Hanki sertifiointi 5 kertaa nopeammin ISMS.onlinen avulla
1. laajuus
ISO 27001 -standardi kattaa useita tietoturvan hallinnan näkökohtia, mukaan lukien ISMS:n perustamisen, toteutuksen, ylläpidon ja jatkuvan parantamisen organisaation puitteissa. Standardi koskee kaikentyyppisiä, -kokoisia ja -luonteisia organisaatioita.
ISO 27001 -standardin vaatimukset on suunniteltu varmistamaan, että organisaatioilla on asianmukaiset toimenpiteet tietoomaisuutensa suojaamiseksi. Nämä vaatimukset kattavat monenlaisia alueita.
2. Normatiiviset viitteet
ISO 27001 itsessään perustuu riskienhallintaan ja tarjoaa puitteet organisaatioille perustaa, toteuttaa, ylläpitää ja jatkuvasti parantaa tietoturvan hallintajärjestelmää (ISMS). ISO 27001:n normatiiviset viittaukset sisältävät useita muita ISO/IEC-standardeja, jotka antavat ohjeita tietoturvan hallinnan eri näkökohdista. Nämä sisältävät:
- ISO/IEC 27000: Tämä standardi on standardin ISO 27001 viite ja se toimii yleiskatsauksena ja sanastona tietoturvan hallintajärjestelmille. Siinä määritellään keskeiset termit ja käsitteet, joita käytetään koko ISO 27000 -asiakirjaperheessä, ja hahmotellaan kunkin perheenjäsenen laajuus ja tavoitteet.
- ISO/IEC 27002: Tämä standardi, joka tunnetaan myös nimellä Code of Practice for Information Security Management, antaa ohjeita suojaustoimintojen valinnassa ja toteuttamisessa. Se tarjoaa kattavan joukon parhaita käytäntöjä organisaatioille tietoresurssien suojaamiseen ja tietoturvariskien tehokkaaseen hallintaan.
- ISO/IEC 27005: Tämä standardi keskittyy riskienhallintaan ja antaa ohjeita riskinarviointiprosessista ja riskien käsittelystä. Se auttaa organisaatioita tunnistamaan ja arvioimaan tietoturvariskit ja kehittämään asianmukaisia riskienhallintasuunnitelmia näiden riskien vähentämiseksi.
- ISO/IEC 27006: Tämä standardi antaa ohjeita tietoturvan hallintajärjestelmien sertifiointiprosessista. Siinä esitetään vaatimukset sertifiointielimille ja tilintarkastajille arvioida ja sertifioida organisaatioiden noudattamista ISO 27001 -standardin kanssa.
- ISO/IEC 27007: Nämä ohjeet on suunniteltu erityisesti tietoturvan hallintajärjestelmien auditointiin. Ne antavat ohjausta auditointiprosessiin, mukaan lukien auditointien suunnitteluun, suorittamiseen ja raportointiin, jotta varmistetaan, että organisaatioiden ISMS otetaan tehokkaasti käyttöön ja ylläpidetään.
- ISO/IEC 27008: Nämä ohjeet keskittyvät tietoturvan hallintaan. Ne antavat ohjausta organisaation tietoturvan johtamisjärjestelmän luomiseen, toteuttamiseen, ylläpitoon ja jatkuvaan parantamiseen.
3. Termit ja määritelmät
Käsitteet ja määritelmät -osion tarkoituksena on tarjota yhteinen ymmärrys ja kieli kaikille standardin toteuttamiseen osallistuville osapuolille.
Hanki opas
ISO 27001 menestys
Kaikki mitä sinun tulee tietää saavuttaaksesi ISO 27001 ensimmäistä kertaa
Hanki ilmainen opas4. Organisaation konteksti
4.1 – Organisaation ja sen kontekstin ymmärtäminen
ISO 27001 Vaatimus 4.1 pyrkii varmistamaan, että organisaatioilla on kattava sisäinen ja ulkoinen ymmärrys, jotta ne voivat hallita tehokkaasti tietoturvariskejään.
