Man and a woman with a laptop in a server room

ISO 27001 -sertifiointi

Tiedustelusi


Tietoturva järjestelmän avulla

Aihe "tietoturva" on yhä kiireellisempi yrityksille digitaalisen muutoksen aikana. Ilman riittäviä tietoturvatoimia on olemassa riski tietojen katoamisesta ja hakkerien tekemistä tietovarkauksista, liiketoiminnan keskeytymisestä verkon kautta tapahtuvien hyökkäysten tai tietojen väärinkäytön vuoksi. Yksi vaihtoehto jäsennellylle lähestymistavalle on ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä (ISMS).

Näyttöön perustuva tieto- ja tietoturva

Turvallisuus osana yrityskulttuuria

Riskienhallintaprosessin tehokas täytäntöönpano

Turvallisuustason jatkuva parantaminen

Business10.png

Mikä on ISO 27001?

ISO/IEC 27001 on johtava kansainvälinen standardi tietoturvan kokonaisvaltaisen hallintajärjestelmän toteuttamiseksi. Siinä keskitytään tietojenkäsittelyprosesseihin liittyvien riskien tunnistamiseen, arviointiin ja hallintaan. Luottamuksellisen tiedon turvallisuutta korostetaan merkittävänä strategisena tekijänä.

Tieto ympäröi meitä kaikkialla ja on osa jokaista prosessia. Joskus se voi olla merkityksetöntä, mutta aivan liian usein se on kriittistä ja luottamuksellista. Jotta voit tehdä tämän organisaatiosi kannalta tärkeän eron, on välttämätöntä luokitella tieto. Tämä johtuu siitä, että ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän (ISMS) suojatoimenpiteet perustuvat tähän luokitteluun.

ISMS luo puitteet operatiivisen tiedon ja sen luottamuksellisuuden suojaamiselle. Samalla maailmanlaajuisesti tunnustetulla standardilla varmistetaan yrityksen prosesseihin osallistuvien IT-järjestelmien käytettävyys. Tässä yhteydessä ISO 27001 -sertifiointi lähettää vahvan signaalin markkinoille: riippumaton ulkoinen arviointi ja vahvistus ISMS-järjestelmän tehokkuudesta.

EN ISO/IEC 27001:2017-06 -standardilla on julkaistu Euroopan standardointikomitean (CEN) koordinoima versio. Siinä yhdistyvät kaksi korjausta (corrigenda) Cor 1:2014 ja Cor 2:2015. Korjaukseen liittyvät muutokset sisältävät vain siihen liittyvien vaatimusten paremman kuvauksen, mutta ei uusia, ylimääräisiä vaatimuksia. ISO/IEC 27001:2013 -version mukaiset sertifikaatit säilyttävät siten voimassaolonsa.

Näytä lisää
Näytä vähemmän
SEO19.png

Kenelle ISO 27001 -standardin mukainen sertifiointi sopii?

ISMS-standardia ISO 27001 sovelletaan maailmanlaajuisesti. Se tarjoaa kaikenkokoisille ja -tehtävissä toimiville yrityksille puitteet tietoturvan suunnitteluun, toteuttamiseen ja seurantaan. Vaatimukset ovat sovellettavissa ja koskevat yksityisiä ja julkisia yrityksiä sekä voittoa tavoittelemattomia organisaatioita.

Esimerkiksi Saksassa yritysten, jotka kuuluvat kriittisen infrastruktuurin alaan (KRITIS) ja ylittävät tietyn kynnysarvon, on osoitettava, miten ne varmistavat tietoturvansa. KRITIS-aloja ovat energia, vesi, terveydenhuolto, rahoitus ja vakuutus, elintarvikkeet, kuljetus ja liikenne, tietotekniikka ja televiestintä. Vastaava todiste täytäntöönpanosta voidaan antaa tietoturva-auditoinneilla, testeillä tai sertifioinneilla. Tätä tarkoitusta varten voidaan käyttää auditoinnin perustana joko tunnustettuja standardeja, kuten ISO 27001, tai vaihtoehtoisesti Saksan liittovaltion tietoturvaviraston (BSI) tunnustamia toimialakohtaisia turvallisuusstandardeja.

Näytä lisää
Näytä vähemmän
Business11.png

Mikä tekee ISO 27001 -standardista hyödyllisen yritykselleni?

ISO/IEC 27001 -standardin mukaisen ISMS-järjestelmän käyttöönotto on yrityksesi kannalta strateginen päätös. Standardin tarkoituksellisten yleisten vaatimusten täyttämisen on heijastettava yrityksen erityistilannetta. Käyttöönotto yrityksessä riippuu tarpeista ja tavoitteista, turvallisuusvaatimuksista ja organisaatioprosesseista sekä yrityksen koosta ja rakenteesta.

