Tietoverkkorikollisuus on vakava uhka kaikkien toimialojen ja kokoluokkien yrityksille - tämä tiedetään laajalti. Repertuaari ulottuu vakoilusta sabotaasiin ja kiristykseen. Vaara ei kuitenkaan tule vain internetistä. Myös omat työntekijät voivat olla vakava riskitekijä. Varsinkin, jos yrityksesi ei ole ryhtynyt asianmukaisiin toimenpiteisiin - tutustu ISO 27001 -standardin liitteeseen A.7.

Loading...

ISO 27001 -standardin mukainen hyvin jäsennelty tietoturvallisuuden hallintajärjestelmä (ISMS) tarjoaa perustan kokonaisvaltaisen tietoturvastrategian tehokkaalle toteuttamiselle. Järjestelmällinen lähestymistapa auttaa suojaamaan luottamuksellisia yritystietoja katoamiselta ja väärinkäytöltä sekä tunnistamaan luotettavasti yritykseen mahdollisesti kohdistuvat riskit, analysoimaan ne ja tekemään niistä hallittavissa olevia asianmukaisilla toimenpiteillä. Tähän sisältyy paljon muutakin kuin vain tietoturvanäkökohtia. Erityisen arvokasta käytännön kannalta on standardin liitteessä A esitettyjen toimenpiteiden toteuttaminen.

ISO/IEC 27001:2013: Tietotekniikka - Turvamenettelyt - Tietoturvallisuuden hallintajärjestelmät - Vaatimukset.

ISO 27001 -standardin liite A: Käytännön merkitystä

Hallintajärjestelmäkeskeisen vaatimusosion (luvut 4-10) lisäksi ISO-standardin liite A sisältää laajan luettelon 35 toimenpidekohteesta (kontrollit), joissa on 114 konkreettista toimenpidettä monista eri turvallisuusnäkökohdista 14 luvussa.

Huomautus : Liitteessä A "toimenpiteiksi" kutsutut lausumat ovat itse asiassa yksittäisiä tavoitteita (valvontatoimia). Niissä kuvataan, miltä sopivien (yksittäisten) toimenpiteiden standardin mukaisen tuloksen pitäisi näyttää.

Yritysten olisi käytettävä näitä valvontatoimia perustana tietoturvapolitiikkansa yksilölliselle ja syvällisemmälle jäsentämiselle. Henkilöstön osalta lisäyksessä A.7 oleva toimenpidetavoite "Henkilöstön turvallisuus" on erityisen kiinnostava.

"Toimenpiteet eivät perustu epäluottamukseen työntekijöitä kohtaan, vaan selkeästi jäsenneltyihin henkilöstöprosesseihin."

Henkilöstöprosesseilla varmistetaan kaikissa työsuhteen vaiheissa, että vastuut ja tehtävät on jaettu tietoturvan osalta ja että niiden noudattamista valvotaan. Tietoturvapolitiikan rikkomukset - sekä tahalliset että tahattomat - eivät näin ollen ole mahdottomia, mutta niitä vaikeutetaan huomattavasti. Ja jos pahin tapahtuu, tehokas ISMS tarjoaa organisaatiolle asianmukaiset mekanismit rikkomuksen käsittelemiseksi.

Tietoturva ei ole epäluottamusta

Kyse ei suinkaan ole epäluottamuksesta, jos yritys antaa asianmukaiset ohjeet, joilla vaikeutetaan luvatonta pääsyä sisäpuolelta tai, mikä vielä parempi, estetään se kokonaan. Onhan yksi asia selvä: jos työntekijän irtisanominen on lähellä tai siitä on jo ilmoitettu, hänen tyytymättömyytensä voi johtaa kohdennettuun tietovarkauteen. Näin tapahtuu erityisesti silloin, kun irtisanottu työntekijä uskoo, että hänellä on omistusoikeudet projektitietoihin. Kääntäen, hakemus tiettyyn työpaikkaan voi olla jo tehty rikollisen teon tarkoituksessa.