Tämä tarkoittaa niiden tekijöiden tunnistamista ja arviointia, jotka voivat vaikuttaa organisaation kykyyn saavuttaa tietoturvatavoitteensa.
Ymmärtämällä sisäisen ja ulkoisen kontekstinsa organisaatiot voivat tunnistaa ja arvioida tietoturvan hallintajärjestelmäänsä liittyviä riskejä.
Näin he voivat kehittää räätälöidyn ja tehokkaan järjestelmän, joka pienentää tunnistettuja riskejä ja varmistaa sovellettavien lakien ja määräysten noudattamisen.
Lue lisää 4.14.2 – Asianomaisten osapuolten tarpeiden ja odotusten ymmärtäminen
ISO 27001:n vaatimus 4.2 on, että organisaatiot tunnistavat ja ymmärtävät sidosryhmiensä tarpeet ja odotukset. Tämä sisältää asiakkaat, toimittajat, työntekijät, osakkeenomistajat ja muut kiinnostuneet osapuolet.
Tarkoituksena on varmistaa, että organisaation tietoturvan hallintajärjestelmä (ISMS) täyttää näiden osapuolten vaatimukset.
Tämän vaatimuksen täyttämiseksi organisaatioiden on ensin tunnistettava sidosryhmänsä ja ymmärrettävä heidän erityistarpeensa ja odotuksensa.
Tämä edellyttää oikeudellisten ja säännösten vaatimusten, sopimusvelvoitteiden ja muiden ulkoisten ja sisäisten kysymysten huomioon ottamista, jotka liittyvät organisaation tarkoitukseen ja vaikuttavat sen kykyyn saavuttaa ISMS:n aiottu tulos.
Lue lisää 4.24.3 – Tietoturvan hallintajärjestelmän laajuuden määrittäminen
ISO 27001 Vaatimus 4.3 määrittelee organisaation tietoturvan hallintajärjestelmän (ISMS) rajat ja laajuuden.
Tämä sisältää ISMS:n piiriin kuuluvien tietoresurssien, prosessien, menettelyjen, ihmisten, järjestelmien ja verkkojen tunnistamisen ja dokumentoinnin.
Laajuuden tulee kattaa kaikki organisaation tietovarat, sekä fyysiset että digitaaliset, sekä niiden hallintaan käytetyt prosessit ja menettelyt.
Lue lisää 4.34.4 – Tietoturvan hallintajärjestelmä
ISO 27001:n vaatimus 4.4 hahmottelee tarvittavat elementit tietoturvan hallintajärjestelmän (ISMS) perustamiseksi, toteuttamiseksi, ylläpitämiseksi ja jatkuvaksi parantamiseksi.
ISMS on suunniteltu varmistamaan tietojen ja tietojen turvallisuus sekä suojelemaan yksilöiden oikeuksia ja vapauksia.
ISO 27001 tarjoaa kattavan joukon vaatimuksia tehokkaan ISMS:n luomiseksi ja ylläpitämiseksi, joka suojaa tietojen luottamuksellisuutta, eheyttä ja saatavuutta.
Lue lisää 4.45. Johtaminen
5.1 – Johtajuus ja sitoutuminen
ISO 27001 vaatimus 5.1 selittää, että organisaation ylimmän johdon tulee osoittaa johtajuutta ja sitoutumista tietoturvan hallintajärjestelmään (ISMS). Tämä sisältää useita keskeisiä vastuita.
Johdon on seurattava ja arvioitava ISMS:ää sen tehokkuuden varmistamiseksi. Tämä edellyttää sisäisten auditointien suorittamista ja tarvittavien korjaavien toimenpiteiden toteuttamista havaittujen heikkouksien tai poikkeamien korjaamiseksi.
Lue lisää 5.15.2 – Tietoturvapolitiikka
ISO 27001 -vaatimus 5.2 edellyttää, että organisaatioilla on ylimmän johdon hyväksymä tietoturvapolitiikka.
