Teollisuus 4.0, niin sanottu neljäs teollinen vallankumous, tarkoittaa kehityksen, tuotannon, logistiikan ja asiakkaiden älykästä verkottumista. Se edustaa lukuisia tietoja ja dataa, joilla on usein eksistentiaalista arvoa organisaatioille. Niiden saatavuuden, eheyden ja luottamuksellisuuden suojaaminen on keskeinen tehtävä. Tietoturva käsittää kaikki toimenpiteet, jotka auttavat tiedostamaan olemassa olevat riskit, tunnistamaan ne ja toteuttamaan asianmukaiset ja sopivat toimenpiteet niiden suojaamiseksi.
Tietojenkäsittelyn puutteellisen tietoturvan vuoksi pelkästään Saksan talous kärsii vuosittain miljardien eurojen vahingot. Syyt tähän ovat monitahoisia ja vaihtelevat ulkoisista häiriöistä, teknisistä virheistä, teollisuusvakoilusta entisten työntekijöiden harjoittamaan tietojen väärinkäyttöön. Mutta vain ne, jotka tunnistavat haasteet, voivat myös ryhtyä asianmukaisiin toimenpiteisiin. Kansainvälisesti tunnustetun ISO 27001 -standardin mukainen hyvin jäsennelty tietoturvan hallintajärjestelmä on optimaalinen perusta kokonaisvaltaisen turvallisuusstrategian tehokkaalle toteuttamiselle. Mitä tämä tarkalleen ottaen tarkoittaa ja mitä on otettava huomioon? Saat vastaukset tärkeisiin ISO 27001 -standardia koskeviin kysymyksiin täältä.
SISÄLTÖ
- Mitä tietoturva on?
- Mitkä ovat tietoturvan suojaustavoitteet?
- Mikä on tietoturvallisuuden hallintajärjestelmä?
- Mille organisaatioille ISO 27001 on hyödyllinen?
- Mitkä ovat tietoturvallisuuden hallintajärjestelmän edut?
- Mikä on ihmisten rooli?
- ISO 27001 - Kysymyksiä käyttöönotosta
- Miksi ISO 27001 -sertifiointi?
- DQS - Mitä voimme tehdä puolestasi?
Mitä tietoturva on?
Vastaus tähän kysymykseen on melko yksinkertainen tietoturvaa koskevan kansainvälisen standardiperheen ISO 2700x osalta:
"Tieto on tietoa, jolla on arvoa organisaatiolle."
ISO/IEC 27000:2020-06: Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Yleiskatsaus ja sanasto.
Tieto on näet omaisuus, joka ei saa joutua asiattomien käsiin ja joka vaatii asianmukaista suojausta.
Tietoturva on siis kaikkea sitä, mikä liittyy yrityksen tietovarallisuuden suojaamiseen. Ratkaisevaa tässä on olla tietoinen yrityksen yhteydessä olevista riskeistä,tai paljastaa ne ja torjua ne tarpeisiin perustuvilla asianmukaisilla toimenpiteillä.
"Tietoturva ei ole tietoturvaa"
Tietoturva viittaa vain käytössä olevan teknologian turvallisuuteen eikä suojattavaan yritysomaisuuteen. Organisaationäkökohdat, esimerkiksi käyttöoikeudet, vastuualueet tai hyväksymismenettelyt, sekä psykologiset näkökohdat ovat myös olennaisessa asemassa tietoturvassa. Turvallinen tietotekniikka suojaa kuitenkin myös yrityksessä olevaa tietoa.
Mitkä ovat tietoturvan suojaustavoitteet?
Kansainvälisen standardin ISO/IEC 27001 mukaan tietoturvan suojaustavoitteet koostuvat kolmesta pääkohdasta:
- Luottamuksellisuus - luottamuksellisten tietojen suojaaminen luvattomalta käytöltä joko tietosuojalainsäädännön tai liikesalaisuuksien perusteella, jotka kuuluvat esimerkiksi liikesalaisuuslain piiriin. Luottamuksellisuuden taso on tässä yhteydessä olennainen.
- Eheys - riskien minimointi, kaikkien tietojen täydellisyyden ja luotettavuuden varmistaminen.
- Saatavuus - varmistetaan tietojen, rakennusten ja järjestelmien käyttöoikeus ja käytettävyys luvallisille käyttäjille. Tämä on olennaista prosessien ylläpitämisen kannalta.
Sertifioitu tietoturva ISO 27001 -standardin mukaisesti
Suojaa tietosi kansainvälisten standardien mukaisella hallintajärjestelmällä ✓ DQS tarjoaa yli 35 vuoden kokemuksen sertifioinnista ✓.
Keskeiset kysymykset tietoturvasta
- Mitkä ovat yritykseni arvot?
- Mitkä yrityksen arvot on suojattava?