Muut skenaariot viittaavat törkeään huolimattomuuteen tai yksinkertaisesti varomattomuuteen, millä voi olla yhtä vakavia seurauksia. On esimerkiksi käynyt niin, että kokonaiset tietotekniikkaosastot eivät noudata omia sääntöjään - ne ovat liian hankalia, liian aikaa vieviä. Toimistossa kyse on salasanojen huolimattomasta käsittelystä tai suojaamattomista älypuhelimista. Mutta myös USB-tikkujen huolimaton liittäminen, näytöllä olevat avoimet asiakirjat, salaiset asiakirjat tyhjissä toimistoissa - mahdollisten laiminlyöntien luettelo on pitkä.

ISO 27001 -standardin liite A.7 - Henkilöstön turvallisuus.

Yritykset, jotka ovat ottaneet käyttöön ISO 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän (ISMS), ovat tässä suhteessa paremmassa asemassa. Ne tuntevat kansainvälisesti tunnustetun standardin vaatimukset ja käytännön kannalta merkityksellisen liitteen A.7. ISO 27001:llä on nimittäin paljon annettavaa: Vaikka viitetoimenpiteissä viitataan suoraan standardin vaatimuksiin, ne on aina suunnattu suoraan yrityksen käytäntöön.

Yritykset, joilla on tehokas ISMS, tuntevat A.7:ssä määritellyt tavoitteet, jotka on pantava täytäntöön henkilöstön turvallisuutta silmällä pitäen, jotta standardia noudatetaan täysimääräisesti - kaikissa työvaiheissa.

Mitä ISO 27001 -standardin liitteessä A.7 sanotaan?

Toimenpiteet ennen palvelukseen ottamista

Organisaation on varmistettava, että uusi työntekijä ymmärtää tulevan vastuunsa ja että hän soveltuu tehtäväänsä ennen palkkaamista - liitteen A.7.1 mukaisesti. Vaatimuksia koskevassa osassa (luku 7.2) standardi puhuu "pätevyydestä".

Tavoitteellisena vertailutoimenpiteenä työnhakijoille tehdään ensin turvallisuusselvitys, joka on eettisten periaatteiden ja sovellettavien lakien mukainen. Tämän selvityksen on oltava asianmukainen suhteessa liiketoiminnan vaatimuksiin, hankittavien tietojen luokitteluun ja mahdollisiin riskeihin (A.7.1.1). Jotta tämä voidaan saavuttaa, muun muassa seuraavat asiat olisi oltava käytössä, varmistettava tai todennettava:

  • Menettely tietojen hankkimiseksi (miten ja millä edellytyksillä).
  • luettelo noudatettavista oikeudellisista ja eettisistä kriteereistä.
  • Turvallisuustarkastuksen on oltava asianmukainen, riskeihin ja yrityksen tarpeisiin suhteutettu.
  • ansioluettelon, tilinpäätösten ja muiden asiakirjojen uskottavuus ja aitous.
  • Hakijan luotettavuus ja pätevyys aiottuun tehtävään.

Sopimukset

Seuraavaksi käsitellään työsuhde- ja sopimusehtoja. Tämä ISO/IEC 27001 -standardin liitteessä A oleva vertailutoimenpide muodostuu siis sopimuksesta, jossa sovitaan siitä, mitä velvollisuuksia työntekijöillä on yritystä kohtaan ja päinvastoin (A.7.1.2). Tämän vaatimuksen onnistuneeseen toteuttamiseen kuuluu muun muassa näiden kohtien täyttyminen:

  • Luottamuksellista tietoa käyttävän työntekijän (toimeksisaajan) allekirjoittama salassapitosopimus.
  • työntekijän (toimeksisaajan) sopimusvelvoite noudattaa esimerkiksi tekijänoikeuksia tai tietosuojaa koskevia määräyksiä.
  • Sopimusmääräys työntekijöiden (urakoitsijoiden) vastuusta ulkopuolista tietoa käsiteltäessä.

Työsuhteen aikana - ylimmän johdon vastuu.

Työntekijöiden on oltava tietoisia tietoturvavastuistaan. Tämä on A.7.2 kohdan tavoite, ja mikä tärkeintä, työntekijöiden on kannettava nämä vastuut.

