Tietoturvastandardit - yleiskatsaus

SISÄLTÖ

• Tietoturvastandardit - yleiskatsausluettelo
• Sertifiointi on kilpailuetu
• Kymmenen ISO:n tietoturvastandardia, jotka sinun tulisi tuntea
• Muut ISO 2700x -standardiperheen aiheet.
• DQS - Mitä voimme tehdä hyväksesi?

Tietoturvastandardit: ISO 2700X -standardiperhe

ISO 2700x -sarjan yksittäiset tietoturvastandardit käsittelevät erilaisia tietoturvan aiheita. Kansainvälisessä standardissa määritellään esimerkiksi ISO 27001 Tietoturvallisuuden hallintajärjestelmä (ISMS), ISO 27701 tietosuojan hallintajärjestelmä, ISO 27017 antaa ohjeita tietoturvatoimenpiteistä pilvipalveluja varten ja ISO 27005 antaa ohjeita tietoturvariskien hallinnasta.

Kaikkien toimialojen yritykset voivat hyötyä näiden tietoturvastandardien järjestelmällisesti jäsennellystä lähestymistavasta. Sen avulla luottamukselliset tiedot voidaan suojata katoamiselta ja väärinkäytöltä, ja se auttaa tunnistamaan ja vähentämään (mahdollisia) uhkia luotettavasti. Lähestymistapa auttaa varmistamaan yritysten IT-järjestelmien käytettävyyden ja edistää siten liiketoimintaprosessien optimointia, IT- ja prosessikustannuksia sekä liiketoiminta- ja vastuuriskien minimointia.

Sertifiointi on kilpailuetu

ISO 27001 -sertifiointi, esimerkiksi DQS:n suorittama sertifiointi, vaatii tiettyä valmistautumista ja vaivannäköä. Yritys antaa kuitenkin dokumentoidun todisteen siitä, että se noudattaa tietoturvavaatimuksia ja toteuttaa toimenpiteitä arkaluonteisten yritystietojen suojaamiseksi. Tämä on selkeä kilpailuetu.

Kymmenen tietoturvaa koskevaa ISO-standardia, jotka sinun tulisi tuntea

Alla oleva luettelo tarjoaa informatiivisen yleiskatsauksen ISO 2700x -sarjan tietoturvastandardien nykytilanteesta. Kaikki standardit ovat ostettavissa ISOn verkkosivuilta.

ISO 27001 - Tietoturvallisuuden hallintajärjestelmiä koskevat vaatimukset.

Aikana, jolloin tiedoilla ja informaatiolla käydään kauppaa kuin harvinaisilla hyödykkeillä, niiden suojaaminen on välttämätöntä. Optimaalisen perustan kokonaisvaltaisen tietoturvastrategian tehokkaalle toteuttamiselle tarjoaa hyvin jäsennelty tietoturvallisuuden hallintajärjestelmä (ISMS), joka on standardin ISO 27001. Kyseessä on yksityisten, julkisten tai voittoa tavoittelemattomien organisaatioiden tietoturvaa koskeva kansainvälisesti tunnustettu standardi, joka ei kata ainoastaan tietoturvanäkökohtia.

ISO 27001 ISMS määrittelee vaatimukset, säännöt ja menetelmät, joilla varmistetaan organisaatioissa suojausta vaativan tiedon turvallisuus. ISO-standardi tarjoaa mallin suojan tason määrittämiseen, toteuttamiseen, seurantaan ja parantamiseen. Tavoitteena on tunnistaa yritykselle mahdollisesti aiheutuvat riskit, analysoida ne ja tehdä ne hallittaviksi asianmukaisilla toimenpiteillä. ISO 27001 -standardissa muotoillaan tällaisen hallintajärjestelmän vaatimukset, jotka auditoidaan osana ulkoista sertifiointiprosessia .

