Digitalisaation aikakaudella arvokas tieto on ennen kaikkea säilytettävä tai suojattava. Yrityksille tämä tarkoittaa sitä, että tietoturva on tietosuojauksen ohella ehdoton edellytys. Hyvä uutinen on, että yritykset, joilla on ISO 9001:n mukainen sertifioitu laadunhallintajärjestelmä, ovat jo luoneet hyvän pohjan täysin kattavan tietoturvan vaiheittaiselle käyttöönotolle.
Loading...
Tietoturva ei ole uusi aihe. Organisaatioiden laajaa tietomaailmaa uhkaavat vaarat ovat olleet tiedossa jo pitkään. BSI:n huhtikuussa 2019 tekemän "Cyber Security Survey" -tutkimuksen mukaan 43 prosenttia suurista yrityksistä ilmoitti, että kyberturvallisuusvälikohtaukset vaikuttivat niihin vuonna 2018.
Pienten ja keskisuurten yritysten osalta luku oli 26 %. Ja Saksan liittovaltion tietoturvaviraston (BSI) "Situation Report on IT Security in Germany 2021" -raportin mukaan tietoverkkorikostapaukset ovat jälleen kerran lisääntyneet merkittävästi. Raportointijaksolla 1. kesäkuuta 2020 - 31. toukokuuta 2021 uusien haittaohjelmavaihtoehtojen (noin 144 miljoonaa) määrä kasvoi reilut 22 prosenttia, mutta myös hyökkäysten laatu nousi edelleen huomattavasti. Tässä prosessissa monet rikoksentekijät käyttivät hyväkseen monien yritysten ja ihmisten Corona-hätää.
Luottamuksellisten yritystietojen turvallisuus on kuitenkin edelleen laiminlyöty. Tietojen käsittelyssä ja tallentamisessa ei useinkaan noudateta varovaisuutta ja ennakoivuutta. Tietoisuus tietovarkauksien ja vastaavien seurauksista ei myöskään ole läheskään kaikkialla riittävästi kehittynyt. Joissakin paikoissa yritykset ovat myös haluttomia panostamaan aikaa ja vaivaa, joita tarvitaan arkaluonteisten tietojen tehokkaaseen suojaamiseen.
Askel askeleelta kohti parempaa tietoturvaa
Tietoturvan vaatimien ponnistelujen ei kuitenkaan tarvitse olla niin suuria. Hyvä uutinen on se, että monien yritysten ei tarvitse ottaa kerralla käyttöön kattavaa tietoturvallisuuden hallintajärjestelmää. Kriittisten infrastruktuurien (CRITIS) osalta sitä vastoin Saksan tietoturvalaki edellyttää sitä.
Myös vaiheittainen lähestymistapa on mahdollinen. Tämä tarkoittaa sitä, että ainakin yrityksissä, joilla on ISO 9001-standardin mukainen laadunhallintajärjestelmä, ensimmäinen askel voi olla vaaditun riskiperusteisen lähestymistavan päivittäminen - kuitenkin jo tärkeän tietoturvastandardin ISO 27001:n vastaavia vaatimuksia silmällä pitäen.
Tietoturva ja laadunhallinta
ISO 27001 vs. ISO 9001: Missä ovat yhteydet? Ensinnäkin on huomattava, että ISO 9001 -laadunhallintastandardissa edellytetään riskiperusteista lähestymistapaa kaikkialla. Tämän johtamisjärjestelmävaatimuksen toteuttaminen on kuitenkin pitkälti organisaatiostasi kiinni. Laadunhallinta ei esimerkiksi edellytä erillistä prosessia riskien arviointia varten, mutta tietoturvan osalta tämä on kiistatta liian vähän. Siitä huolimatta:
Laadunhallintakysymyksiin liittyvä riskinarviointi voidaan helposti laajentaa koskemaan myös tietoturvaa.
Tätä varten on hyödyllistä tarkastella ISO 27001 -standardin tietoturvariskien tunnistamista ja käsittelyä koskevia vaatimuksia tietoturvallisuuden hallintajärjestelmälle (ISMS). Laadunhallintajärjestelmän käyttäjät voivat kohtuullisella vaivalla toteuttaa useimmat näkökohdat - tämä on ensimmäinen askel kohti kokonaisvaltaista tietoturvaa.
