Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Onko haaveissa olla ISO27001 yhteensopiva? Thomas on kirjoittanut blogin millaisista lähtökohdista ISO27001 sertifiointiprojektiin voi lähteä. Tässä blogissa avataan riskienhallinnan merkitystä ISO27001-sertifikaattia tavoiteltaessa.

ISO27001 riskienhallinnan vaatimusten täyttäminen

Iso osa ISO27001 ISMS-vaatimusten (Information Security Management System) täyttämistä on tietoturvariskienhallinta. Itse standardissa riskienhallinta ei näy lainkaan kontrolleissa (ISO27001 Annex A ja ISO27002), riskienhallinnan vaatimukset ovat sisäänrakennettuna ISMS-prosessin hallintaan päästandardissa ja linkittyvät sitä kautta kontrolleihin. Riskienhallinta määritellään standardin kohdissa Suunnittelu (Planning) ja Operointi (Operation), lisäksi monitorointiin ja raportointiin liittyvissä kohdissa edellytetään riskilähtöistä dokumentointia ja viestintää. Standardiperheeseen kuuluu ISO27005, jossa kuvataan riskienhallinnan tavoitetilaa ja annetaan ohjeistus, miten täyttää ISO27001 vaatimukset riskienhallinnasta.

ISO27001 sertifiointia tavoitellessa on tärkeää muistaa lukea myös itse päästandardia eikä vain kontrollilistaa, vaikka useat työkalut lähtevät projektiin hieman kontrollilähtöisesti.

Kun yritys ottaa käyttöön riskienhallinnan prosesseja, IT-riskienhallinnalla käsitetään usein vain työasemahallinta ja työn tekemiseen liittyvät laitteet, esimerkiksi omassa hallinnassa olevat palvelimet. ISO27001 käsittää ”assetteina” eli omaisuutena myös käytettävät sovellukset, liiketoiminnan tukijärjestelmät ja -prosessit sekä eteenkin kohteeseen (scope) liittyvän tiedon (data, information).

Calculated risk

Miten riskienhallintaa kannattaa lähestyä?

Ei ole tarkoituksenmukaista keksiä IT- tai tietoturvaorganisaatiossa pyörää uudelleen vaan käyttää mahdollisuuksien mukaan olemassa olevaa mallia ja täydentää sitä tarvittavilta osin. Mikäli riskienhallintamallia ei ole, on hyödyllistä suunnitella koko organisaation operatiivisten riskienhallintaa tukeva malli, ja ottaa suunnitteluun mukaan liiketoimintariskeistä vastaavia henkilöitä. Tai jos käynnissä on ISO9001 laatusertifikaatin mukainen kehitys kannattaa tarkistaa projektiin mukaan ISO270001 vaatimukset, jotta kaksi kärpästä saadaan yhdellä iskulla. ISO9001 mukainen riskienhallinta ei täytä kaikilta osin tietoturvariskienhallinnan vaatimuksia, joten riskienhallintaa ei voi sivuttaa täysin ISO27001-projektissa ISO9001 perusteella. ISO9001 riskienhallinnanprosessi tukee kuitenkin hyvin tietoturvariskienhallinnanprosessia ja pienillä päivitykisllä päästään ISO27001 yhteensopivaan malliin.

Joka tapauksessa onnistunut ISO27001 sertifiointiprojekti linkittää päivittyvän ja säännöllisesti raportoitavan riskienhallinnan sujuvaksi osaksi ISMS-prosessia. Onnistuneessa prosessissa riskit liittyvät määriteltyyn ISO27001 kohteeseen (scope) ja omaisuuteen (assets) liiketoimintalähtöisesti.

LIIKETOIMINTA JA STRATEGIA
SCOPE
SECURITY OBJECTIVES
ASSETS
RISKIT JA RISKIREKISTERI
KONTROLLIT

Tarvitaanko konsultteja mihinkään?

Elina Partanen

Riskienhallinnan prosessin luomisessa konsultilta löytyy asiantuntemusta ja kokemusta prosessin luomisesta. Mikään ei vaadi tai edellytä konsulttien käyttöä, jokainen yritys voi työstää asioita itse. Olemassa olevan riskienhallintaprosessin tarkastelemisessa ISO27001 vasten tai uuden ISO27001 mukaisen riskienhallintaprosessin luomisessa konsultteja voi hyödyntää esimerkiksi seuraavista syistä:

  • Ulkopuolinen ja neutraali näkemys kokonaisuuteen
  • Kokemus siitä, ”kannattaako tehdä näin vai näin”
  • Toiminta on heti organisoitunutta
  • Omaa aikaa ei yksinkertaisesti ole
  • Valmiita hyvässä voissa paistettuja näkemyksiä ja aihioita työstettäväksi


Riskien määrittely ja arviointi vaatii aina liiketoimintaa ja yrityksen toimintatapoja ymmärtävän osallistujatiimin. Konsulttia voi riskiarvioinneissa hyödyntää fasilitoijana tai dokumentoijana esimerkiksi seuraavasti:

  • Riskikartoituskokonaisuuden suunnittelu
  • Riskikartoituksen fasilitointi (työpajatyöskentely)
  • Riskien dokumentointi työpajojen pohjalta
  • ISO27001 kohteen ja omaisuuden kohdentaminen riskeihin

ISMS – mikä se on ja mihin sitä tarvitaan?

Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.

Lue lisää »
Team meeting

Tietoturvaprosessit

Tietoturvaprosessien kehittäminen & ISMS Tietoturvaprosessien kehittäminen lyhyesti Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja

Lue lisää »
Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.