Standardin avulla voit saavuttaa tämän:

• Arkaluonteisten tietojen turvallisuuden tekeminen kiinteäksi osaksi yrityksen prosesseja.
• Tietojen luottamuksellisuuden, saatavuuden ja eheyden suojelutavoitteiden ennaltaehkäisevä turvaaminen.
• Liiketoiminnan jatkuvuuden ylläpitäminen tietoturvatason jatkuvan parantamisen avulla.
• Työntekijöiden herkistäminen ja tietoturvatietoisuuden merkittävä lisääminen yrityksen kaikilla tasoilla
• Luottamuksen rakentaminen asianomaisten osapuolten kanssa
• Tehokkaan riskinhallintaprosessin luominen

ISO 27019 - Energiahuollon tietoturvatoimenpiteet.

ISO 27019 -tietoturvastandardissa muotoillaan täydentäviä toimenpiteitä energiateollisuuden alalle.

Sen avulla voit suojata elektroniset prosessinohjausjärjestelmät, joita käytetään sähköenergian, kaasun, öljyn ja lämmön tuotannon, siirron, varastoinnin ja jakelun ohjaukseen ja valvontaan sekä niihin liittyvien tukiprosessien ohjaukseen.

Mitä voit tehdä standardin avulla:

• Varmista järjestelmällisesti tietojen luottamuksellisuuden, saatavuuden ja eheyden suojelutavoitteet.
• Parannat jatkuvasti tietoturvatasoa ja luvattoman pääsyn vastustuskykyä.
• Saavuttaa suurempi toimintavarmuus ja oikeusvarmuus, parantaa asiaankuuluvien vaatimustenmukaisuuden vaatimusten noudattamista.
• Lisätä työntekijöiden ja johtajien tietoturvatietoisuutta
• Saavutetaan korkea luottamuksen ja lojaalisuuden taso kaikkien asianomaisten osapuolten keskuudessa.
• esittää viranomaisille, kuten Saksan liittovaltion verkkovirastolle (BNetzA), tunnustettuja todisteita turvatoimenpiteiden tehokkuudesta.

ISO 27006 - Vaatimukset sertifiointielimille

ISO 27006 on suunnattu DQS:n kaltaisille elimille, jotka suorittavat tietoturvan hallintajärjestelmien sertifiointeja. ISO 27006 -akkreditointistandardissa kuvataan vaatimukset, joita sertifiointielinten on noudatettava arvioidessaan asiakkaidensa ISO 27001 -standardin mukaisia hallintajärjestelmiä sertifiointia varten.

Tähän sisältyy esimerkiksi todisteet määritellyistä auditointiponnisteluista tai auditoijien pätevyyttä koskevat määrittelyt. Standardissa esitetyt akkreditointiprosessit takaavat, että akkreditoitujen sertifiointielinten myöntämillä ISO 27001 -sertifikaateilla on kansainvälinen pätevyys.

Mitä tällä standardilla voidaan saavuttaa:

• Yhdenmukaiset kriteerit sertifioinnin, valvonnan ja uudelleensertifioinnin auditointimenettelyjä varten.
• ISO 27001 -sertifikaattien voimassaolon varmistaminen
• Varmistetaan vähimmäisvaatimukset auditointiponnistuksille ja sertifiointimenettelyjä laskevan ja suorittavan henkilöstön pätevyydelle.

ISO 27002 - Ohjeet tietoturvavalvonnasta.

ISO 27001 -standardin mukaiseen tietoturvallisuuden hallintajärjestelmään (ISMS) sisältyy normatiivinen liite A: Vertailutoimenpiteiden tavoitteet ja kontrollit.

Tämä liite sisältää erityisiä toimenpiteitä, jotka on toteutettava osana hallintajärjestelmää organisaation kannalta merkityksellisellä tavalla. ISO 27002 on opas, joka sisältää suosituksia ISO 27001:n toimenpiteiden toteuttamiseksi.

Voit tehdä tämän standardin avulla:

• Tuki ISO 27001:n täytäntöönpanoon
• ISO 27001 -standardin liitteen A toimenpidesuositusten toteuttaminen.

ISO 27000 - Tietoturvallisuuden hallintajärjestelmien yleiskatsaus ja sanasto

ISO 27000 sisältää termejä ja määritelmiä, joita käytetään ISO 2700X -standardisarjassa. ISO 27000 tarjoaa yleiskatsauksen tietoturvallisuuden hallintajärjestelmiin ja ISO 2700x -standardisarjaan tietoturvastandardeineen.

Sanastossa (tekniset) termit määritellään eksplisiittisesti ja muodollisesti.

Mitä voit tehdä tämän standardin avulla:

• Sanasto: Kattaa suurimman osan ISO2700x-standardisarjan tietoturvan alalla käytetyistä teknisistä termeistä.
• Terminologian selkeys
• Sanaston selkeä ymmärtäminen arvioijien ja arvioijien kesken ("yhteinen kieli").
• Yleiskatsaus tietoturvallisuuden hallintajärjestelmiin: tietoturvallisuuden, riskien- ja turvallisuudenhallinnan sekä hallintajärjestelmien esittelyä

ISO 27701 - Tietosuojan hallintaa koskevat ohjeet.

Tietoturvastandardi liittyy erityisesti tietosuojaan. ISO 27701 määritetään ISO 27001-, ISO 27002- (tietoturvavalvonta) ja ISO 29100 -standardeihin (tietosuojapuitteet) perustuva tietosuojan hallintajärjestelmä , jolla käsitellään asianmukaisesti sekä henkilötietojen käsittelyä että tietoturvaa. Tämä koskee sekä rekisterinpitäjiä että henkilötietojen käsittelijöitä.

Miten voit menestyä tämän standardin avulla:

• Henkilötietojen ja tietoturvan parempi hallinta
• Yhteisten tietoriskien hallinnan periaatteiden helpompi soveltaminen henkilötietoihin
• ISO 27001 -standardin ja siihen liittyvän ISO 27002 -standardin valvonnan yhdenmukaistaminen ja laajentaminen.

ISO 27017 - Opas tietoturvatoimenpiteistä pilvipalveluissa.

ISO 27017 -standardissa annetaan ohjeita tietoturvatoimenpiteistä pilvipalveluissa tietoturvastandardien puitteissa.

Siinä suositellaan, tuetaan ja annetaan lisätoimenpiteitä pilvipalvelukohtaisten tietoturvakontrollien toteuttamiseksi.

Mitä voit saavuttaa tämän standardin avulla:

• Ymmärtää pilvilaskennan tietoturvanäkökohdat.
• Suunnitella ja toteuttaa pilvipalvelukohtaisia tietoturvakontrolleja
• Pilvilaskennan tietoturvan valinta-, toteutus- ja hallintavaihtoehtojen hallitseminen.

ISO 27018 - Ohjeita tietosuojasta pilvipalveluissa.

ISO 27018 -standardissa annetaan ohjeita sen varmistamiseksi, että pilvipalveluntarjoajat tarjoavat asianmukaisia tietoturvakontrolleja asiakkaidensa asiakkaiden yksityisyyden suojaamiseksi turvaamalla heille uskotut henkilötiedot.

Tätä standardia seuraa ISO 27017 (Information security measures in cloud services), joka kattaa muitakin pilvipalvelujen tietoturvanäkökohtia kuin vain tietosuojaa.

Seuraavassa kerrotaan, mitä standardilla voi tehdä:

• Valitse PII-suojauksen valvontakeinot osana ISO 27001 -standardiin perustuvan pilvipalvelujen tietoturvan hallintajärjestelmän käyttöönottoa.
• Toteuta yleisesti hyväksyttyjä PII-suojauksen valvontakeinoja.
• Syventää tietämystä, koska standardi perustuu ISO 27002 -standardiin ja laajentaa sen yleisiä ohjeita joillakin aloilla.
• OECD:n yksityisyyden suojaa koskevien periaatteiden yhdistäminen useisiin tietosuojalakeihin ja -asetuksiin.

ISO 27005 - Tietoturvariskien hallintaa koskevat ohjeet.

ISO 27005 -standardissa annetaan ohjeita tietoturvariskien hallinnasta ja tuetaan ISO 27001 -standardissa esitettyjä yleisiä käsitteitä.

ISO 27005:n tarkoituksena on myös tukea riskienhallintakonseptiin perustuvan tietoturvan toteuttamista.

Tämä onnistuu standardin avulla:

• Riskienhallintakonseptiin perustuvan tietoturvan toteuttaminen.
• Riskienhallinnan kontekstin määrittely
• Merkityksellisten tietoriskien määrällinen tai laadullinen arviointi (eli tunnistaminen, analysointi ja arviointi).
• Riskien, riskikäsittelyjen, vaatimusten ja kriteerien jatkuva seuranta ja tarkistaminen.
• Riskien asianmukainen käsittely
• Jatkuva yhteydenpito kaikkiin sidosryhmiin

ISO 27007 - Opas ISMS-auditointiin

ISO 27007 on opas auditointien suorittamiseen, ja se on tarkoitettu sisäisille ja ulkoisille auditoijille, jotka arvioivat ISO/IEC 27001:n mukaista ISMS:ää.

Opas perustuu pitkälti johtamisjärjestelmien auditointioppaaseen (ISO 19011), ja siinä annetaan lisäohjeita tietoturvallisuuden johtamisjärjestelmälle (ISMS).

Tässä kerrotaan, miten voit onnistua standardin noudattamisessa:

• Ohjeet erityisesti ISO 27001 ISMS -auditointeja varten
• ISO 19011:stä integroidut ohjeet auditointien suunnitteluun ja toteuttamiseen.
• Tärkeää tietoa ISMS-auditoijien pätevyydestä.
• ISMS-auditointien ymmärtäminen ja suorittaminen

DQS - mitä voimme tehdä puolestasi?

DQS on ollut johtava asiantuntija johtamisjärjestelmien ja prosessien sertifioinnissa vuodesta 1985 lähtien. Siitä lähtien DQS:n historia on ollut tiiviisti sidoksissa ISO 9001:n historiaan. Tuomme maailmanlaajuista osaamistamme ja laajaa standardien tuntemusta asiakkaidemme käyttöön noin 30 000 auditointipäivänä vuodessa. Voit siis nähdä, mitä vaihtoehtoja sinulla on.

Luottamus ja asiantuntemus

Tekstimme ja valkoiset kirjat ovat yksinomaan standardien asiantuntijoidemme tai pitkäaikaisten auditoijiemme kirjoittamia. Niin myös tietoturvastandardeja koskeva yleiskatsaus. Jos sinulla on kysyttävää tekstin sisällöstä tai palveluistamme kirjoittajallemme, ota rohkeasti yhteyttä.

Tietoturvastandardit: ISO 2700X -standardiperheen muut aiheet

ISO 27003 - Opas ISMS:n kehittämiseen ja käyttöönottoon.

ISO/IEC 27003:2017

Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Opas.

ISO 27004 - Ohjeet tietoturvallisuuden hallinnan mittausmenetelmistä.

ISO/IEC 27004:2016

Tietotekniikka - Turvatekniikat - Tietoturvallisuuden hallinta - Seuranta, mittaus, analyysi ja arviointi.

ISO 27008 - Ohjeet tietoturvatoimenpiteiden arviointiin.

ISO/IEC TS 27008:2019

Tietotekniikka - Tietoturvatekniikat - Ohjeet tietoturvakontrollien arviointiin

ISO 27009 - Opas tiedonhallintajärjestelmän alakohtaiseen soveltamiseen.

ISO/IEC 27009:2020

Tietoturva, kyberturvallisuus ja yksityisyyden suojaaminen. ISO/IEC 27001:n alakohtainen soveltaminen.

ISO 27010 - Ohjeet toimialojen ja organisaatioiden välisen viestinnän tietoturvallisuuden hallintaan

ISO/IEC 27010:2015

Tietotekniikka - Turvatekniikat - Tietoturvan hallinta sektorien ja organisaatioiden välisessä viestinnässä

ISO 27011 - Ohjeet tietoturvan hallintaan televiestintäalalla.

ISO/IEC 27011:2016

Tietotekniikka - Turvallisuustekniikat - Käytännesäännöt ISO/IEC 27002:een perustuvasta tietoturvavalvonnasta televiestintäorganisaatioille

ISO 27013 - Ohjeet ISMS:n ja IT-palvelunhallinnan integroitua käyttöönottoa varten.

ISO/IEC 27013:2021

Tietoturva, kyberturvallisuus ja yksityisyyden suoja - Ohjeet ISO/IEC 27001:n ja ISO/IEC 20000-1:n integroitua käyttöönottoa varten.

ISO 27014 - Tietoturvallisuuden hallinta.

ISO/IEC DIS 27014:2020

Tietoturva, kyberturvallisuus ja yksityisyyden suoja - Tietoturvan hallinta.

ISO 27016 - Tietoturvallisuuden hallinnan taloudellisuus

ISO/IEC TR 27016:2014

Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallinta - Organisaation taloustiede.

ISO 27021 - Vaatimukset ISMS-ammattilaisten pätevyydelle.

ISO/IEC 27021:2017/AMD 1:2021

echniques - Competence requirements for information security management systems professionals - Amendment 1: Add of ISO/IEC 27001:2013 clauses or subclauses to competence requirements.

ISO 27031 - Liiketoiminnan jatkuvuutta koskevat ohjeet.

ISO/IEC 27031:2011

Tietotekniikka - Turvatekniikat - Ohjeet tieto- ja viestintätekniikan valmiudesta liiketoiminnan jatkuvuuteen

VINKKI: Lue blogikirjoituksestamme liiketoiminnan jatkuvuuden hallinnasta, mitä ISO 22301 -standardi suosittelee yrityksen jatkuvuuden varmistamiseksi poikkeustilanteissa.

ISO 27032 - Kyberturvallisuusopas

ISO/IEC 27032:2012

Tietotekniikka - Tietoturvatekniikat - Kyberturvallisuuden ohjeet

ISO 27033 - Verkkoturvallisuutta koskevat ohjeet

ISO/IEC 27033

Tietotekniikka - Turvatekniikat - Verkkoturvallisuus
Osa 1: Yleiskatsaus ja käsitteet, Osa 2: Ohjeita verkkoturvallisuuden suunnitteluun ja toteutukseen, Osa 3: Verkkoskenaariot - Uhkat, suunnittelutekniikat ja valvontakysymykset, Osa 4: Verkkojen välisen viestinnän turvaaminen tietoturvayhdyskäytävien avulla, Osa 5: Verkkojen välisen viestinnän turvaaminen virtuaalisten yksityisverkkojen (VPN) avulla, Osa 6: Langattomien IP-verkkoyhteyksien turvaaminen

ISO 27034 - Sovellusten tietoturvaa koskevat ohjeet

ISO/IEC 27034

Tietotekniikka - Turvatekniikat - Sovellusten turvallisuus
Osa 1: Yleiskatsaus ja käsitteet, Osa 2: Organisaation normatiivinen kehys, Osa 3: Sovellusturvallisuuden hallintaprosessi, Osa 4: Validointi ja todentaminen, Osa 5: Protokollien ja sovellusturvallisuuden valvonnan tietorakenne, Osa 6: Valetutkimukset, Osa 7: Varmuuden ennustamisen kehys.

ISO 27035 - Ohjeet tietoturvapoikkeamien hallintaan.