Tietoturva - riskit ja mahdollisuudet
Molemmissa kansainvälisissä standardeissa, sekä tietoturvaa koskevassa ISO 27001 -standardissa että laadunhallintaa koskevassa ISO 9001 -standardissa, käsitellään asiaa koskevia aiheita luvussa 6.1 "Toimenpiteet riskien ja mahdollisuuksien käsittelemiseksi". Pohjimmiltaan tavoitteena on varmistaa kolme keskeistä näkökohtaa johtamisjärjestelmässä:
- organisaation tavoiteltujen tulosten saavuttaminen
- Epäsuotuisten vaikutusten ehkäiseminen tai vähentäminen.
- Jatkuvan parantamisen saavuttaminen tiettyjen standardien noudattamisen avulla.
Tietoturvan osalta nämä ovat ensisijaisesti kolme olennaista suojelutavoitetta:
- Luottamuksellisuuden menettäminen
- tietojen eheys
- tietojen saatavuus
ISMS-standardissa ISO 27001 määritellään seuraavat vaatimukset (kohta 6.1.1):
- Riskien ja mahdollisuuksien määrittäminen
- Suunnitellaan toimenpiteet tunnistettujen riskien ja mahdollisuuksien käsittelemiseksi.
- Suunnitelma siitä, miten toimenpiteet integroidaan yrityksen prosesseihin ja pannaan täytäntöön.
Riskien tunnistaminen ja käsittely
ISO 27001 -standardin seuraavassa alaluvussa (6.1.2) edellytetään tietoturvariskien arviointiprosessin luomista ja soveltamista. Tässä prosessissa on laadittava ja ylläpidettävä tietoturvariskikriteerit. Tähän kuuluvat erityisesti riskien hyväksymiskriteerit ja tietoturvariskien arviointien suorittaminen.
Lisäksi prosessin on varmistettava, että "toistuvat tietoturvariskien arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia", kuten ISMS-standardissa todetaan. Seuraavat alakohdat voivat olla merkittäviä ensimmäistä askelta ajatellen:
- Tunnistetaan tietoturvariskit
- Analysoi tietoturvariskit
- Arvioi tietoturvariskit
Kohdan 6.1.3 vaatimukset edellyttävät, että tietoturvariskien käsittelemiseksi luodaan ja sovelletaan prosessia, jonka avulla saavutetaan seuraavat tavoitteet:
- Valitaan asianmukaiset vaihtoehdot tietoturvariskin käsittelemiseksi riskinarvioinnin tulosten perusteella.
- Määritetään kaikki toimet, jotka ovat tarpeen tietoturvariskin käsittelemiseksi valittujen vaihtoehtojen toteuttamiseksi.
- Verrataan määriteltyjä toimenpiteitä ISO 27001 -standardin liitteessä A määriteltyihin valvontatoimiin (tavoitetoimet).
- Laaditaan soveltuvuuslausuma syistä, joiden vuoksi liitteen A mukaisia valvontatoimia (ei) sisällytetä.
- Laaditaan suunnitelma tietoturvariskien käsittelyä varten.
- Hanki suunnitelman hyväksyntä ja hyväksyntä riskien omistajilta.
Loading...
Certification according to ISO 27001
Millaisia ponnisteluja sinun on odotettavissa, jotta tietoturvallisuuden hallintajärjestelmäsi on sertifioitu ISO 27001 -standardin mukaisesti? Ota selvää.
ISO 27001 -standardin liite A tarjoaa ohjeita
Tunnetun hallintajärjestelmästandardin ISO/IEC 27001 liite A on nimenomaisesti normatiivinen. Se voidaan ymmärtää eräänlaisena tarkistuslistana, joka sisältää tavoitteet (kontrollit) ja toimenpiteet. Tämän ohjeen avulla voit varmistaa, ettei mitään olennaisia kohtia tietoturvariskien käsittelyssä ole jätetty huomiotta. Se ei kuitenkaan väitä olevansa tyhjentävä.
Tietoturva ja laadunhallinta - mikä on paras lähestymistapa?
