: Tunnistetaan tärkeät toimittajat (esim. tietojärjestelmien tarjoajat ja tietojen käsittelijät) ja hallinnoidaan heidän kauttaan tietoihin kohdistuvia riskejä esim. luokittelemalla toimittajat ja varmistamalla, että heillä on riittävä varmuus hyvästä tietoturvatasosta.
  • Jatkuvuuden hallinta: Varmistetaan, että kriittiset toiminnot ja tiedot pysyvät käytettävissä häiriöiden aikana vahvoilla varmuuskopiointiprosesseilla, luomalla ja harjoittamalla jatkuvuussuunnitelmia ja määrittelemällä jatkuvuusvaatimukset eri asseteille tai prosesseille.
  • Henkilöstön turvallisuus: Varmistetaan, että työntekijät ymmärtävät tietoturvavastuunsa, noudattavat yksilöllisiä ohjeistuksiaan, heidät tarkastetaan ennen työhön pääsyä ja he noudattavat koko toimikautensa ajan myös muita tietoturvakäytäntöjä.
  • Fyysinen turvallisuus: Suojaa tilat, laitteet ja tiedot luvattomalta fyysiseltä käytöltä, vahingoittumiselta tai häirinnältä ja varmistaa turvallisen fyysisen ympäristön.
  • Järjestelmä- ja verkkoturvallisuus: Suojaa IT-infrastruktuuria hallitsemalla haavoittuvuuksia, valvomalla pääsyä ja varmistamalla turvalliset konfiguraatiot luvattoman pääsyn tai häiriöiden estämiseksi.
  • Uhkien ja haavoittuvuuksien hallinta: Käytetään prosesseja, joilla seurataan kehittyvää uhkakuvaa ja tunnistetaan tekniset haavoittuvuudet tietovarantoihin kohdistuvien riskien vähentämiseksi.
  • Häiriötilanteiden hallinta: Varmista, että sinulla on valmiudet tunnistaa ja tutkia mahdollisia tietoturvahäiriöitä, ja kun niitä on havaittu, varmista järjestelmällinen reagointi, käsittely ja analysointi, jotta vaikutukset voidaan minimoida ja niiden uusiutuminen estää.
  • Sovellusten turvallisuus: Varmistetaan, että kehitetyt ohjelmistot suunnitellaan, kehitetään, testataan ja ylläpidetään käyttäen vankkoja valvontakeinoja tietojen suojaamiseksi ja haavoittuvuuksien ehkäisemiseksi koko niiden elinkaaren ajan.

ISO 27001 -standardin valvontamekanismeissa on se hyvä puoli, että kaikki tietoturvanäkökulmat ovat vahvasti mukana.

Suosittuja kysymyksiä ISO 27001 standardista

Mitä eroa on ISO 27001- ja ISO 27002 -dokumenteilla?

ISO 27001 -dokumentissa esitetään prosessit ja käytännöt, joita organisaation on noudatettava tehokkaan tietoturvan saavuttamiseksi ja ylläpitämiseksi. Kaikkia tämän asiakirjan vaatimuksia on noudatettava, jos halutaan sertifioida.

Liitteessä A ISO 27001 viittaa ISO 27002 -standardissa yksityiskohtaisemmin selostettuihin kontrolleihin.

ISO 27002 -dokumentissa annetaan ohjeita ja parhaita käytäntöjä ISO 27001:n liitteessä A lueteltujen kontrollien toteuttamiseksi. Yleensä sinun odotetaan toteuttavan useimmat kontrollit, mutta joitakin voidaan pitää "ei sovellettavina", jos esität vahvat perustelut.

ISO 27002 -asiakirja tarjoaa täytäntöönpano-ohjeita käsittelevissä osioissaan suosituksia siitä, miten kontrolleja voidaan mukauttaa ja sovittaa kunkin organisaation erityistarpeiden mukaan. Näitä osia ei ole pakko toteuttaa, mutta ne tarjoavat todella hyödyllisiä täsmennyksiä.

Yhteenvetona voidaan siis todeta, että molempia dokumentteja tulee hyödyntää yhdessä. Yksityiskohtaisemmat tietoturvakontrolliohjeet ovat asiakirjassa 27002, ja tietoturvallisuuden hallinnan vaatimukset selitetään asiakirjassa 27001.

Mikä on ISMS (information security management system)?

ISMS eli tietoturvan hallintajärjestelmä tarkoittaa keskitettyä järjestelmää, johon olet dokumentoinut tarvittavat tiedot, joissa selitetään, miten noudatat standardien vaatimuksia ja toteutat kontrollit.

Standardi ei aseta ISMS:lle mitään muotovaatimuksia - se voi olla yksittäinen työkalu, kuten Digiturvamalli (Cyberday), tai se voi olla kasa sanoja, exceleitä, powerpointteja ja seinäkirjoituksia. Auditoijalle on kuitenkin toimitettava ISMS-järjestelmän kuvausasiakirja, jossa selitetään ISMS-järjestelmän rakenne ja sisältö.

ISMS:n tehtävänä on varmistaa, että kaikki tietoturvaan liittyvät toimenpiteet on selkeästi dokumentoitu, osoitettu ja valvottu. Se tarjoaa jäsennellyn lähestymistavan tietoturvan hallintaan ja yhdistää kaikki sen osat toisiinsa.

Mihin ISO viittaa?

ISO tarkoittaa International Organization of Standardization (kansainvälinen standardisoimisjärjestö). Jos haluat tutustua ISO 27001- ja ISO 27002 -asiakirjojen varsinaiseen sisältöön, sinun on ostettava ne esimerkiksi ISO.org-sivuston kautta.