- Mille hyökkäyksille yrityksen omaisuus on alttiina?
- Kenen etujen mukaista on suojella näitä tietoja?
- Mitkä ovat asianmukaiset toimenpiteet?
Mikä on tietoturvallisuuden hallintajärjestelmä?
ISO/IEC 27001 -standardin mukaisessa tietoturvallisuuden hallintajärjestelmässä (ISMS) määritellään suuntaviivat, säännöt ja menetelmät, joilla varmistetaan organisaatiossa suojattavan tiedon turvallisuus. Se tarjoaa mallin suojan tason käyttöönottoa, toteuttamista, seurantaa ja parantamista varten - ISO 9001:stä tutun systemaattisen PDCA-syklin (Plan-Do-Check-Act) mukaisesti.
Tavoitteena on tunnistaa ja analysoida mahdolliset riskit ja tehdä niistä hallittavissa olevia asianmukaisilla toimenpiteillä.
Miksi tietoturvallisuuden hallinta on tärkeää?
Menestyvät organisaatiot käyttävät nykyaikaisten johtamisjärjestelmien rakennetta ja avoimuutta uhkien havaitsemiseen ja nykyaikaisten turvajärjestelmien käyttöönoton kohdentamiseen. Tietoturvallisuuden hallintajärjestelmän ytimessä on oman tietovarallisuutesi, kuten henkisen omaisuuden, talous- ja henkilöstötietojen sekä asiakkaiden tai kolmansien osapuolten sinulle uskomien tietojen turvallisuus.
"Tietoturva tarkoittaa aina merkittävien ja arvokkaiden tietojen suojaamista."
Riskejä, joille suojaamisen arvoinen tieto altistuu, on monia. Ne voivat aiheutua aineellisista, inhimillisistä ja teknisistä tietoturvauhista. Mutta vain ISMS:n kokonaisvaltaisella, ennaltaehkäisevällä johtamisjärjestelmälähestymistavalla voidaan puuttua uhkien koko kirjoon ja varmistaa yrityksen liiketoiminnan jatkuvuus.
Mille organisaatioille ISO 27001 on hyödyllinen?
Vastaus tähän kysymykseen on hyvin yksinkertainen: kaikille. ISO 27001 -standardia voidaan periaatteessa soveltaa kaikissa organisaatioissa niiden tyypistä, koosta ja toimialasta riippumatta. Ja: kaikki organisaatiot hyötyvät jäsennellyn hallintajärjestelmän eduista. ISMS:n käyttöönottoon vaikuttavat seuraavat tekijät:
- vaatimukset ja liiketoiminnan tavoitteet
- tietoturvatarpeet
- sovellettavat liiketoimintaprosessit
- organisaation koko ja rakenne
Mitkä ovat tietoturvallisuuden hallintajärjestelmän hyödyt?
Tärkeä kysymys. ISO 27001 -standardissa muotoillaan vaatimukset prosessikeskeisen tietoturvallisuuden hallintajärjestelmän järjestelmälliselle suunnittelulle ja toteuttamiselle. Tällä kokonaisvaltaisella lähestymistavalla voidaan saavuttaa ratkaisevia etuja:
- Arkaluonteisten tietojen turvallisuudesta tulee kiinteä osa yrityksen prosesseja.
- Tietojen luottamuksellisuuden, saatavuuden ja eheyden suojelutavoitteiden ennaltaehkäisevä turvaaminen.
- Liiketoiminnan jatkuvuuden säilyttäminen tietoturvatason jatkuvan parantamisen avulla.
- Työntekijöiden herkistäminen ja merkittävästi lisääntynyt tietoturvatietoisuus yrityksen kaikilla tasoilla.
- Tehokkaan riskinhallintaprosessin luominen
- Luottamuksen rakentaminen asianomaisten osapuolten kanssa (esim. tarjouskilpailut) osoittamalla arkaluonteisten tietojen turvallinen käsittely.
- Asiaankuuluvien vaatimustenmukaisuuden vaatimusten noudattaminen, toimintavarmuuden ja oikeusvarmuuden lisääminen.
Miten mahdollisia riskejä voidaan hallita?
Turvallisuusriskit voivat johtua aineellisista, inhimillisistä ja teknisistä uhkista. Jotta organisaatiossa saavutettaisiin jäljitettävissä oleva ja asianmukainen turvallisuustaso, tarvitaan määritelty riskienhallintaprosessi tai -menetelmä riskien arviointia, riskien käsittelyä ja riskien seurantaa varten. ISO/IEC 27005 -standardissa annetaan hyviä ohjeita tietoturvariskien hallinnasta.
Mikä on ihmisten rooli?
