ISMS & ISO27001

ISMS ja ISO27001 lyhyesti

Tietoturvan johtamisjärjestelmän (ISMS) perustaminen ja sen mukaan toimimisen edut ovat kiistattomia. Tärkeänä osana johtamisjärjestelmää ovat prosessit ja dokumentoidut toimintatavat. Ne auttavat tietoturvallisen ja riskilähtöisen tekemisen parantamisessa ja optimoinnissa, turvaavat tärkeiden toimintojen keskeytymättömän jatkumisen yrityksen muutosvaiheissa ja vähentävät päällekkäistä tekemistä. Johtamisjärjestelmä – tai tietoturvan hallintajärjestelmä – on määrämuotoinen tapa kerätä yhteen kaikki tietoturvaan liittyvät aktiviteetit, toimia hallitusti – ja näyttää tämä ulospäin.

Me autamme rakentamaan johtamisjärjestelmän, joka on standardin mukainen ja myös juuri teidän yrityksenne näköinen ja kokoinen. Sertifioituminen ei ole lähtökohta, vaan lähtökohta on uskottavan näköinen tietoturva, joka ei ole kotikutoinen. Mikäli yrityksenne myöhemmin päättää sertifioitua tai ryhtyy vaikkapa käymään kauppaa sertifioidun yrityksen kanssa, voitte johtamisjärjestelmän avulla osoittaa jo yhteistyön varhaisessa vaiheessa toimivanne oikealla tavalla.

Mitä Mint Security toimittaa

Toimitamme ja kehitämme tietoturvan hallintajärjestelmiä (ISMS) ISO 27001 -pohjalta. Osaamme skaalata viitekehyksen sopimaan erinäköisten ja -kokoisten yritysten tarpeisiin. Olemme toteuttaneet hallintajärjestelmiä yhtiöille, jotka toimivat vahvasti reguloiduilla toimialoilla ja toisaalta myös pienille yrityksille, joiden tarve on toimia moninkertaisesti itseään isompien asiakkaiden kanssa samalla viivalla, puhuen samaa tietoturvakieltä.

Kilpailuetu
Tuomme aina esille tietoturvan kilpailuedun. Ymmärrämme että tietoturva on kustannuserä - tosiasiallisesti näin tulee aina olemaan. Tietoturva on kuin vakuutus, sillä hallitaan riskejä. Mutta olisi yksinkertaisesti tyhmää olla ottamatta kaikkia etuja irti tietoturvasta.
Laki ja regulaatio
Jokainen joutuu noudattamaan lakeja ja säännöksiä. Jotkut tietenkin enemmän kuin toiset. Jotkut melkeinpä hukkuvat siihen. Mutta kukaan ei rakasta regulaatiota. Me osaamme ottaa tästä ilon irti. Se näkyy lopputuloksissa.
Previous
Next

Johdatamme ja neuvomme asiakasta koko projektin ajan. Aina sertifiointiin asti, jos asiakas sitä tavoittelee. Osallistumme prosessien, riskirekisterin ja kontrollien tekemiseen tarvittaessa. Asiakas voi itse valita osallistumisemme asteen. On mahdollista, että toimimme myös vain oikolukijana ja sparraajana. Tämä riippuu asiakkaan omasta resursoinnista, aikatauluista sekä tietenkin osaamisesta. Lopuksi voimme myös tarjota koulutusta ja apua prosessien käyttöönottoon.

Meidän kanssamme asiakas pääsee siihen pisteeseen, jossa hänet auditoidaan. Sertifiointiauditoinnin tekee aina jokin muu taho kuin se, joka on ollut mukana projektissa (tätä edellyttää jo hyvä hallinnointitapa, mutta myös eräänlainen jääviys tekijän ja arvioijan välillä). Me emme suorita ISO 27001 -sertifiointiauditointeja.

Workshop

Aloitamme yleensä hankkeen ISO27001-workshopilla. Workshopissa käydään läpi standardi sekä sertifioitumisen edellytykset. Esittelemme standardin vaatimat prosessit sekä tarvittavat dokumentit ja toimintamallit. Tärkeää on esitellä kokonaisuus myös johdolle. Johdon sitoutuminen projektiin ja sen lopputuloksiin sekä erityisesti sen vaatimaan jatkuvaan työhön ja organisoitumiseen on äärimmäisen tärkeää.

