Jyrki LahnalahtiTuotepäällikkö

Inspecta Oy

SFS-ISO/IEC 27000Tietoturvallisuuden hallintajärjestelmät.

Yleiskuvaus ja sanasto

Julkaisutilaisuus 11.10.2016

Standardin julkaisutilaisuus 2016-10-11SFS-ISO/IEC 27000:2016

Jyrki Lahnalahti, tuotepäällikköJulkinen

2016-10-10

JULKINEN3

Osalla Inspectasta on juurensa julkisissa organisaatioissa ja yrityksissä.Pitkä lahjomattomuuden, laatuun panostamisen ja ammattitaidon perintö.Vahva kasvu orgaanisesti ja yritysostoin Suomessa, Ruotsissa, Norjassa, Tanskassa, Latviassa, Liettuassa ja Virossa.

HistoriaInspectasta

Suomen valtio perustaaTeknillisen tarkastus-keskuksen

Ruotsi perustaa Statens Anläggnings-Provning –tarkastus-laitoksen

Markkinat vapautuvat Ruotsissa

Markkinat vapautuvat Suomessa, Inspecta Suomi

Inspecta Latvia

Inspecta Viro

Inspecta Ruotsi

Inspecta Norja

Inspecta Tanska

Inspecta Liettua

Inspecta Puola

Inspecta osaksi ACTA* Groupia yhdessä Kiwan ja Shieldin kanssa

JULKINEN4

Lisää Inspectasta

JULKINEN5

Luomme turvallisuutta, luotettavuutta ja kestävää kehitystä Pohjois-Euroopassa.

We bring safety, trust and environmental sustainability to northern Europe.

VisiommeTämä on Inspecta

Click icon to add picture

JULKINEN6

►SFS-ISO/IEC 27000:2016

JULKINEN7

►Tässä kansainvälisessä standardissa esitetään yleiskuvaus tietoturvallisuuden hallintajärjestelmistä ja määritellään aiheeseen liittyvät termit.

►HUOM. Liitteessä A selvennetään, millä rakenteilla tietoturvallisuuden hallintajärjestelmästandardisarjassa ilmaistaan vaatimuksia ja suosituksia.

SFS-ISO/IEC 27000:2016

JULKINEN8

SFS-ISO/IEC 27000:2016 - sisällysluettelo

Click icon to add picture

JULKINEN9

►2 Termit ja määritelmät

JULKINEN10

Termit ja määritelmät

Termit ja määritelmät

►standardissa on 89 termiä ja määritelmää, joita käytetään standardisarjan eri osissa

►liitteessä B on lueteltu termit standardisarjan osittain►usea termi on suoraan lainattu ISO Guide 73 –dokumentista, joka on

riskienhallinnan sanasto

JULKINEN11

Click icon to add picture

JULKINEN12

►3 Tietoturvallisuuden hallintajärjestelmät

Tietoturvallisuus

►luottamuksellisuus: ominaisuus, joka tarkoittaa, että luvattomilla henkilöillä, tahoilla tai prosesseilla ei ole pääsyä tietoihin eikä tietoja luovuteta tällaisille tahoille

►eheys: ominaisuus, johon sisältyy oikeellisuus ja kattavuus

►saatavuus: ominaisuus, joka tarkoittaa, että valtuutetulla taholla on tarvepohjainen pääsy- ja käyttöoikeus kohteeseen

►muita ominaisuuksia voivat olla aitous, tilivelvollisuus, kiistämättömyys ja luotettavuus

JULKINEN13

JULKINEN14

►Tietoturvallisuuden hallintajärjestelmä (ISMS) koostuu toimintaperiaatteista, menettelytavoista, ohjeista ja niihin liittyvistä resursseista ja toiminnoista, joita organisaatio hallinnoi kootusti suojatakseen tieto-omaisuuttaan.

►tietoturvallisuuden hallintajärjestelmän onnistuneen toteuttamisen mahdollistajia►tietoisuus►määritellyt vastuut►johdon sitoutumisen ja sidosryhmien etujen huomioon ottaminen►yhteiskunnan arvojen tukeminen►riskienhallinta►tietoturvallisuus aitona osana tietojärjestelmiä ja –verkkoja►kattava, kehittyvä hallintamalli

Tietoturvallisuuden hallintajärjestelmät

Tietoturvallisuudella varmistetaan paitsi tiedon luottamuksellisuus niin myös sen saatavuus ja eheys.Tietoturvallisuuden hallintajärjestelmien kannalta hallinta tarkoittaa valvontaa ja liiketoimintatavoitteiden saavuttamiseen tarvittavien päätösten tekemistä siten, että suojataan organisaation tieto-omaisuutta.