Ihmiset ovat myös riskitekijä, sillä arkaluonteisten tietojen käsittely koskee poikkeuksetta kaikkia yrityksen työntekijöitä ja yhteistyökumppaneita. He aiheuttavat lisääntyneen tietoturvariskin joko tietämättömyyden tai inhimillisen erehdyksen vuoksi. Mutta vain harvat organisaatiot säätelevät, kuka saa päästä käsiksi mihinkin tietoihin ja miten niitä on käsiteltävä.
"Uusi vallan lähde ei ole enää raha harvojen käsissä, vaan tieto monien käsissä." John Naisbitt, *1929, amerikkalainen. Tulevaisuudentutkija
Sitovat säännökset ja tietoisuus kaikista tietoturvaan liittyvistä huolenaiheista ovat siis perusedellytys. Yrityspolitiikan mukauttamista tai sopivan tietoturvapolitiikan kehittämistä pidetään tässä yhteydessä välttämättömänä. Työntekijöiden tarvittava herkistäminen kaikilla (johto)tasoilla on pomon asia, ja se voi tapahtua esimerkiksi koulutusten, työpajojen tai henkilökohtaisten keskustelujen avulla.
ISO 27001 - täytäntöönpanokysymykset
Kysymykseen siitä, onko yrityksellä jo oltava käytössä esimerkiksi ISO 9001:n mukainen johtamisjärjestelmä, voidaan vastata selvästi "ei". ISO 27001 on yleisstandardi, ja se - kuten kaikki johtamisjärjestelmästandardit - on itsenäinen. Tämä tarkoittaa, että organisaatio voi perustaa ja ottaa käyttöön tietoturvallisuuden hallintajärjestelmän milloin tahansa ja riippumatta olemassa olevista rakenteista.
Yritykset, joilla on ISO 9001:n mukainen laadunhallintajärjestelmä, ovat kuitenkin jo luoneet hyvän pohjan kattavan tietoturvan vaiheittaiselle käyttöönotolle.
ISO 27001 perustuu rakenteeltaan ja lähestymistavaltaan kaikkien prosessipohjaisten johtamisjärjestelmästandardien pakolliseen perusrakenteeseen, High Level Structure -rakenteeseen. Näin ollen se tarjoaa mahdollisuuden integroida tietoturvallisuuden hallintajärjestelmä helposti jo olemassa olevaan hallintajärjestelmään. Myös ISO 27001 -standardin ja ISO 20000-1 -standardin (IT-palvelunhallinta) tai ISO 22301 -standardin (liiketoiminnan jatkuvuuden hallinta) yhteinen sertifiointi DQS:n toimesta on mahdollista.
Mitkä asiakirjat voivat tukea käyttöönottoa?
Kokonaisvaltaisen tietoturvallisuuden hallintajärjestelmän käyttöönoton ensisijainen perusta on kansainvälinen ISO/IEC 2700x -standardiperhe. Se on tarkoitettu tukemaan kaikentyyppisiä ja -kokoisia organisaatioita ISMS:n käyttöönotossa ja käytössä. Organisaation sisäisen käyttöönoton aste voidaan tarkistaa sisäisen auditoinnin avulla.
Standardisarjan hyödyllisiä osia ovat
- ISO/IEC 27000:2018: Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Yleiskatsaus ja sanasto.
- ISO/IEC 27001:2013: Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Vaatimukset.
- ISO/IEC 27002:2013: Tietotekniikka - Tietoturvatekniikat - Käytännesäännöt tietoturvavalvonnalle.
- ISO/IEC 27003:2017: Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Ohjeet.
- ISO/IEC 27004-2016: Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallinta - Seuranta, mittaus, analyysi ja arviointi.
- ISO/IEC 27005:2018: Tietotekniikka - Tietoturvatekniikat - Tietoturvariskien hallinta.
Kaikki määräykset ovat saatavilla ISOn verkkosivuilta.
ISO 27001 - Kysymyksiä tietoturvavastaavasta?
Vaatiiko ISO 27001 tietoturvavastaavaa? Vastaus on "kyllä".
Yksi tietoturvallisuuden hallintajärjestelmään kuuluva tehtävä on, että ylin johto nimittää tietoturvavastaavan. Tietoturvavastaava on yhteyshenkilö kaikissa tietoturva-asioissa. Hänet olisi integroitava kaikkiin ISMS-prosesseihin ja hänen olisi oltava tiiviissä yhteydessä IT-päälliköihin - esimerkiksi valittaessa uusia IT-komponentteja ja IT-sovelluksia.
Miksi ISO 27001 -sertifiointi?
Akkreditoituun menettelyyn perustuva sertifiointi on todiste siitä, että on otettu käyttöön johtamisjärjestelmä ja toimenpiteet tietovarallisuuden järjestelmälliseksi suojaamiseksi. Sertifikaatilla osoitat mustaa valkoisella, että olet onnistuneesti luonut tämän järjestelmän ja sitoutunut sen jatkuvaan parantamiseen.
