Tietoturvallisuuden hallintajärjestelmä – Mitä ISO 27000 standardi pitää sisällään?

ISO 27000 tietoturvallisuuden hallintajärjestelmästandardisarjaa voi hyödyntää mikä hyvänsä organisaatio, joka katsoo tietoturvallisuuden hallintajärjestelmän olevan itselleen tärkeä asia toteuttaa. Standardissa määritellään tietoturvallisuuteen liittyviä vaatimuksia, jotka koskevat tietoturvallisuuden hallintajärjestelmän luomista ja ylläpitämistä organisaatiossa. Hallintajärjestelmä palvelee jokaista organisaatiota yksilöllisesti, siitä syystä kahta täysin samanlaista hallintajärjestelmää tuskin tulee eteen.

HKL lyhyesti: Metro- ja raitiovaunuliikenne ovat pääkaupunkiseudun ympäristöystävällisimmät liikennemuodot, sillä ne kulkevat vesi- ja tuulivoimalla tuotetulla sähköllä. Olemme lisäksi hankkineet uutta, energiaa säästävää kalustoa niin metroliikenteeseen kuin raitioteille. Kaupunkipyöräily on myös päästötön ja kestävä liikkumistapa, joka täydentää joukkoliikennettä.

Sähköinen kulunvalvonta

Mitä tarkoitetaan sähköisellä kulunvalvonnalla? Käsitteenä kulunvalvonta sekoittuu helposti moneen asiaan ja onkin tärkeää varmistaa, että keskustelun eri osapuolet puhuvat samasta asiasta.

Turvatekniikan järjestelmät, laitteet ja palvelut - pähkinänkuoressa

Turvatekniikan järjestelmillä ja laitteilla tarkoitetaan yleisesti niitä sähköteknisiä järjestelmiä, joiden avulla turvallisuuden eri osa-alueiden riskejä pyritään ehkäisemään. Yleisesti näillä järjestelmillä tarkoitetaan niitä laitteita ja järjestelmiä, joilla ehkäistään joko fyysiseen ympäristöön (rakennukset, tilat) tai ihmisiin liittyviä riskejä.

Mikä on VAHTI-ohje ja ketä se koskee?

VAHTI-Ohjeisto (vahdin omat sivut tässä)  eli "Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) ohjesivusto" on laaja kokoelma ohjeita jotka liittyvät digitaalisen turvallisuuden varmistamiseen ja kehittämiseen julkishallinnossa.

Digitaalinen turvallisuus on tässä käsitettävänä sen laajassa kontekstissa niin, että se sisältää myös digitaalisen aineiston fyysisen elementin, eli esimerkiksi laitteet ja välineet joissa tieto on, tilat joissa laitteet sijaitsevat sekä henkilöt jotka niitä käyttävät tai joilla on pääsy niiden luo. 

"Valtiovarainministeriö on asettanut VAHTIn (julkisen hallinnon digitaalisen turvallisuuden johtoryhmä) toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä."

Mitä tarkoitetaan turvallisuussuunnitelmalla?

Puhuttaessa turvallisuussuunnitelmasta tarkoitetaan yleensä asiakirjaa, jossa tuodaan esille ne toimenpiteet joilla riskienarvioinnissa tunnistettuja riskejä hallitaan. 

Turvallisuussuunnitelma tehdään joko lakisääteisistä syistä johtuen tai yrityksen, organisaation tai toimijan omista sisäsyntyisistä syistä johtuen. Tyypillisiä turvallisuussuunnitelma ovat esimerkiksi:

- Pelastussuunnitelma (= lakisääteinen kiinteistöillä ja tarkoittaa usein samaa asiaa)
- Koulun, päiväkodin tai oppilaitoksen turvallisuussuunnitelma
- Tapahtumaturvallisuuden turvallisuussuunnitelma (yleisötapahtumat)
- Työmaan turvallisuussuunnitelma
- Työpaikan turvallisuussuunnitelma

Mitä on rakenteellinen murtosuojaus?