Erityisen arvokasta käytännön kannalta on standardin liitteen A toimenpiteiden toteuttaminen. Johtamisjärjestelmäkeskeisen vaatimusosion (luvut 4-10) lisäksi ISO-standardi sisältää laajan luettelon 35 toimenpidekohteesta (kontrollit), joissa on 114 konkreettista toimenpidettä monenlaisille turvallisuusnäkökohdille 14 luvussa liitteessä A. Toimenpiteet on toteutettava johtamisjärjestelmän puitteissa. Nämä toimenpiteet on toteutettava osana johtamisjärjestelmää, sikäli kuin ne ovat yrityksesi kannalta olennaisia.

Yrityksen prosessien johdonmukainen mukauttaminen ISO 27001 -standardiin on todistetusti johtanut moniin hyötyihin:

  • Turvallisuustason jatkuva parantaminen
  • Olemassa olevien riskien vähentäminen
  • Vaatimustenmukaisuusvaatimusten noudattaminen
  • Työntekijöiden tietoisuuden lisääntyminen
  • Asiakastyytyväisyyden lisääntyminen

Sisäiset auditoinnit ja johdon katselmukset, joihin ylin johto osallistuu, ovat sisäisiä vipuvoimia tämän saavuttamisessa.

Muita myönteisiä näkökohtia on se, että asianomaiset osapuolet, kuten valvontaviranomaiset, vakuutusyhtiöt, pankit ja kumppaniyritykset, luottavat enemmän yritykseesi. Tämä johtuu siitä, että sertifioitu johtamisjärjestelmä osoittaa, että organisaatiosi käsittelee riskejä järjestelmällisesti ja sitoutuu jatkuvaan parantamiseen (CIP), mikä tekee siitä vastustuskykyisemmän ei-toivotuille vaikutuksille.

Kansainvälinen standardi ISO/IEC 27001 voidaan ottaa käyttöön, käyttää ja sertifioida myös muista johtamisjärjestelmistä, kuten ISO 9001: stä (laadunhallinta) tai ISO 14001:stä (ympäristöasioiden hallinta) riippumatta.

 

Näytä lisää
Näytä vähemmän
Business36.png

Kuka saa suorittaa ISO 27001 -standardin mukaisen sertifioinnin?

Tietoturvallisuuden hallintajärjestelmän sertifioimiseksi sertifiointielimen on oltava akkreditoitu ISO/IEC 17021- ja ISO/IEC 27006 -standardien mukaisesti. ISO/IEC 17021:ssä säännellään vaatimustenmukaisuuden arviointiin liittyviä aiheita, erityisesti vaatimuksia tarkastuslaitoksille, jotka tarkastavat ja sertifioivat hallintajärjestelmiä.

Lisäksi ISO/IEC 27006 määrittelee tiukat vaatimukset, joita sertifiointielinten on noudatettava sertifioidakseen ISO 27001 -standardin mukaisen ISMS-järjestelmän.

Näitä ovat muun muassa:

  • todisteet määritellystä auditointiponnistuksesta
  • auditoijien pätevyyttä koskevat vaatimukset.

DQS on Saksan kansallisen akkreditointielimen DakkS:n (Deutsche Akkreditierungsstelle GmbH) akkreditoima, joten sillä on valtuudet suorittaa ISO 27001 -standardin mukaisia auditointeja ja sertifiointeja.

Riippumatta siitä, millä toimialalla yrityksesi toimii, voit luottaa DQS:n auditoijien erityiseen asiantuntemukseen. Heillä on monen vuoden kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista eri toimialoilla.

Näytä lisää
Näytä vähemmän
Business28.png

Miten ISO 27001 -sertifiointi toimii?

Kun kaikki ISO 27001 -standardin vaatimukset on pantu täytäntöön, voit sertifioida hallintajärjestelmäsi. DQS:ssä käydään läpi monivaiheinen sertifiointiprosessi. Jos yrityksessä on jo sertifioitu johtamisjärjestelmä, prosessia voidaan lyhentää.

Ensimmäisessä vaiheessa keskustelet kanssamme yrityksestäsi ja ISO 27001 -sertifioinnin tavoitteista. Tämän perusteella saat yksityiskohtaisen tarjouksen, joka on räätälöity yrityksesi yksilöllisiin tarpeisiin.

Projektisuunnittelupalaveri voi olla hyödyllinen suuremmissa hankkeissa, jotta esimerkiksi aikatauluja ja auditointien suorittamista voidaan koordinoida paremmin useiden toimipisteiden tai osastojen kanssa. Ennakkoauditointi tarjoaa tilaisuuden tunnistaa johtamisjärjestelmänne vahvuudet ja parannusmahdollisuudet etukäteen. Molemmat palvelut ovat valinnaisia.

Sertifiointiauditointi alkaa ISMS-järjestelmänne järjestelmäanalyysillä ja -arvioinnilla (auditointivaihe 1). Tässä auditoija määrittää, onko johtamisjärjestelmäsi riittävän kehittynyt ja valmis sertifiointia varten. Seuraavassa vaiheessa (järjestelmän auditointivaihe 2) auditoijasi arvioi ISO 27001 -standardia soveltaen kaikkien hallintoprosessien tehokkuutta paikan päällä. Auditoinnin tulos esitellään loppukokouksessa. Tarvittaessa sovitaan toimintasuunnitelmista.