Tämä politiikka toimii ohjenuorana organisaation tietoturvan hallinnassa ja siinä tulee huomioida erilaisia tekijöitä, kuten liiketoimintastrategia, määräykset, lainsäädäntö sekä nykyiset ja ennakoidut tietoturvariskit ja -uhat.
Sen tulisi kattaa esimerkiksi tiedonsiirto, käyttäjien päätelaitteiden turvallinen konfigurointi ja käsittely, verkkoturvallisuus, tietoturvahäiriöiden hallinta, varmuuskopiointi, salaus ja avainten hallinta, tietojen luokittelu ja käsittely, teknisten haavoittuvuuksien hallinta ja suojattu kehitys.
Lue lisää 5.25.3 – Organisaatioroolit, vastuut ja valtuudet
ISO 27001 -standardin vaatimus 5.3 määrittelee organisaatioille asettamat vaatimukset tietoturvaan liittyvien roolien, vastuiden ja viranomaisten määrittelemisestä ja jakamisesta.
Tämä on ratkaisevan tärkeää sen varmistamiseksi, että kaikki organisaation yksilöt ja ryhmät ovat tietoisia tietoturvaan liittyvistä erityisrooleistaan ja -vastuistaan.
Dokumentissa korostetaan tehtävien eriyttämisen tarvetta, mikä tarkoittaa, että eri henkilöiden tai ryhmien tulee olla vastuussa tietoturvan eri puolista.
Tämä auttaa estämään yksittäisen henkilön liiallisen hallinnan organisaation tietoturvasta. Lisäksi asiakirjassa vaaditaan organisaatioita varmistamaan, että henkilöstö on asianmukaisesti koulutettu ja heillä on tehtävänsä ja vastuunsa hoitamiseen tarvittavat taidot.
Lue lisää 5.36. Suunnittelu
6.1 – Toimet riskeihin ja mahdollisuuksiin puuttumiseksi
ISO 27001 -vaatimus 6.1 keskittyy varmistamaan, että organisaatiot tunnistavat, arvioivat, käsittelevät ja valvovat tietoturvariskejä ja -mahdollisuuksia.
Tämä edellyttää systemaattista lähestymistapaa riskien hallintaan ja asianmukaisiin toimiin niiden vähentämiseksi.
Tämä vaatimus korostaa ennakoivan ja kokonaisvaltaisen lähestymistavan merkitystä tietoturvariskien hallinnassa henkilötietojen suojaamiseksi sekä tietojärjestelmien eheyden ja käytettävyyden varmistamiseksi.
Lue lisää 6.16.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu
ISO 27001 -vaatimus 6.2 edellyttää, että organisaatiot asettavat tietoturvatavoitteet ja laativat suunnitelman niiden saavuttamiseksi.
Näiden tavoitteiden tulee olla tarkkoja, mitattavissa, saavutettavissa, relevantteja ja aikasidottuja (SMART), ja niiden tulee olla linjassa organisaation yleisten liiketoimintatavoitteiden kanssa. Suunnitelmassa tulee hahmotella vaiheet, resurssit ja aikataulu, joita tarvitaan haluttujen tavoitteiden saavuttamiseksi.
Tietoturvatavoitteiden ja -suunnitelmien säännöllinen tarkistaminen on tarpeen niiden merkityksen ja tehokkuuden varmistamiseksi. Organisaatiossa tapahtuvia muutoksia tulee harkita ja sisällyttää suunnitelmiin tarpeen mukaan.
Lue lisää 6.2Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
7. Tuki
7.1 – Resurssit
ISO 27001 -vaatimus 7.1 varmistaa, että organisaatiolla on tarvittavat resurssit ylläpitää tietojärjestelmiensä turvallisuutta.
Tämä sisältää tietoturvaan tarvittavan henkilöstön, laitteiston, ohjelmiston ja muiden resurssien tunnistamisen ja dokumentoinnin.
Organisaation tulee varmistaa, että nämä resurssit ovat saatavilla ja saatavilla tarvittaessa.
Kuten edellä vaatimuksen 5.3 yhteydessä on kuvattu, ISO 27001 ei itse asiassa edellytä, että ISMS:n tulee olla kokopäiväisillä resursseilla, vaan roolit, vastuut ja toimivalta on selkeästi määritelty ja omistettu – olettaen, että resurssien tasoa käytetään oikealla tavalla. edellytetään.
Lue lisää 7.17.2 – Pätevyys
ISO/IEC 27001 -vaatimus 7.2 määrittelee, kuinka organisaatio varmistaa, että sillä on:
- Määritti ISMS:n parissa työskentelevien ihmisten pätevyyden, joka voi vaikuttaa sen suorituskykyyn.
- Henkilöt, jotka katsotaan päteviksi asiaankuuluvan koulutuksen tai kokemuksen perusteella.
- Tarvittaessa ryhdyttiin toimenpiteisiin tarvittavan osaamisen hankkimiseksi ja arvioitiin toimenpiteiden tehokkuutta.
- Säilytti todisteet edellä mainitusta tilintarkastusta varten.
Varmistamalla henkilöstön pätevyyden organisaatiot voivat hallita tehokkaasti tietoturvaansa ja suojata henkilötietojaan.
Lue lisää 7.27.3 - Tietoisuus
ISO 27001 vaatimuksen 7.3 mukaan organisaatioiden tulee varmistaa, että koko henkilöstö on tietoinen tietoturvan tärkeydestä sekä roolistaan ja vastuustaan sen ylläpitämisessä.
Tämä sisältää koulutuksen ja koulutuksen tietoturva-aiheista, sen varmistamisen, että henkilöstö ymmärtää organisaation turvallisuuspolitiikat ja -menettelyt sekä niiden noudattamatta jättämisen seuraukset.
ISO 27001 hakee vahvistusta siitä, että työn tekijät ovat tietoisia:
- Tietoturvapolitiikka.
- Heidän panoksensa ISMS:n tehokkuuteen, mukaan lukien sen paremman suorituskyvyn tuomat edut.
- Mitä tapahtuu, kun tietoturvan hallintajärjestelmä ei täytä vaatimuksiaan?
Varmistamalla henkilöstön pätevyyden organisaatiot voivat hallita tehokkaasti tietoturvaansa ja suojata henkilötietojaan.
Lue lisää 7.37.4 – Viestintä
ISO 27001 -vaatimus 7.4 keskittyy organisaatioiden tarpeeseen luoda tehokkaat viestintäkäytännöt varmistaakseen tietoturvatavoitteiden saavuttamisen. Tämä sisältää yhteydenpidon asianomaisten sidosryhmien, henkilötietojen tietoturvaloukkauksen sattuessa komissaarin ja kaikkien asianomaisten osapuolten välillä.
ISO 27001 -vaatimus 7.4 etsii seuraavaa:
- Mitä viestiä ISMS:stä.
- Milloin siitä tiedotetaan.
- Kuka osallistuu tähän viestintään.
- Kuka välittää.
- Kuinka tämä kaikki tapahtuu eli mitä järjestelmiä ja prosesseja käytetään osoittamaan, että se tapahtuu ja on tehokasta
7.5 – Dokumentoidut tiedot
ISO 27001 -standardin vaatimus 7.5 ISO 27001:lle pyytää sinua kuvailemaan tietoturvan hallintajärjestelmääsi ja osoittamaan, kuinka sen aiotut tulokset saavutetaan organisaatiossa.
On uskomattoman tärkeää, että kaikki ISMS:ään liittyvä on dokumentoitua ja hyvin hoidettua, helposti löydettävissä, jos organisaatio haluaa saada itsenäisen ISO 27001 -sertifikaatin UKAS:n kaltaisesta elimestä.
ISO-sertifioidut auditoijat luottavat suureen hyvään taloudenpitoon ja hyvin jäsennellyn tietoturvan hallintajärjestelmän ylläpitoon.
Lue lisää 7.58. Käyttö
8.1 – Toiminnan suunnittelu ja ohjaus
ISO 27001 vaatimus 8.1 keskittyy organisaation tietoturvan varmistamiseen suunnittelemalla ja ohjaamalla sen toimintaa.
Tämä sisältää organisaation toimintaan liittyvien riskien tunnistamisen ja arvioinnin sekä asianmukaisten turvatoimien toteuttamisen riskien vähentämiseksi.
Organisaation on myös kehitettävä ja otettava käyttöön toimintatapoja ja menettelytapoja suojatakseen tietojaan luvattomalta käytöltä, käytöltä, paljastamiselta, muuttamiselta tai tuhoamiselta.
Tämä vaatimus on erittäin helppo osoittaa todisteita vastaan, jos organisaatio on jo "näyttänyt toimintansa". Tietoturvan hallintajärjestelmää kehitettäessä vastaamaan vaatimuksia 6.1, 6.2 ja erityisesti 7.5, jossa koko ISMS on hyvin jäsennelty ja dokumentoitu, saavutetaan samalla myös 8.1.
Lue lisää 8.18.2 – Tietoturvariskin arviointi
ISO 27001 -vaatimus 8.2 edellyttää, että organisaatiot suorittavat tietoturvariskin arvioinnin (ISRA) suunnitelluin väliajoin tai kun merkittäviä muutoksia tapahtuu.
Tämän vaatimuksen tarkoituksena on varmistaa, että organisaatiot ovat tietoisia tietoturvan hallintajärjestelmäänsä kohdistuvista mahdollisista riskeistä ja voivat ryhtyä tarvittaviin toimenpiteisiin niiden vähentämiseksi.
Prosessi sisältää organisaation tietovarallisuuden riskien tunnistamisen, arvioinnin ja hallinnan. Tämä sisältää organisaation tietoresurssien analysoinnin, näihin resursseihin liittyvien uhkien ja haavoittuvuuksien tunnistamisen sekä tietoturvaloukkauksen mahdollisten vaikutusten arvioinnin.
Lue lisää 8.28.3 – Tietoturvariskien käsittely
ISO 27001 -standardin vaatimus 8.3 määrittelee organisaatioille asettamat vaatimukset tietoturvariskien tunnistamisesta, arvioinnista ja käsittelystä.
Tämä sisältää henkilötietojen käsittelyyn liittyvien riskien tunnistamisen ja arvioinnin sekä asianmukaisten turvatoimien toteuttamisen näiden riskien vähentämiseksi. Näitä toimenpiteitä voivat olla kulunvalvonta, salaus ja tietojen varmuuskopiointi.
Organisaatioiden tulee varmistaa, että kaikkia tietoturvan hallintajärjestelmään liittyviä ulkopuolisia prosesseja, tuotteita tai palveluita valvotaan. Tietoturvariskien käsittelyn tuloksista tulee myös säilyttää dokumentoidut tiedot.
Lue lisää 8.39. Suorituskyvyn arviointi
9.1 – Seuranta, mittaus, analyysi ja arviointi
ISO 27001 -vaatimus 9.1 edellyttää, että organisaatiot arvioivat ISMS:n toimintaa ja tarkastelevat tietoturvan hallintajärjestelmän tehokkuutta.
Jos organisaatio hakee ISO 27001 -sertifikaattia, UKASiin (tai vastaavaan kansainvälisesti ISO-sertifiointiin akkreditoidussa elimessä) liittyvässä sertifiointielimessä työskentelevä riippumaton auditoija tarkastelee tarkasti seuraavia alueita:
- Mitä se on päättänyt seurata ja mitata, ei vain tavoitteita, vaan myös prosesseja ja valvontaa.
- Miten se takaa validit tulokset mittauksessa, seurannassa, analysoinnissa ja arvioinnissa.
- Milloin tämä mittaus, seuranta, arviointi ja analysointi tapahtuu ja kuka sen tekee.
- Miten tuloksia käytetään.
Kuten kaikessa muussakin ISO/IEC-standardissa, mukaan lukien ISO 27001, dokumentoitu tieto on tärkeää – sen kuvaileminen ja sen tapahtuman osoittaminen on avain menestykseen!