Ensimmäisen toimenpiteen (A.7.2.1) tavoitteena on johdon velvollisuus kannustaa työntekijöitään toteuttamaan tietoturvaa vakiintuneiden toimintatapojen ja menettelyjen mukaisesti. Tätä varten on säänneltävä vähintään seuraavia seikkoja:

  • Millä tavoin ylin johto kannustaa työntekijöitä toteuttamaan? Missä on riskejä?
  • Miten se varmistaa, että työntekijät ovat tietoisia toteutetuista ohjeista tietoturvan käsittelemiseksi?
  • Miten se tarkistaa, että työntekijät noudattavat tietoturvan käsittelyä koskevia ohjeita?
  • Miten se motivoi työntekijöitään panemaan politiikat ja menettelyt täytäntöön ja soveltamaan niitä turvallisesti?

Tietoisuuden luominen

Luvussa 7.3 "Tietoisuus" ISO 27001 -standardissa edellytetään, että asiaankuuluvia toimintoja suorittavat henkilöt ovat tietoisia seuraavista asioista.

  • organisaation tietoturvapolitiikasta
  • heidän panoksestaan tietoturvallisuuden hallintajärjestelmän (ISMS) tehokkuuteen.
  • tietoturvan parantuneen suorituskyvyn hyödyistä
  • seurauksista, joita aiheutuu, jos ISMS:n vaatimuksia ei täytetä.

Erityisesti uudet työntekijät tarvitsevat säännöllisesti tietoa aiheesta, esimerkiksi sähköpostitse tai intranetin kautta, pakollisen tietoturvakysymyksiä koskevan tiedotuksen lisäksi. Konkreettisella koulutuksella (erityisesti hätäsuunnitelmista ja harjoituksista), aihekohtaisilla työpajoilla ja tiedotuskampanjoilla (esim. julisteiden avulla) vahvistetaan tietoisuutta tietoturvallisuuden hallintajärjestelmästä.

Esimerkiksi ISO 27001 -standardin liitteessä A oleva viittaustoimenpide A.7.2.1 palvelee myös asianmukaisen tietoisuuden luomista tietoturvasta. Organisaatioiden on koulutettava ja valistettava työntekijöitään ja tarvittaessa alihankkijoitaan ammatillisesti merkityksellisistä aiheista. Vastaavat toimintaperiaatteet ja menettelyt on päivitettävä säännöllisesti. Muun muassa seuraavat näkökohdat on otettava huomioon:

  • Se, miten ylin johto on omalta osaltaan sitoutunut tietoturvaan.
  • ammatillisen koulutuksen luonne
  • Toimintaperiaatteiden ja menettelyjen tarkistamisen ja päivittämisen tiheys.
  • muut käytetyt välineet
  • Konkreettiset toimenpiteet, joilla työntekijät perehdytetään sisäisiin tietoturvapolitiikkoihin ja -menettelyihin.

VINKKI: Varmistetaan hyvin toimiva viestintä, jossa on useita kanavia tiedonsiirtoa varten. Tämä johtuu siitä, että standardin edellyttämä tietoisuus ISMS:stä ja siihen liittyvistä näkökohdista liittyy läheisesti tiedonsiirtoon.

Moitteita koskeva prosessi

Liite 7.2.3: Tässä toimenpiteessä määritellään, miten organisaatio käsittelee huomautuksia tietoturvarikkomusten yhteydessä. Perusteena on korjaavien toimenpiteiden prosessi. Se on määriteltävä, vahvistettava ja julkistettava virallisesti. Seuraavat seikat on varmistettava:

  • On oltava olemassa kriteerit, joiden mukaan tietoturvapolitiikan rikkomisen vakavuus luokitellaan.
  • Kurinpitoprosessi ei saa olla sovellettavien lakien vastainen.
  • Kurinpitoprosessin on sisällettävä toimenpiteitä, jotka motivoivat työntekijöitä muuttamaan käyttäytymistään myönteisellä tavalla pitkällä aikavälillä.