15

Tietoturvallisuuden hallinta on osa johtamistaTietoturvallisuuden hallintajärjestelmä (ISMS) on johdon työkalu

ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden kokonaisvaltaiseen johtamiseen ja hallintaan.

Standardin ISO/IEC 27001 mukainen ISMS hallinnoi myös muut organisaatioon kohdistuvat tietoturvavaatimukset kuten Katakrin ja VAHTIn omat vaatimukset.

JULKINEN

JULKINEN16

►suojaa tieto-omaisuutta►antaa varmuutta suojauksen riittävyydestä►organisoitunut ja tehokas lähestymistapa

tietoturvariskien hallintaan soveltuvin hallintakeinoin►parantaa hallintakeinojen vaikuttavuutta►parantaa hallintamalleja ja –ympäristöä►varmistaa vaatimustenmukaisuutta

Miksi tietoturvallisuuden hallintajärjestelmä on tärkeä?

JULKINEN17

Tietoturvallisuuden hallintajärjestelmän luominen, seuranta, ylläpito ja parantaminen

Tietoturvavaatimusten tunnistaminen Tietoturvariskien arviointi Tietoturvariskien käsittely

Hallintakeinojen valitseminen ja toteuttaminen

TTHJ:n vaikuttavuuden seuranta, ylläpito ja

parantaminenJatkuva parantaminen

JULKINEN18

►Tietoturvallisuus saavutetaan toteuttamalla soveltuva joukko hallintakeinoja, jotka on valittu riskien hallintaprosessin avulla ja joita hallitaan tietoturvallisuuden hallintajärjestelmällä.

►standardi SFS-ISO/IEC 27005 ohjeistaa tietoturvariskien hallintaa

►korostaa riskien arvioinnin ja käsittelyn iteratiivisuutta

►taustalla yleinen riskienhallintastandardi ISO 31000

Tietoturvariskien arviointi ja käsittely

JULKINEN19

►tietoturvallisuuden hallintajärjestelmän menestystekijöitä►liiketoiminnan tavoitteet (strategia) -> tietoturvapolitiikka -> tietoturvatavoitteet ->

toimenpiteet►yhtenäinen näkemys ja kulttuuri tietoturvallisuuteen►johdon tuki ja sitoutuminen, erityisesti ylimmän johdon!►vaatimukset tiedossa►tietoisuuden varmistaminen►tietoturvahäiriöiden vaikuttava hallinta►liiketoiminnan jatkuvuuden vaikuttava hallinta►toimivat mittaaminen ja analysointi

Tietoturvallisuuden hallintajärjestelmät

Johtamisjärjestelmäkoko organisaation johtamis- ja toimintamalli

JULKINEN20

Kaikessa tässä on kyse johtamisesta ja johtajuudesta

Liiketoiminnan jatkuvuuden

hallintaISO 22301

Tietoturvalli-suuden hallintaISO/IEC 27001

IT-palveluiden hallinta

(ITIL-prosessit)ISO/IEC20000-1

Ympäristön-, omaisuuden-,

energian-, työturvallisuuden

-hallintaISO xxxx

ISO/IEC yyyy

LaadunhallintaISO 9001

Riskienhallinnan viitekehys ja prosessit (ISO 31000)

Toimintaympäristön ja sidosryhmien tunnistaminen ja huomiointi, laki- ja viranomaisvaatimukset, asiakaslupaukset, ylimmän johdon työkalut kuten politiikat, roolit, vastuut, valtuudet, viestintä,

dokumentointikäytännöt, osaamisen hallinta, mittaaminen, sisäinen auditointi, johdon katselmus, jatkuva parantaminen, …

Jatkuvuuden hallinnan elementtejä

Tietoturvallisuuden hallinnan elementtejä

Katakri

VAHTI 2/2010

AQAP-2110

Click icon to add picture

JULKINEN21

►4 Tietoturvallisuuden hallintajärjestelmästandardisarja

JULKINEN22

►vaatimusstandardeja on vain 3

►ohjestandardit tukevat suoraan hallintajärjestelmän ja hallintakeinojen toteuttamista

►toimiala- ja hallintakeinokohtaiset osat täydentävät yksityiskohtia

Tietoturvallisuuden hallintajärjestelmästandardisarja

FI

FI

FI FI FI FI FI

FI

JULKINEN23

Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja

JULKINEN24

Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja

JULKINEN25

Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja

JULKINEN26

Kysymyksiä, kommentteja, ajatuksia?

27