ISO/IEC 27035

Tietotekniikka - Tietoturvakäytännöt - Tietoturvatapahtumien hallinta
Osa 1: Osa 2: Ohjeet vaaratilanteiden hallinnan suunnittelua ja valmistelua varten, Osa 3: Ohjeet tieto- ja viestintätekniikan vaaratilanteiden hallintaa varten (luonnos).

ISO 27036 - Toimittajasuhteita koskevat ohjeet

ISO/IEC 27036

Tietotekniikka - Turvatekniikat - Toimittajasuhteiden tietoturva
Osa 1: Osa 1: Yleiskatsaus ja käsitteet, Osa 2: Vaatimukset, Osa 3: Ohjeet tieto- ja viestintätekniikan toimitusketjun turvallisuutta varten, Osa 4: Ohjeet pilvipalvelujen turvallisuutta varten.

ISO 27037 - Ohjeet digitaalisen todistusaineiston käsittelystä.

ISO/IEC 27037:2012

Tietotekniikka - Turvatekniikat - Ohjeet digitaalisen todistusaineiston tunnistamiseen, keräämiseen, hankkimiseen ja säilyttämiseen.

ISO 27038 - Digitaalisen aineiston muokkauksen määrittely.

ISO/IEC 27038:2014

Tietotekniikka. Turvatekniikat. Digitaalisen poiston määrittely.

ISO 27039 - Ohjeet tunkeutumisen havaitsemisjärjestelmistä (IDPS).

ISO/IEC 27039:2015

Tietotekniikka - Tietoturvatekniikat - Tunkeutumisen havaitsemis- ja estojärjestelmien (IDPS) valinta, käyttöönotto ja toiminta

ISO 27040 - Ohjeet tallennusturvallisuudesta

ISO/IEC 27040:2015

Tietotekniikka - Tietoturvatekniikat - Säilytysturvallisuus

ISO 27041 - Ohjeet vaaratilanteiden tutkintamenetelmistä.

ISO/IEC 27041:2015

Tietotekniikka - Tietoturvatekniikat - Ohjeet vaaratilanteiden tutkintamenetelmän soveltuvuuden ja riittävyyden varmistamiseen

ISO 27042 - Ohjeet digitaalisen todistusaineiston analysointiin ja tulkintaan.

ISO/IEC 27042:2015

Tietotekniikka. Turvatekniikat. Ohjeet digitaalisen todistusaineiston analysointiin ja tulkintaan.

ISO 27043 - Ohjeet vaaratilanteiden tutkintaprosesseista.

ISO/IEC 27043:2015

Tietotekniikka. Tietoturvatekniikat. Häiriötilanteiden tutkinnan periaatteet ja prosessit.

ISO 27050 - Ohjeet sähköistä havaitsemista varten

ISO/IEC 27050

Tietotekniikka - Sähköinen havaitseminen
Osa 1: Osa 1: Yleiskatsaus ja käsitteet, Osa 2: Ohjeet sähköisen havaitsemisen hallinnointiin ja johtamiseen, Osa 3: Sähköisen havaitsemisen käytännesäännöt.

ISO 27102 - Tietoverkkovakuutusta koskevat ohjeet.

ISO/IEC 27102:2019

Tietoturvallisuuden hallinta - Ohjeet kybervakuutusta varten

ISO 27103 - Opas kyberturvallisuuteen ja ISO/IEC-standardeihin

ISO/IEC TR 27103:2018

Tietotekniikka - Turvatekniikat - Kyberturvallisuus ja ISO- ja IEC-standardit

ISO 27550 - Järjestelmän elinkaariprosessien yksityisyydensuojan suunnittelu

ISO/IEC TR 27550:2019-09

Tietotekniikka - Tietoturvatekniikat - Yksityisyyden suojaaminen järjestelmän elinkaariprosesseissa

ISO 27799 - Tietoturvallisuuden hallinta terveydenhuoltoalalla.

ISO 27799:2016

Terveydenhuollon tietotekniikka. Tietoturvallisuuden hallinta terveydenhuollossa ISO/IEC 27002:n avulla.