Workshopin aihealueet vaihtelevat toimialan mukaisesti ja toteutus tehdään yrityksen oman sisäisen kypsyyden ehdoilla. Vähintäänkin seuraavat asiat käsitellään workshopissa:

  • Mikä on ISMS ja mikä on ISO27001 ?
  • Tietoturvan tahtotila
  • Roadmap ja asetettujen tietoturvatavoitteiden saavuttaminen halutussa ajassa
  • Mitä pitää dokumentoida – pakolliset dokumentit
  • Toimialastandardit ja viitekehykset, jotka ohjaavat yrityksen toimintaa
  • Yrityksen sertifiointitavoitteet – tavoitellaanko sertifiointia vai muuten vaan määrämuotoista toimintaa
  • ISMS:n asettamat minimivaatimukset ja miten niihin päästään
  • Vuosikello ja organisaatio
  • Riskirekisteri, riskienhallinta ja miten ne liittyvät tietoturvaan
  • Auditoinnit, auditointien suunnittelu ja tavoitteet
  • Jatkuvuuden rooli tietoturvassa
  • Sovelluskehityksen ja tuotekehityksen tietoturvavaatimukset ja -tavoitteet
  • Infrastruktuurin, pilven ja muun tuotantoympäristön tietoturvan vaatimukset ja tavoitteet
  • Tekniset ratkaisut: lokienhallinta, riskirekisteri, insidenttienhallinta, haavoittuvuuskannaus, koodiskannaus
  • Omien kyvykkyyksien tunnistaminen ja pohdinta siitä, mitkä asiat voi ostaa palveluna nyt ja jatkossa

Valmistelemme workshopin huolellisesti muun muassa tutustumalla yrityksen toimialaan, yritykseen itsessän sekä organisaatioon. Katselmoimme myös mahdollisesti meille toimitetut dokumentit etukäteen, ja arvioimme niitä. Workshopin aikana esittelemme standardin sekä rakennamme ymmärrystä siitä, minkälainen projekti sertifiointivalmiuden saavuttaminen tulee olemaan. Workshopin tuloksena syntyy muun muassa alustava suunnitelma projektista sekä projektin ensiaskeleet. Tarvittaessa haastattelemme myös eri sidosryhmien edustajia päivän aikana erikseen.

Workshop hinnoitellaan kiinteästi, jolloin alkukustannus on hallittu.

Projekti

ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohdista liikkeelle. Yhteistä kaikille on kuitenkin asiakaskentästä tai toimintaympäristöstä tuleva vaatimus, jota on vaikea täyttää muulla tavoin, kuin dokumentoidulla tietoturvan hallintajärjestelmällä. Lisäksi projektin alkuvaiheessa on tyypillistä myös jonkinlainen kuvitelma omista kyvyistä ja aikataulusta asioiden suhteen.

Projektissa luodaan kaikki tarvittavat prosessit, dokumentit sekä muut standardin vaatimat asiat. Toimimme mielellämme sprinttipohjaisesti, jolloin asiakas voi arvioida kustannuksia ja me voimme arvioida työmääriä hallitusti projektin edetessä. Asiantuntemuksemme auttaa pitämään fokuksen koko ajan oikeassa tekemisessä. Huolehdimme siitä, että asiat tehdään tarpeellisella huolellisuudella ja tarkkuudella – mutta myös siitä, että tarpeettomia ja yliampuvia ratkaisuja ei tehdä.

Keskittyminen ISO27001 Annex A – eli suomeksi ISO27002 kontrollilistaan perustuvaan toteutustapaan, ei usein ole suoranaisesti hedelmällistä. Jokaisen Annex A:ssa kuvatun kontrollin on heijastettava sitä riskiä, mikä asiaan kuuluu. Riskin arviointia taas ohjaa se, mihin assettiin se kuuluu – ja mikä on tämän assetin tärkeys yritykselle. Tärkeys yritykselle johdetaan suoraan liiketoiminnan ja jatkuvuuden tarpeista – eli yrityksen kriittisistä toiminnoista. Muun muassa tätä asiaa on tarkemmin avattu blogissamme ISMS projektin ensimmäiset askeleet.

Asiakkaiden tarpeet ja ratkaistavat haasteet

Yksittäisten tietoturvaan liittyvien vaatimusten täsmätoteuttaminen on toki mahdollista, mutta pitkässä juoksussa tehotonta. Yksittäiset toimet muuttuvat loputtomaksi ja kohta hallitsemattomaksi todo-listaksi tai backlogiksi, jota pitää olla koko ajan vahtimassa. Varsinkin toimenpiteiden ja niiden tehokkuuden osoittaminen – siis sitä mitä joko sääntely tai asiakkaat oikeasti vaativat – on jopa mahdotonta. Tämä syö sekä aikaa ja rahaa, ja kaikkein kurjinta on se, että tekeminen yleensä toistaa itseään, virheistä ei opita eikä tietoturva viestinä tavoita juuri ketään.