Rakenteellisella murtosuojauksella tarkoitetaan niitä fyysisiä elementtejä ja elementtien ominaisuuksia, joiilla estetään fyysinen murtautuminen suojauksen kohteena olevaan rakennukseen tai tilaan. Kyse on esimerkiksi ovista, ikkunoista, ikkunaluukuista jne.

Rakenteellisen murtosuojauksen tavoitteena on estää tai hidastaa murtautumista, kun taas teknisen murtosuojauksen tavoitteena on havaita, ilmaista ja hälyttää murron yhteydessä. Rakenteellinen murtosuojaus on kriittinen osa murtosuojelua. Vaikka tekniset järjestelmät olisivat huippuluokkaa, voidaan pienillä laiminlyönneillä rakenteellisen murtosuojelun kohdalla vesittää parhaimmankin teknisen järjestelmän toiminta. 

Yksinkertaistettuna kyse on siitä, että tavanomaisen oven, ikkunan tai seinän murtamiseen voidaan laskea kuluttavan tietty määrä aikaa*, kun määritellää ne työkalut* jota murtautujalla ajatellaan olevan käytettävissä murron tekemiseen. 

Mitä on turvasuunnittelu ja miksi sitä tehdään?

Turvasuunnittelun voidaan katsoa olevan se osa riskienhallintatoimintaa, jossa yritys tai yhteisö tekee käytännön tason suunnitelmia tunnistettujen riskien ja niiden haittavaikutusten pienentämiseksi. Turvasuunnittelu tuottaa siis nimensä mukaisesti käytännön suunnitelmia, ohjeita ja työkaluja, joilla turvallisuustyötä toteutetaan esimerkiksi kehittämisprojektien ja hankkeiden kautta. Jotta turvallisuuden kehittämisprojekti voidaan toteuttaa, on jonkun suunniteltava sen sisältö.

Tyypillisiä ja helposti tunnistettavia turvasuunnittelun tuottamia asiakirjoja ovat esimerkiksi:

- Turvallisuusohjeet
- Pelastussuunnitelmat
- Turvajärjestelmiin liittyvät ohjeet
- Tekniset piirustukset tai suunnitelmat
- Turvallisuuspalveluihin liittyvät ohjeet 
- Arvioinnit ja auditointiraportit

Turvasuunnittelun tavoitteena on kyetä tuottamaan sellaisia suunnitelmia ja asiakirjoja, joita toteuttamalla ja joita noudattamalla saavutetaan kulloinkin määritelty siedettävä jäännösriskin taso. On tärkeää tiedostaa, että jäännösriskejä on aina olemassa hyvästä suunnittelusta huolimatta. 

Kaikki yritykset ja organisaatiot toteuttavat riskien arviointia, turvasuunnittelua ja käytännön toimien toteuttamista jollakin tasolla. Merkittävimmät tekijät jotka vaikuttavat turvasuunnittelutoiminnan laajuuteen ja tarpeeseen ovat yrityksen toimiala ja sen toiminnan koko. Mitä reguloidummalla ja riskialttiimalla toimialalla ja mitä laajempaa yrityksen toiminta on, sitä enemmän se toteuttaa niin riskienhallintaa kuin turvasuunnittelua.

Seclion Oy:n kasvu jatkuu ja toivotimme tällä viikolla jälleen uuden turvallisuusasiantuntijan osaksi kasvavaa joukkoamme, kun Juha Laamanen liittyi tiimiimme. Juha tuo mukanaan laaja-alaista osaamista turvallisuuspalveluiden ja turvatekniikan suunnittelusta, johtamisesta ja hankinnoista. Juhan mukaan tulo yritykseemme kasvattaa edelleen kyvykkyyttämme tuottaa asiakkaillemme ensiluokkaista palvelua. 

Niinhän siinä kävi, että Seclion Oy:n toinen perustajaosakas Niko Ryhänen valittiin Finnish Security Awards - tilaisuudessa vuoden turvallisuuskonsultiksi AD 2018.