ISO/IEC 27001

Menetelmän kuvaus

ISO/IEC 27001 on tietoturvallisuuden hallinnan riippumattomasti sertifioitava laatujärjestelmä. Kansainvälisen ISO/IEC 27001-standardin mukainen ja sertifioitu tietoturvallisuuden hallintajärjestelmä osoittaa, että organisaatio johtaa tietojensa turvaamista pitääkseen ne virheettöminä, helposti käytettävissä ja hyvin suojattuina. ISO/IEC 27001 kertoo tietoturvallisuudesta asiakkaille ja muille sidosryhmille, että organisaatio panostaa riskien hallintaan ja on luotettava yhteistyökumppani.

Tietoturvastandardi sisältää joukon tietoturvakontrolleja, joilla tietoturvallisuus voidaan varmistaa. ISO/IEC 27001:2013 –standardissa oli 114 tietoturvakontrollia, jotka jakautuivat 14 eri osa-alueeseen (esim. pääsynhallintaan on 14 eri kontrollia ja tietoturvallisuuden organisointiin on 7 eri tietoturvakontrollia).

Miten menetelmää käytetään?

ISO/IEC 27001 on virallinen tietoturvallisuuden sertifioitava laatujärjestelmä, jonka sertifiointi edellyttää standardin täsmällisten määritysten täyttämistä.

ISO/IEC 27001 –standardiin määritettyjä vaatimuksia voidaan kuitenkin hyödyntää organisaation oman tietoturvallisuuden hallinnan kehittämisessä. Tutustu ISO/IEC 27001 –vaatimuksiin (maksullinen) ja vertaa niitä oman organisaatiosi tietoturvallisuuden hallintaan ja kontrolleihin. Tunnista poikkeamat ja analysoi ne. Priorisoi poikkeamat ja laadi suunnitelma tietoturvallisuuden hallintasi kehittämiseksi prioriteettien mukaisesti. Tarkista ISO/IEC 27001 –vaatimusten täyttyminen, kun suunnittelet uusia ratkaisuja ja toimintamalleja. Käytä vaatimuksia hyödyksi myös hankinnoissa.

Polun vaiheet, johon menetelmä soveltuu

Johtaminen

KiinnostuKartoitaKokeileKehitäKäytä

Kehittäminen

Tunnista tilanteesiLaadi visio ja strategiaLuo kehittämispolku ja ydinkyvykkyydetJohda ideatuotantoa ja kokeilujaJohda ketterää toteutusta

Kuka tai ketkä tyypillisesti käyttävät menetelmää

Tietoturvallisuuden hallinnan omistaja, tietoturvapäällikkö, tietoturva-asiantuntijat, kehittäjät, ylläpitäjät

Osaaminen, jota menetelmän käyttö tarvitsee

Hyvä yleinen tietoturvaosaaminen