ISO 27001 -standardiin saatetaan viitata myös nimellä ISO/IEC 27001:2022. IEC-osa viittaa yhteiseen työhön International Electrotechnical Commissionin kanssa. Loppuosa (:2022 tässä tapauksessa) viittaa standardin uusimpaan versioon, joka julkaistiin vuonna 2022.

Miten voit hyödyntää ISO 27001 -standardia?

ISO 27001 -standardin hyödyntämiseen on monia erilaisia lähestymistapoja. Esittelen tässä muutamia niistä, joita olemme nähneet asiakkaidemme keskuudessa:

  • Käytä sitä vertailukohtana: Poimi hyvät käytännöt omiin tietoturvatoimenpiteisiisi ja etsi hyviä ohjeistuksia, joiden avulla voit kehittää toimintaa askel askeleelta.
  • Löydä tietoturvatasosi: Vertaile nykyisiä toimenpiteitäsi ISO 27001 -standardiin, jotta ymmärrät, miten hyvin vastaat tällä hetkellä sen parhaita käytäntöjä - ja voit asettaa tavoitteita tulevaisuutta varten.
  • Tavoitteena vaatimustenmukaisuus: Aseta sisäiseksi tavoitteeksesi koko standardin noudattaminen, jotta voit raportoida ISO 27001 -standardin noudattamisesta esimerkiksi asiakkaille tai viranomaisille.
  • Tavoitteena sertifiointi: Kun haluat mahdollisimman vahvan todisteen jatkuvasta vaatimustenmukaisuudesta ja haluat varmistaa, että parannat jatkuvasti ISMS-järjestelmääsi, teet yhteistyötä valtuutetun auditoijan kanssa ja teet sertifiointiauditoinnin.

Kukin näistä menetelmistä luo vahvemman pohjan seuraavaan tapaan siirtymiselle, joten ne tukevat toisiaan hyvin.

Kuka voi hyödyntää ISO 27001 -standardia?

ISO 27001 -standardia voi hyödyntää mikä tahansa organisaatio koosta, toimialasta tai tyypistä riippumatta. Kunhan haluat parantaa tietoturvaa ja hyödyntää parhaita käytäntöjä, olet sen soveltamisalan piirissä.

Organisaatiomme on ollut ISO 27001 -sertifioitu noin 6 vuotta. 6 vuotta sitten olimme vielä pieni yritys, ja olemme sittemmin kasvaneet melko paljon. Lisäksi olemme auttaneet satoja organisaatioita kaikenlaisilta toimialoilta parantamaan ISO 27001 -vaatimustenmukaisuuttaan Digiturvamalli-sovelluksen avulla. Olemme siis nähneet sen toimivan käytännössä kaikkien niiden kohdalla, jotka ovat kiinnostuneita tietoturvansa parantamisesta.

Eri organisaatiot voivat hyötyä standardista hieman eri tavoin. Pk-yrityksille ISO 27001 -sertifiointi voi olla suurelta osin tapa luoda luottamusta ja uskottavuutta. Suurissa organisaatioissa se voi tarjota rakenteen tietoturvariskien hallintaan useiden osastojen, maakohtaisten toimipisteiden ja monimutkaisten toimitusketjujen välillä. Säännellyillä teollisuudenaloilla se voi auttaa täyttämään asiakkaiden ja lainsäädännön vaatimustenmukaisuutta koskevat vaatimukset.

Kirjoittanut
Aleksi Pulkkanen
24.1.2025
@
apulkkanen
LinkedIn

Sisältö

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

Mikä on ISO 27001? Johdanto maailmanlaajuiseen tietoturvan kultaiseen standardiin.

Olitpa sitten vasta aloittanut ISO 27001 -standardin omaksumisen tai haluat parantaa nykyisiä käytäntöjäsi, tässä postauksessa käydään läpi sen olennaiset piirteet, miksi sillä on merkitystä ja miten se voi parantaa lähestymistä tietoturvaan.
24.1.2025

Salasanojen turvallisuus: Vältä 5 yleistä virhettä

Salasanojen turvallisuutta ei pidä aliarvioida nykyisten uhkien edessä. Yksi järkevä vaihtoehto turvalliseen salasanojen hallintaan on käyttää tarkoitukseen suunniteltuja ohjelmistoja.
16.1.2025

Vaatimuskehikkokatsaus, CISO:n rooli & ja toimittaja-arvioinnit: Digiturvamallin tuote- ja uutiskooste 12/2024 🛡️

Joulukuun tuote-ja uutiskooste esittelee Toimittajien tietoturva-arvioinnit sekä uusia konsernitason ominaisuuksia Lisäksi aiheina on katsaus vuden 2025 tärkeisiin vaatimuskehikkoihin ja CISO:n sekä henkilöstön roolit organisaation tietoturvassa.
20.12.2024

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Tehtävien hallinta
Tuotteen tietoturva
Jatkuva parantaminen
ISO 27001
NIS2
Näytä kaikki
Webinarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
Tiedonhallintamallin perusteet
Oman ISMS:n jatkuva parantaminen
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
Tiedonhallintamalli ja tietoturvatoimenpiteet
ISO 27001 ja henkilöstön osaaminen
Näytä kaikki
Ohjeet
Raportointi
Tehtävien hallinta
Käyttäjähallinta
Dokumentaatio
Muut ominaisuudet
Näytä kaikki
Blogit
Mikä on ISO 27001? Johdanto maailmanlaajuiseen tietoturvan kultaiseen standardiin.
Salasanojen turvallisuus: Vältä 5 yleistä virhettä
Vaatimuskehikkokatsaus, CISO:n rooli & ja toimittaja-arvioinnit: Digiturvamallin tuote- ja uutiskooste 12/2024 🛡️
TISAX: autoteollisuuden standardi tutuksi
Tunnistetaan kasvu: Cyberday muuttaa!
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.