Työsuhteen päättyminen - Vastuut

ISO 27001 -standardin liitteessä A.7.3 määritellään tavoitteeksi tehokas irtisanomis- tai muutosprosessi organisaation etujen suojaamiseksi. Tässä tavoitteessa keskitytään työsuhteen päättämiseen tai muuttamiseen liittyviin vastuisiin. Näin ollen tietoturvaan liittyvät vastuut ja velvoitteet, jotka säilyvät työsuhteen päättymisen tai vaihtumisen jälkeen, on määriteltävä, niistä on tiedotettava ja ne on pantava täytäntöön. Nämä näkökohdat on järkevää ottaa huomioon:

  • Työsopimuksissa on sovittava siitä, miten työntekijöiden on käsiteltävä tietoturvaan liittyviä vastuita ja velvollisuuksia työsuhteen päättymisen jälkeen.
  • valvontamekanismit, joilla varmistetaan näiden sopimusten noudattaminen
  • menettelyt, joilla valvotaan jatkuvien vastuiden ja velvollisuuksien noudattamista.

Kyberturvallisuus järjestelmällisen henkilöstöturvallisuuden avulla

Sisäinen uhka on todellinen - ja useimmat yritykset ovat siitä tietoisia. Tietoturvatutkimuksen (Balabit 2018) mukaan työntekijät, joilla on laajat käyttöoikeudet, ovat erityisen alttiita hyökkäyksille. Ja koska työntekijät ovat osallisina 50 prosentissa kaikista tietoturvaloukkauksista, 69 prosenttia vastanneista IT-ammattilaisista pitää sisäpiirin tietomurtoa suurimpana riskinä. Silti asialle tehdään vain vähän. Käytännössä on usein vaikeaa esittää syytöksiä sisäistä henkilöstöä vastaan. Erityisesti pienissä ja keskisuurissa yrityksissä (pk-yrityksissä), joissa ihmiset tuntevat toisensa, heihin luotetaan usein jonkin verran - joskus ikävin seurauksin. Hyvin jäsennelty tietoturvan hallinta luo perustan suojausta vaativan tiedon turvallisuuden varmistamiselle.

Johtopäätökset: ISO 27001 käytännössä - Liite A

Liitteessä A.7 ISO/IEC 27001 antaa viitetoimenpiteitä henkilöstön turvallisuudesta, jotka on toteutettava osana standardin käyttöönottoa. Yritysten tulisi käyttää näitä valvontatoimia perustana tietoturvapolitiikkansa yksilölliselle, syvällisemmälle suunnittelulle. Toimenpiteet eivät perustu työntekijöiden epäluottamukseen vaan selkeästi jäsenneltyihin henkilöstöprosesseihin.

Asiantuntemus ja luottamus

Sertifioidut yritykset arvostavat johtamisjärjestelmiä ylimmän johdon työkaluina, jotka luovat läpinäkyvyyttä, vähentävät monimutkaisuutta ja tarjoavat turvallisuutta. Johtamisjärjestelmät tekevät kuitenkin vielä enemmän: Neutraalin ja riippumattoman kolmannen osapuolen, kuten DQS:n , arvioimana ja sertifioimana ne luovat luottamusta sidosryhmille yrityksesi suorituskykyä kohtaan.

Monet organisaatiot kokevat sertifioinnin edelleen vaatimustenmukaisuuden tarkistamisena. Asiakkaamme taas näkevät sen mahdollisuutena keskittyä menestyksen kannalta kriittisiin tekijöihin ja johtamisjärjestelmänsä tuloksiin. Koska ydinosaamisemme on sertifiointiauditointien ja -arviointien suorittamisessa. Tämä tekee meistä yhden maailman johtavista palveluntarjoajista, joilla on vaatimus asettaa aina uusia standardeja luotettavuuden, laadun ja asiakaslähtöisyyden suhteen.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification according to ISO 27001

Kuinka paljon työtä sinun on tehtävä, jotta tietoturvallisuuden hallintajärjestelmäsi sertifioidaan ISO 27001-standardin mukaisesti? Selvitä se maksutta ja sitoumuksetta.

Huomaa: Artikkeleidemme kirjoittajina toimivat yksinomaan sisäiset johtamisjärjestelmäasiantuntijamme ja pitkäaikaiset auditoijamme. Jos sinulla on kysymyksiä kirjoittajillemme tietoturvasta (ISMS), ota meihin yhteyttä. Odotamme innolla keskustelua kanssasi.

Kirjoittaja
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...