Onko vastaasi tullut haaste nimeltä ISO 27001, etkä tiedä miten etenisit? Vaatiiko asiakkaasi sinulta tietoturvan hallintajärjestelmää, etkä tiedä mikä se on tai miten sellainen rakennetaan? Jos vastasit kyllä, niin lue eteenpäin!
ISO 27001 on kansainvälinen, standardisoimisjärjestö “International Organization for Standardizations”, julkaisema standardi, joka määrittelee tietoturvan hallintajärjestelmän vaatimukset. Vaatimusten tavoitteena on varmistaa paremmin tietoturvan systemaattinen hallinta organisaatiossa, esimerkiksi riskienhallinnan menetelmiä soveltamalla. Standardin kuvaama tietoturvan hallintajärjestelmä on sovellettavissa niin pieniin kuin suuriinkin yrityksiin ja hallintajärjestelmä voidaan mukauttaa vastaamaan yrityksen riskitasoon ja tarpeisiin kustannustehokkaasti. Huomionarvoista on, että standardi määrittelee vaatimuksia hallintajärjestelmälle, eikä niinkään tietoturvan tasovaatimuksia kuten esimerkiksi Katakri (kansallinen turvallisuusauditointikriteeristö).
Standardin soveltamisala on laaja ja itse aiheeseen tutustuessa kokonaisuus saattaa jäädä epäselväksi, koska itseopiskeluun käytettävissä oleva aika voi olla rajallinen. On tehokkaampaa, jos aihetta lähestyy jäsennellysti asiantuntevan konsultin kanssa. Tällöin vältytään monilta virhekäsityksiltä ja sudenkuopilta, ja näin säästetään kallista aikaa toteutusvaiheessa. Prosessi lähtee käyntiin myös asiakkaan suhteen oikeasta kohdasta, eikä prosessia lähdetä viemään vahingossa väärään suuntaan. Näin päästään heti alkuun kehittämään tietoturvan kannalta oikeita asioita ja asiakaskin pääsee nopeasti näyttämään omalle asiakaskunnalleen kehitystyön tuloksia. Kun käytössä on osaava ISO 27001 – asiantuntija, lisää se myös yrityksen luotettavuutta omille asiakkailleen, ja tarvittaessa kehitystyöstä sekä sen käynnistämisestä voidaan tuottaa myös todistus yrityksen omille asiakkaille. Kun käytössä on luotettava ja osaava kumppani, on tietoturvan hallintajärjestelmä helpompaa ottaa käyttöön ja organisaatio pääseekin heti tehokkaasti liikkeelle.
Asiakkaidemme kohtaamiin haasteisiin ISO 27001 -prosessiin lähdettäessä olemme kehittäneet Starttipaketin. Starttipaketti käy läpi standardin keskeisen asiasisällön ja antaa ISO 27001 standardin vaatimusten mukaiset valmiit dokumenttipohjat käytettäväksesi. Starttipaketti on tarkoitettu tilanteisiin, jossa tarvitaan nopeasti käsitys siitä, mitä standardi vaatii ja mitä sen implementointi mahdollisesti tarkoittaa organisaatiolle. Starttipaketti koostuu useasta moduulista, joista jokainen voidaan käydä läpi itsenäisesti tai paketoituina kokonaisuuksina asiakastarpeen mukaan.
Mitä Starttipaketti pitää sisällään?
Starttipaketti koostuu kahdeksasta eri moduulista. Jokainen moduuli kattaa noin yhden osa-alueen standardin vaatimuksista. Kaikki kahdeksan moduulia kattavat hallintajärjestelmää koskevat vaatimukset, eli standardin vaatimukset 4–10. Moduulit on rakennettu itsenäisiksi, joten niitä voi käydä läpi tarvittaessa yksittäin, omina kokonaisuuksinaan, tai vaikka kaikki kerralla.
Moduuleista voi koostaa yritykselle sopivia kokonaisuuksia eri tarpeisiin. Esimerkiksi Starttipaketin moduulit 1–4, eli ”Intro”, ”Tietoturvan tavoitteet”, ”Tietoturvapolitiikka” ja ”Riskienhallinta” muodostavat kokonaisuuden, josta asiakas saa tiedot ISO 27001 standardin keskeisimmistä vaatimuksista, sekä näitä tukevat dokumenttipohjat. Nämä moduulit kattavat standardin vaatimukset 4–6. Moduulit 5–8, ”Tietoturvaohjeet / politiikat”, ”Tietoturvahäiriöiden hallinta”, ”Jatkuvuus ja toipuminen”, sekä ”Jatkuva parantaminen” kattavat standardin vaatimukset 7–10.
Moduuleja voidaan käydä läpi myös pistemäisesti. Esimerkiksi, jos tietoturvapolitiikka ja muita tietoturvan hallintaan liittyviä rakenteita löytyy jo asiakasorganisaatiosta, mutta riskienhallinnassa on puutteita, niin moduuli 4 ”riskienhallinta” voidaan käydä läpi yksittäisenä. Tällöin päästään koulutuksen ja konsultoinnin kautta puuttumaan riskienhallinnan epäkohtiin tai rakentamaan sellainen nollasta.
Yksittäinen Starttipaketin moduuli muodostaa kokonaisuuden, jossa käydään läpi kyseessä olevaan moduuliin liittyvät standardin aihealueet ja voidaan työpajamuotoisesti esitäyttää valmiit dokumenttipohjat asiakkaan jatkokehitettäväksi.
Mitä Starttipaketilla saavutetaan?
Starttipaketti mahdollistaa nopean ja tehokkaan, jäsennellyn liikkeellelähdön ISO 27001:n laajassa kokonaisuudessa ja implementoinnissa. Starttipaketilla pääsee suoraan tekemään oikeita asioita asiantuntevan konsultin ohjauksessa. Vähäiset resurssit voi kohdistaa oleelliseen ja välttää pahimmat sudenkuopat, samalla kun prosessi saadaan heti alusta jouhevasti käyntiin ja näin ollen tietoturvan hallintajärjestelmä on helpompi ottaa käyttöön.
Jos siis organisaationne harkitsee tai on valmistelemassa ISO 27001 mukaisen tietoturvan hallintajärjestelmän rakentamista, mutta aihe ja sen laajuus ovat vielä hieman hämärän peitossa, niin Starttipaketilla saatte valoa hämärään ja pääsettte nopeammin konkretiaan. Jos taas koette organisaatiossanne, että hallintajärjestelmänne kaipaa viimeistelyä jollain osa-alueella, niin Starttipaketista löydätte tarvitsemanne moduulin, joka antaa tarvittavat tiedot ja tuen osa-alueen viimeistelyyn.
2NS:llä on vuosien kokemus tietoturvan hallintajärjestelmien rakentamisesta ja ylläpidosta. Asiantuntijamme voivat auttaa sinua niin määrittelyssä kuin toteutuksessakin. Kerromme mielellämme lisää palveluistamme!
Marko Mantere
Marko työskentelee 2NS:llä tietoturvakonsulttina ja toimii Starttipaketti-palvelumme tuotevastaavana. Hänellä on laaja kokemus tietoturvan hallintajärjestelmien rakentamisesta.