Monissa yrityksissä tietoturvanäkökohtia on yleensä jollain tavalla jo huomioitu käytännön tasolla, mutta niiden tehokkuutta tai vaikutusta ei kyetä asianmukaisesti mittaamaan — eikä tällöin myöskään hyödyntämään niiden tuottavuutta täysimääräisesti. Yrityksellä saattaa jo olla aiemmin kirjoitettua, enemmän tai vähemmän jäsenneltyä tietoturvadokumentaatiota — ehkä tehtynä johonkin yksittäiseen tarpeeseen tai tiettyä, jo mennyttä projektia varten. Oikealla johtamisella myös nämä olemassa olevat materiaalit ja käytännöt voidaan valjastaa hyötykäyttöön.

Lisää, muun muassa tarpeiden tunnistamisesta, on kirjoitettu blogissa Miten alkaa kehittää tietoturvan johtamisjärjestelmää, ISMS:ää.

Prosessien kuvaamisessa ja erityisesti niiden toteuttamisessa on tärkeää osoittaa, että prosessi on jatkuva ja että vuositasolla on toistuvia ja järjestelmällisiä aktiviteetteja. Osoittamisen lisäksi on tietenkin tärkeää myös toimia omien toimintamallien mukaisesti joka tilanteessa. Tietoturva on osa laatua ja laatulupausta.

Tarkemmin menetelmistämme ja työkaluistamme

Käytämme koko ISO27000-standardiperhettä työmme tukena. Lisäksi työkalupakistamme löytyy tuntemusta standardia tukevista viitekehyksistä kuten OWASP SAMM ja BSIMM sovelluskehityksen puolelta, sekä mm. finanssialan monenlaisista vaatimuksista. Pilven teknisten kontrollien osalta sovellamme mielellämme CSA:n ohjeita ja materiaaleja. Pystymme tuomaan haavoittuvuudenhallinnan osaksi yrityksen toimintaa. Meillä on myös oma ratkaisu riskirekisteriin ja insidenttienhallintaan, jonka voimme toimittaa käyttöönne.

Teemme ketteriä projekteja, jotka tuottavat apua ja arvoa. Projektin aikana koko tiimimme osaaminen, lähtien riskien analysoinnista loppuen tiettyjen teknisten kontrollien tietoturvatestaamiseen, on käytössä.

Monta viitekehystä - yksi työ
Käytämme viitekehyksiä hyväksemme. Meillä on valmiit käytännöt eri standardien ja vaatimuskehysten rinnakkaisvertailuun. Pyrimme tekemään asioita kerran, kunnolla - ja osoittamaan asioiden olevan kunnossa monesta eri näkökulmasta.
Regulaatio ja standardit
Toimimme hyvin eri regulaatioiden ja standardien syövereissä. Skaalaudumme erityisesti alaspäin, siten että myös pienet yritykset voivat saada hyötyä virallisista standardeista - hukkumatta byrokratiaan. Tämä on itse asiassa yksi useimmiten eteen tuleva case.
Parhaimmat käytännöt
Toteutamme standardeja ja regulaatiota, mutta hyödynnämme aina markkinoilla olevia valmiita aihioita ja työkaluja. Sovitamme yhteen yrityksen työtavat, hyvät käytännöt sekä viralliset standardit.
Previous
Next
Referenssimateriaali
Holm Security - Latest Scans
Holm Security
Saku Tuominen

Holm Security VMP ja ISO 27001

Mitä yhteistä haavoittuvuusskannereilla ja johtavalla kansainvälisellä tietoturvastandardilla on keskenään? Itse asiassa aika paljonkin. Tässä kirjoituksessa tarkastellaan, kuinka Holm Security VMP -alusta vastaa ISO 27001:n vaatimuksiin organisaation tietojärjestelmien haavoittuvuuksien havaitsemisesta, riskinarvioinnista ja korjaavien toimenpiteiden suorittamisesta.

Read More »
isms
Thomas

ISMS projektin ensimmäiset askeleet

ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.

Read More »
business
Saku Tuominen

ISMS – mikä se on ja mihin sitä tarvitaan?

Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.

Read More »

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.