Maailmanlaajuisesti arvostettu DQS-sertifikaatti on näkyvä osoitus puolueettomasta arvioinnista ja vahvistaa luottamusta yritystäsi kohtaan. Tämä on markkinaetu ja hyvä edellytys tarjouskilpailuissa ja turvallisuuskriittisessä asiakastoiminnassa, kuten rahoituspalvelujen tarjoajilla.
ISO 27001 - Kysymyksiä sertifiointiprosessista
Kaikkiin johtamisjärjestelmiin, jotka akkreditoitu sertifiointielin, kuten DQS, arvioi kansainvälisten sääntöjen (ISO 17021) perusteella, sovelletaan samaa sertifiointiprosessia.
Alkuperäinen sertifiointi koostuu järjestelmäanalyysistä (vaiheen 1 auditointi) ja järjestelmän auditoinnista (vaiheen 2 auditointi), jonka aikana auditoijat varmistavat paikan päällä, että kokonaisjärjestelmä toimii asianmukaisesti ja että kaikki vaatimukset on pantu täytäntöön. Sertifikaatti on tämän jälkeen voimassa 3 vuotta.
Jotta sertifikaatin voimassaolo voidaan taata koko jakson ajan, johtamisjärjestelmä on tarkastettava vuosittain. Ensimmäisenä ja toisena vuonna sertifikaatin myöntämisen jälkeen DQS:n auditoijat suorittavat siksi lyhennettyjä ISMS-auditointeja (valvonta-auditointeja), joissa he tarkastelevat esimerkiksi järjestelmän keskeisten osien tai korjaavien ja ehkäisevien toimenpiteiden tehokkuutta. Uudelleensertifiointi tapahtuu kolmen vuoden kuluttua.
Yritysten, joilla on jo olemassa oleva johtamisjärjestelmä, olisi yhdistettävä auditointiohjelmansa ja haettava integroitujen johtamisjärjestelmiensä yhteistä sertifiointia.
Onko matriisisertifiointi mahdollista?
Matriisisertifiointi on mahdollista yrityksille, joilla on useita toimipaikkoja. Periaatteessa ISO 27001 -standardiin sovelletaan samoja vaatimuksia kuin muihin ISO-standardeihin, kuten ISO 9001:een tai ISO 14001:een. DQS voi varmistaa ISO 27001 -standardin sisällyttämisen olemassa oleviin matriisimenettelyihin eli ulkoisen auditoinnin yhdistämisen muiden standardien kanssa.
Mitkä ovat ISO 27001:n edut TISAXiin verrattuna?
TISAX® (Trusted Information Security Assessment Exchange) kehitettiin teollisuusstandardiksi erityisesti autoteollisuutta varten, ja se on räätälöity alan erityistarpeisiin. TISAX®-arvioinnin perustana on VDA:n tietoturva-arvioinnin (VDA ISA) testiluettelo, joka perustuu muun muassa ISO 27001- tai ISO 27002 -standardien vaatimuksiin ja laajentaa niitä esimerkiksi prototyyppien suojaamiseen tai tietosuojaan.
Lisää arvokasta tietoa löydät TISAX®-tuotesivultamme.
TISAX®:n tavoitteena on varmistaa kattava (tieto)turvallisuus toimitusketjun kaikissa vaiheissa. Lisäksi rekisteröinti tietokantaan yksinkertaistaa vastavuoroista tunnustamismenettelyä. TISAX® on kuitenkin tunnustettu vain autoteollisuudessa. Muiden toimialojen asiakkaat voivat tunnustaa ISO 27001 -standardin vain todisteeksi ISMS-järjestelmästä.
DQS - Mitä voimme tehdä puolestasi
DQS on auditointien ja sertifioinnin asiantuntija - johtamisjärjestelmien ja prosessien osalta. Meillä on yli 35 vuoden kokemus ja 2500 auditoijan tietotaito maailmanlaajuisesti, joten olemme pätevä sertifiointikumppanisi, joka tarjoaa vastauksia kaikkiin ISO 27001 -standardia koskeviin kysymyksiin.
Auditoimme noin 200 tunnustetun standardin ja määräyksen sekä yritys- ja yhdistyskohtaisten standardien mukaisesti. Olimme ensimmäinen saksalainen sertifiointilaitos, joka sai joulukuussa 2000 akkreditoinnin BS 7799-2:lle, ISO/IEC 27001:n edeltäjälle. Tämä asiantuntemus on edelleen osoitus maailmanlaajuisesta menestystarinastamme.
Vastaamme mielellämme kysymyksiisi
Kuinka paljon työtä on tehtävä, jotta ISMS-järjestelmäsi voidaan sertifioida ISO 27001 -standardin mukaisesti? Saat tietoa maksutta ja sitoumuksetta.
Odotamme innolla keskustelua kanssasi.