ISO 27001 edellyttää siis kahta erillistä prosessia tietoturvariskien arvioimiseksi ja käsittelemiseksi. Ensimmäisessä vaiheessa nämä voitaisiin kuitenkin yhdistää yhdeksi prosessiksi, joka nimenomaan laajentaa laadunhallinnan riskien arviointia edellä mainittujen vaatimusten mukaisesti tietoturvanäkökulmaan. Nämä kaksi standardia tarjoavat siten hyvän perustan tietosuojaa ja tietoturvaa koskevien suojatoimenpiteiden toteuttamiselle.
ISO/IEC 27001:2013 - Tietotekniikka - Turvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Vaatimukset.
ISO 9001:2015 - Laadunhallintajärjestelmät - Vaatimukset.
Molemmat standardit ovat saatavilla ISOn verkkosivuilta.
ISO 27001 vs. ISO 9001: Se, kuinka perusteellisesti edellä mainittu prosessi lopulta vastaa kuhunkin vaatimukseen, riippuu suoraan organisaatiosi tietomaailman monimutkaisuudesta ja suojausta vaativista tiedoista. Joka tapauksessa on suositeltavaa, että sen tehokkuus varmistetaan ulkoisessa auditoinnissa. Tämä on suositeltavaa esimerkiksi ISO 9001-standardin mukaisen laadunhallintajärjestelmänne sertifiointiauditoinnin yhteydessä, joka on joka tapauksessa suunnitteilla.
Tietoturva kohtaa laadunhallinnan - mitä hyötyä siitä on?
- Prosessi, jossa tietoturvariskejä tarkastellaan perusteellisesti, voi olla ensimmäinen tärkeä askel kohti ISO/IEC 27001 -standardin mukaista kokonaisvaltaista tietoturvallisuuden hallintajärjestelmää.
- Toteuttamalla tällaisen prosessin ylin johto vahvistaa tietoisuutta tieto- ja tietoturvasta (tietosuojasta) kaikilla tasoilla.
- Tietoturvariskien kohdennetun tarkastelun avulla yrityksellä on mahdollisuus paljastaa toimintatarpeet ja ryhtyä asianmukaisiin toimenpiteisiin (ISO 27001 -standardin mukainen ohjeistus, liite A).
- Tietoturvallisuuteen laajennettu riskien arviointi esimerkiksi osana laadunhallintaa vahvistaa yrityksen yleistä riskiperusteista lähestymistapaa.
- Sekä taloudelliset että henkilöresurssit, joita täytäntöönpano ja tehokkuuden testaaminen edellyttävät, ovat hallittavissa.
DQS: Yksinkertaisesti laadun hyödyntäminen
Dynaamisuuden ja vakauden välisessä tasapainoilussa sertifioidut johtamisjärjestelmät ovat tulossa yhä tärkeämmiksi - kehitys, jonka DQS kokee myönteisenä. Koska menestyvät yritykset ja organisaatiot käyttävät auditointien tuloksia tulostensa jatkuvaan parantamiseen. Ja ne käyttävät maailmanlaajuisesti tunnustettuja sertifikaattejamme objektiivisena todisteena laatukyvystään. Tämä luo luottamusta - sekä sisäisesti että organisaatiosi ulkopuolelle.
DQS myönsi Saksan ensimmäisen laadunhallintasertifikaatin vuonna 1986. Ensimmäinen auditointi elokuussa 1986 perustui standardiluonnokseen. Vuonna 1991 DQS sai ensimmäisen ISO 9001/2/3 -akkreditoinnin silloiselta TGA Trägergemeinschaft für Akkreditierung GmbH:lta (nykyisin DAkkS). Akkreditointi tietoturvasertifiointia varten brittiläisen standardin BS 7799-2 mukaisesti seurasi vuonna 2000.
Yli kolmen vuosikymmenen tietotaito
Tekstiemme ja esitteidemme kirjoittajina ovat yksinomaan standardien asiantuntijamme tai auditoijamme, joilla on vuosien kokemus. Jos sinulla on kysymyksiä kirjoittajalle sisällöstä tai palveluistamme, ota rohkeasti yhteyttä.
DQS uutiskirje
Pysy ajan tasalla ja tilaa uutiskirjeemme!
Kirjoittaja
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.
Loading...