Tietoturvallisuuden hallintajärjestelmä – Mitä ISO 27000 standardi pitää sisällään?
ISO 27000 tietoturvallisuuden hallintajärjestelmästandardisarjaa voi hyödyntää mikä hyvänsä organisaatio, joka katsoo tietoturvallisuuden hallintajärjestelmän olevan itselleen tärkeä asia toteuttaa. Standardissa määritellään tietoturvallisuuteen liittyviä vaatimuksia, jotka koskevat tietoturvallisuuden hallintajärjestelmän luomista ja ylläpitämistä organisaatiossa. Hallintajärjestelmä palvelee jokaista organisaatiota yksilöllisesti, siitä syystä kahta täysin samanlaista hallintajärjestelmää tuskin tulee eteen.
Määritelmä
Hallintajärjestelmä määritellään ISO 27000 strandardissa joukkona ”toisiinsa liittyviä tai vaikuttavia organisaation osia, joilla määritellään tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan”.
Hallintajärjestelmästandardisarjaan liittyy 17 osaa (27000 – 27017). Osissa kuvataan
- - Yleiskuvausta ja sanastoa (27000)
- - Standardin vaatimukset (27001)
- - Tietoturvallisuuden hallintakeinojen menettelyohjeet, turvallisuustekniikoiden ohjeistusta, riskienhallintaprosessia sekä mittausta, analysointia ja arviointia (27002, 27003, 27004, 27005)
- - Auditointiin ja sertifiointiin liittyviä menettelyitä sekä soveltamista (27006 – 27017)
Perusajatus
Perusajatuksena on organisaatiolle luotava tietoturvallisuuden hallintajärjestelmä, jota ylläpidetään sekä kehitetään jatkuvasti. Hallintajärjestelmään liittyvät johtajuus ja johdon sitoutuminen, tietoturvapolitiikan laatiminen, vastuiden ja valtuuksien määrittely, suunnitelmallinen tietoturvallisuusriskien arviointi, -käsittely sekä vaadittavien toimenpiteiden suunnittelu. Hallintajärjestelmässä otetaan niin ikään kantaa organisaation tietoturvallisuuden resursseihin, pätevyyksiin, ohjaukseen ja viestintään sekä dokumentaation hallintaan.
Hallintatavoitteet ja -keinot
- - Tietoturvapolitiikat
- - Tietoturvallisuuden organisointi
- - Henkilöstöturvallisuus
- - Suojattavan omaisuuden hallinta
- - Pääsynhallinta
- - Salaus
- - Fyysinen turvallisuus ja ympäristön turvallisuus
- - Käyttöturvallisuus
- - Viestintäturvallisuus
- - Järjestelmien hankkiminen, kehittäminen ja ylläpito
- - Suhteet toimittajiin
- - Tietoturvahäiriöiden hallinta
- - Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökulmia
- - Vaatimustenmukaisuus
- - Toteuttaminen
Perusperiaatteita
Toiminnan tulee olla suunniteltua ja ohjattua. Tietoturvariskien arvioinnissa, käsittelyssä sekä toiminnan arvioinnissa korostuvat syklisyys (PDCA) ja jatkuva parantaminen. Standardia tavoiteltaessa, tulee toteutusvaiheessa ottaa huomioon riittävät resurssit menettelyjen kuvaamista, toteuttamista sekä mahdollisia muutostarpeita varten.
Suositeltavaa on panostaa alan ammattilaiseen, kouluttamalla omaa henkilöstöä, palkkaamalla tietoturvallisuuden asiantuntijan tai hankkimalla ulkoisen asiantuntijakumppanin. Menettelyn pelkkä suunnittelu ja kuvaaminen eivät riitä, vaan on löydyttävä riittävästi dokumentaatiota siitä, että suunniteltua prosessia myös toteutetaan. Ulkoistetut prosessit kuvataan niin ikään ja niiden toteutumista valvotaan.
Tietoturvariskien arviointi sekä käsittely suoritetaan ennalta päätetyin aikavälein sekä esimerkiksi aina silloin, kun organisaatiota kohtaa muutos (organisaatiomuutos, omistajuussuhteiden muutos, toimintakulttuurin muutos, muutos järjestelmissä tai hankinnoissa).
Suorituskyvyn mittaaminen
Organisaation on pystyttävä arvioimaan tietoturvallisuuden hallintajärjestelmän vaikuttavuutta. Mittaamisen kulmakivinä on arvioida se mitä täytyy mitata ja millä päästään valideihin mittaustuloksiin (toistettava sekä vertailukelpoinen tulos). Näiden lisäksi määritellään, milloin mittaus toteutetaan ja kuka sen tekee sekä milloin ja kenen toimesta arvioidaan mittauksen tuloksia. Standardi määrittelee myös sisäisen auditoinnin, jonka organisaatio toteuttaa ja jossa arvioidaan onko tietoturvallisuuden hallintajärjestelmä sekä organisaation omien vaatimusten että standardin mukainen ja ylläpidetäänkö tietoturvallisuuden hallintajärjestelmää vaikuttavasti.
Johdon katselmoinnit
Organisaatioiden muutos- tai strategiatyöskentelyssä yleisesti, johdon sitoutuminen käsiteltävään asiaan on avainasemassa muutoksen tai toimenpiteen onnistumiseksi. Tietoturvallisuuden hallintajärjestelmän standardisointi ei ole poikkeus. Standardissa määritellään johdon katselmoinnin osalta niin, että ylimmän johdon on jatkuvasti parantavalla otteella tarkasteltava tietoturvallisuuden hallintajärjestelmän soveltuvuutta sekä ajantasaisuutta.
Hallintajärjestelmään tai prosesseihin kohdistuneiden toimenpiteiden eteneminen tarkastetaan, kehitysehdotukset otetaan huomioon ja analysoidaan ja riskien analysointi tarkastellaan. Johdon katselmoinnista säilytetään asianmukainen dokumentaatio.