Sertifiointiauditoinnin jälkeen DQS:n riippumaton sertifiointilautakunta arvioi tulokset. Jos kaikki standardin vaatimukset täyttyvät, saat ISO 27001 -sertifikaatin.

Onnistuneen sertifioinnin jälkeen ISMS-järjestelmänne keskeiset osat auditoidaan uudelleen paikan päällä vähintään kerran vuodessa jatkuvan parantamisen varmistamiseksi.

ISO 27001 -sertifikaatti on voimassa enintään kolme vuotta. Uudelleensertifiointi suoritetaan hyvissä ajoin ennen sertifikaatin voimassaolon päättymistä, jotta voidaan varmistaa, että sovellettavan standardin vaatimuksia noudatetaan jatkuvasti. Vaatimusten täyttymisen jälkeen myönnetään uusi sertifikaatti.

Banking13.png

Mitä ISO 27001 -sertifiointi maksaa?

Neljä arviointikriteeriä

Vaikka ISO 27001 -auditointi on suoritettava strukturoitujen eritelmien mukaisesti, kustannukset riippuvat useista tekijöistä, kuten organisaatiosi monimutkaisuudesta. Siksi millekään yritykselle ei voi olla yhtä ainoaa tarjousta, joka sopii kaikille.

ISO 27001 -sertifioinnin kustannukset määritetään muun muassa seuraavien neljän kriteerin perusteella:

1. Tietoturvallisuuden hallintajärjestelmänne monimutkaisuus.

Yrityksesi kriittiset arvot (esimerkiksi patentit, henkilötiedot, tilat, prosessit) otetaan huomioon. Sertifioinnin kustannukset perustuvat ensisijaisesti tietoturvavaatimuksiin ja siihen, missä määrin tietojen luottamuksellisuus, eheys ja saatavuus (VIV) vaikuttavat.

2. Yrityksenne ydintoiminta ISMS:n soveltamisalalla.

Tässä vaiheessa erityisesti liiketoimintaprosesseihisi liittyvät riskit ovat tärkeässä asemassa määriteltäessä tarvittavaa auditointipanostusta. Lakisääteiset vaatimukset otetaan huomioon samoin kuin monimutkaiset, yksilölliset asiakasvaatimukset.

3. ISMS-järjestelmässänne käytetyt tärkeimmät tekniikat ja komponentit

Auditoinnin aikana tarkastetaan sekä ISMS-järjestelmänne teknologia että yksittäiset komponentit. Näitä ovat IT-alustat, palvelimet, tietokannat, sovellukset sekä verkkosegmentit. Perussääntö tässä yhteydessä on: Mitä suurempi on vakiojärjestelmien osuus ja mitä vähemmän monimutkaista tietotekniikka on, sitä pienempi on työmäärä. ISO 27001 -sertifioinnin kustannukset riippuvat myös tästä.

4 Sisäisen kehittämisen osuus ISMS-järjestelmästäsi.

Jos sisäistä kehittämistä ei ole ja käytätte pääasiassa standardoituja ohjelmistoalustoja, arvioinnin vaiva on pienempi. Jos ISMS-järjestelmällenne on omien kehitettyjen ohjelmistojen intensiivinen käyttö ja jos näitä ohjelmistoja käytetään keskeisillä liiketoiminta-alueilla, sertifioinnin vaiva on suurempi.

Jotta voimme antaa sinulle yleiskuvan ISMS-sertifioinnin kustannuksista, tarvitsemme etukäteen tarkat tiedot liiketoimintamallistasi ja sovellusalueestasi. Näin voimme antaa sinulle räätälöidyn tarjouksen.

Näytä lisää
Näytä vähemmän
Business2.png

Mitä voit odottaa meiltä

  • Yli 35 vuoden kokemus johtamisjärjestelmien ja -prosessien sertifioinnista
  • Alan kokeneita auditoijia ja asiantuntijoita, joilla on vahva tekninen tietämys
  • Lisäarvoa tuova näkemys yrityksestäsi
  • Kansainvälisesti hyväksytyt sertifikaatit
  • Asiantuntemusta ja akkreditointeja kaikkien asiaankuuluvien standardien osalta
  • Asiantuntijoidemme henkilökohtainen, sujuva tuki - alueellisesti, kansallisesti ja kansainvälisesti
  • Yksilölliset tarjoukset joustavilla sopimusehdoilla ilman piilokustannuksia
dqs-shutterstock-1461128441.jpg

Pyydä tarjous

Paikallinen yhteyshenkilönne

Annamme mielellämme yksilöllisen tarjouksen ISMS-järjestelmänne ISO 27001 -sertifioinnista.

Ota yhteyttä

Onko kysyttävää?

Olemme täällä sinua varten.
Ota yhteyttä