Lue lisää 9.19.2 – Sisäinen tarkastus
ISO 9.2:n vaatimus 27001 sanoo, että organisaation on suoritettava sisäisiä auditointeja suunnitelluin väliajoin saadakseen tietoa siitä, onko tietoturvan hallintajärjestelmä:
- Täyttää organisaation omia vaatimuksia tietoturvan hallintajärjestelmälleen; ja täyttää kansainvälisen ISO 27001 -standardin vaatimukset.
- Onko ISMS toteutettu ja ylläpidetty tehokkaasti.
Tämä vaatimus varmistaa, että organisaatiot arvioivat ja parantavat säännöllisesti tietoturvan hallintajärjestelmäänsä suojatakseen tietoresurssejaan ja saavuttaakseen turvallisuustavoitteensa.
Lue lisää 9.29.3 – Johdon katsaus
ISO 27001 -vaatimus 9.3 edellyttää, että organisaatiot suorittavat säännöllisiä johdon arviointeja varmistaakseen tietoturvan hallintajärjestelmän jatkuvan soveltuvuuden, riittävyyden ja tehokkuuden.
Nämä tarkastukset olisi suoritettava suunnitelluin väliajoin, vähintään vuosittain, ja niihin tulisi osallistua ylin johto tai nimetty edustaja.
Johdon arvioinnin tarkoituksena on arvioida organisaation tietoturvapolitiikkaa, -menettelyjä ja -valvontaa sekä riskinarviointi- ja riskienhallintaprosesseja.
Siihen kuuluu myös arvioida, noudattaako organisaatio sovellettavia lakeja ja määräyksiä.
Tarkastuksen aikana organisaation tulee arvioida tietoturvan hallintajärjestelmänsä tehokkuutta ja tunnistaa tarvittavat muutokset varmistaakseen ISO 27001 -standardin noudattamisen. Katsauksessa tulee ottaa huomioon myös organisaation suorituskyky tietoturvatavoitteiden saavuttamisessa.
Lue lisää 9.310. Parantaminen
10.1 – Poikkeus ja korjaavat toimet
ISO 27001 vaatimuksen 10.1 mukaan organisaatioiden on luotava prosessi, jolla tunnistetaan, dokumentoidaan ja korjataan kaikki poikkeamat ISO 27001 -standardista, joita kutsutaan poikkeavuuksiksi.
Poikkeuksia voivat olla standardin vaatimusten täyttämättä jättäminen, tietoturvan hallintajärjestelmän puutteet tai muut asiat, jotka voivat johtaa tietoturvaloukkaukseen.
Kun poikkeama havaitaan, organisaation on ryhdyttävä korjaaviin toimiin sen korjaamiseksi. Korjaavien toimenpiteiden tulee olla poikkeaman vakavuuden kannalta asianmukaisia ja suunniteltu estämään vastaavien ongelmien esiintyminen tulevaisuudessa.
Korjaavien toimenpiteiden tehokkuutta on tarkasteltava säännöllisesti sen varmistamiseksi, että poikkeama ei toistu.
Lue lisää 10.110.2 – Jatkuva parantaminen
ISO 27001 vaatimuksen 10.2 mukaan organisaatioiden on jatkuvasti parannettava tietoturvan hallintajärjestelmää (ISMS).
Tämä tarkoittaa, että organisaatioiden on säännöllisesti tarkistettava ja päivitettävä ISMS-järjestelmänsä varmistaakseen sen tehokkuuden ja yhdenmukaisuuden organisaation tavoitteiden, lakien ja säädösten vaatimusten sekä ISO 27001 -standardin kanssa.
Jatkuvaa parantamisprosessia tulee seurata ja arvioida sen tehokkuuden varmistamiseksi, ja kaikki tarvittavat muutokset tulisi tehdä ISMS:n sopivuuden, riittävyyden ja tehokkuuden parantamiseksi.
Lue lisää 10.2Opastamme sinua matkan jokaisessa vaiheessa
Sisäänrakennettu työkalumme vie sinut asennuksesta sertifiointiin 100 % onnistumisprosentilla.
Varaa demo