Onko haaveissa olla ISO27001 yhteensopiva? Thomas on kirjoittanut blogin millaisista lähtökohdista ISO27001 sertifiointiprojektiin voi lähteä. Tässä blogissa avataan riskienhallinnan merkitystä ISO27001-sertifikaattia tavoiteltaessa.
ISO27001 riskienhallinnan vaatimusten täyttäminen
Iso osa ISO27001 ISMS-vaatimusten (Information Security Management System) täyttämistä on tietoturvariskienhallinta. Itse standardissa riskienhallinta ei näy lainkaan kontrolleissa (ISO27001 Annex A ja ISO27002), riskienhallinnan vaatimukset ovat sisäänrakennettuna ISMS-prosessin hallintaan päästandardissa ja linkittyvät sitä kautta kontrolleihin. Riskienhallinta määritellään standardin kohdissa Suunnittelu (Planning) ja Operointi (Operation), lisäksi monitorointiin ja raportointiin liittyvissä kohdissa edellytetään riskilähtöistä dokumentointia ja viestintää. Standardiperheeseen kuuluu ISO27005, jossa kuvataan riskienhallinnan tavoitetilaa ja annetaan ohjeistus, miten täyttää ISO27001 vaatimukset riskienhallinnasta.
ISO27001 sertifiointia tavoitellessa on tärkeää muistaa lukea myös itse päästandardia eikä vain kontrollilistaa, vaikka useat työkalut lähtevät projektiin hieman kontrollilähtöisesti.
Kun yritys ottaa käyttöön riskienhallinnan prosesseja, IT-riskienhallinnalla käsitetään usein vain työasemahallinta ja työn tekemiseen liittyvät laitteet, esimerkiksi omassa hallinnassa olevat palvelimet. ISO27001 käsittää ”assetteina” eli omaisuutena myös käytettävät sovellukset, liiketoiminnan tukijärjestelmät ja -prosessit sekä eteenkin kohteeseen (scope) liittyvän tiedon (data, information).
Miten riskienhallintaa kannattaa lähestyä?
Ei ole tarkoituksenmukaista keksiä IT- tai tietoturvaorganisaatiossa pyörää uudelleen vaan käyttää mahdollisuuksien mukaan olemassa olevaa mallia ja täydentää sitä tarvittavilta osin. Mikäli riskienhallintamallia ei ole, on hyödyllistä suunnitella koko organisaation operatiivisten riskienhallintaa tukeva malli, ja ottaa suunnitteluun mukaan liiketoimintariskeistä vastaavia henkilöitä. Tai jos käynnissä on ISO9001 laatusertifikaatin mukainen kehitys kannattaa tarkistaa projektiin mukaan ISO270001 vaatimukset, jotta kaksi kärpästä saadaan yhdellä iskulla. ISO9001 mukainen riskienhallinta ei täytä kaikilta osin tietoturvariskienhallinnan vaatimuksia, joten riskienhallintaa ei voi sivuttaa täysin ISO27001-projektissa ISO9001 perusteella. ISO9001 riskienhallinnanprosessi tukee kuitenkin hyvin tietoturvariskienhallinnanprosessia ja pienillä päivitykisllä päästään ISO27001 yhteensopivaan malliin.
Joka tapauksessa onnistunut ISO27001 sertifiointiprojekti linkittää päivittyvän ja säännöllisesti raportoitavan riskienhallinnan sujuvaksi osaksi ISMS-prosessia. Onnistuneessa prosessissa riskit liittyvät määriteltyyn ISO27001 kohteeseen (scope) ja omaisuuteen (assets) liiketoimintalähtöisesti.
Tarvitaanko konsultteja mihinkään?
Riskienhallinnan prosessin luomisessa konsultilta löytyy asiantuntemusta ja kokemusta prosessin luomisesta. Mikään ei vaadi tai edellytä konsulttien käyttöä, jokainen yritys voi työstää asioita itse. Olemassa olevan riskienhallintaprosessin tarkastelemisessa ISO27001 vasten tai uuden ISO27001 mukaisen riskienhallintaprosessin luomisessa konsultteja voi hyödyntää esimerkiksi seuraavista syistä:
- Ulkopuolinen ja neutraali näkemys kokonaisuuteen
- Kokemus siitä, ”kannattaako tehdä näin vai näin”
- Toiminta on heti organisoitunutta
- Omaa aikaa ei yksinkertaisesti ole
- Valmiita hyvässä voissa paistettuja näkemyksiä ja aihioita työstettäväksi
Riskien määrittely ja arviointi vaatii aina liiketoimintaa ja yrityksen toimintatapoja ymmärtävän osallistujatiimin. Konsulttia voi riskiarvioinneissa hyödyntää fasilitoijana tai dokumentoijana esimerkiksi seuraavasti:
- Riskikartoituskokonaisuuden suunnittelu
- Riskikartoituksen fasilitointi (työpajatyöskentely)
- Riskien dokumentointi työpajojen pohjalta
- ISO27001 kohteen ja omaisuuden kohdentaminen riskeihin
Miten alkaa kehittää tietoturvan johtamisjärjestelmää, ISMS:ää
Tietoturvan johtamisjärjestelmän kehittämispäätös lähtee liiketoiminnasta ja liiketoiminnan tarpeesta. Johtamisjärjestelmän kehittäminen voidaan katsoa tietoturvatoiminnan aikuistumisena ja kypsymisenä.
ISMS – mikä se on ja mihin sitä tarvitaan?
Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.
Tietoturvaprosessit
Tietoturvaprosessien kehittäminen & ISMS Tietoturvaprosessien kehittäminen lyhyesti Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja
