sfs-iso/iec 27000 tietoturvallisuuden hallintajarjestelmat. yleiskuvaus ja sanasto
TRANSCRIPT
Jyrki LahnalahtiTuotepäällikkö
Inspecta Oy
SFS-ISO/IEC 27000Tietoturvallisuuden hallintajärjestelmät.
Yleiskuvaus ja sanasto
Julkaisutilaisuus 11.10.2016
Standardin julkaisutilaisuus 2016-10-11SFS-ISO/IEC 27000:2016
Jyrki Lahnalahti, tuotepäällikköJulkinen
2016-10-10
JULKINEN3
Osalla Inspectasta on juurensa julkisissa organisaatioissa ja yrityksissä.Pitkä lahjomattomuuden, laatuun panostamisen ja ammattitaidon perintö.Vahva kasvu orgaanisesti ja yritysostoin Suomessa, Ruotsissa, Norjassa, Tanskassa, Latviassa, Liettuassa ja Virossa.
HistoriaInspectasta
Suomen valtio perustaaTeknillisen tarkastus-keskuksen
Ruotsi perustaa Statens Anläggnings-Provning –tarkastus-laitoksen
Markkinat vapautuvat Ruotsissa
Markkinat vapautuvat Suomessa, Inspecta Suomi
Inspecta Latvia
Inspecta Viro
Inspecta Ruotsi
Inspecta Norja
Inspecta Tanska
Inspecta Liettua
Inspecta Puola
Inspecta osaksi ACTA* Groupia yhdessä Kiwan ja Shieldin kanssa
JULKINEN4
Lisää Inspectasta
JULKINEN5
Luomme turvallisuutta, luotettavuutta ja kestävää kehitystä Pohjois-Euroopassa.
We bring safety, trust and environmental sustainability to northern Europe.
VisiommeTämä on Inspecta
Click icon to add picture
JULKINEN6
►SFS-ISO/IEC 27000:2016
JULKINEN7
►Tässä kansainvälisessä standardissa esitetään yleiskuvaus tietoturvallisuuden hallintajärjestelmistä ja määritellään aiheeseen liittyvät termit.
►HUOM. Liitteessä A selvennetään, millä rakenteilla tietoturvallisuuden hallintajärjestelmästandardisarjassa ilmaistaan vaatimuksia ja suosituksia.
SFS-ISO/IEC 27000:2016
JULKINEN8
SFS-ISO/IEC 27000:2016 - sisällysluettelo
Click icon to add picture
JULKINEN9
►2 Termit ja määritelmät
JULKINEN10
Termit ja määritelmät
Termit ja määritelmät
►standardissa on 89 termiä ja määritelmää, joita käytetään standardisarjan eri osissa
►liitteessä B on lueteltu termit standardisarjan osittain►usea termi on suoraan lainattu ISO Guide 73 –dokumentista, joka on
riskienhallinnan sanasto
JULKINEN11
Click icon to add picture
JULKINEN12
►3 Tietoturvallisuuden hallintajärjestelmät
Tietoturvallisuus
►luottamuksellisuus: ominaisuus, joka tarkoittaa, että luvattomilla henkilöillä, tahoilla tai prosesseilla ei ole pääsyä tietoihin eikä tietoja luovuteta tällaisille tahoille
►eheys: ominaisuus, johon sisältyy oikeellisuus ja kattavuus
►saatavuus: ominaisuus, joka tarkoittaa, että valtuutetulla taholla on tarvepohjainen pääsy- ja käyttöoikeus kohteeseen
►muita ominaisuuksia voivat olla aitous, tilivelvollisuus, kiistämättömyys ja luotettavuus
JULKINEN13
JULKINEN14
►Tietoturvallisuuden hallintajärjestelmä (ISMS) koostuu toimintaperiaatteista, menettelytavoista, ohjeista ja niihin liittyvistä resursseista ja toiminnoista, joita organisaatio hallinnoi kootusti suojatakseen tieto-omaisuuttaan.
►tietoturvallisuuden hallintajärjestelmän onnistuneen toteuttamisen mahdollistajia►tietoisuus►määritellyt vastuut►johdon sitoutumisen ja sidosryhmien etujen huomioon ottaminen►yhteiskunnan arvojen tukeminen►riskienhallinta►tietoturvallisuus aitona osana tietojärjestelmiä ja –verkkoja►kattava, kehittyvä hallintamalli
Tietoturvallisuuden hallintajärjestelmät
Tietoturvallisuudella varmistetaan paitsi tiedon luottamuksellisuus niin myös sen saatavuus ja eheys.Tietoturvallisuuden hallintajärjestelmien kannalta hallinta tarkoittaa valvontaa ja liiketoimintatavoitteiden saavuttamiseen tarvittavien päätösten tekemistä siten, että suojataan organisaation tieto-omaisuutta.
15
Tietoturvallisuuden hallinta on osa johtamistaTietoturvallisuuden hallintajärjestelmä (ISMS) on johdon työkalu
ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden kokonaisvaltaiseen johtamiseen ja hallintaan.
Standardin ISO/IEC 27001 mukainen ISMS hallinnoi myös muut organisaatioon kohdistuvat tietoturvavaatimukset kuten Katakrin ja VAHTIn omat vaatimukset.
JULKINEN
JULKINEN16
►suojaa tieto-omaisuutta►antaa varmuutta suojauksen riittävyydestä►organisoitunut ja tehokas lähestymistapa
tietoturvariskien hallintaan soveltuvin hallintakeinoin►parantaa hallintakeinojen vaikuttavuutta►parantaa hallintamalleja ja –ympäristöä►varmistaa vaatimustenmukaisuutta
Miksi tietoturvallisuuden hallintajärjestelmä on tärkeä?
JULKINEN17
Tietoturvallisuuden hallintajärjestelmän luominen, seuranta, ylläpito ja parantaminen
Tietoturvavaatimusten tunnistaminen Tietoturvariskien arviointi Tietoturvariskien käsittely
Hallintakeinojen valitseminen ja toteuttaminen
TTHJ:n vaikuttavuuden seuranta, ylläpito ja
parantaminenJatkuva parantaminen
JULKINEN18
►Tietoturvallisuus saavutetaan toteuttamalla soveltuva joukko hallintakeinoja, jotka on valittu riskien hallintaprosessin avulla ja joita hallitaan tietoturvallisuuden hallintajärjestelmällä.
►standardi SFS-ISO/IEC 27005 ohjeistaa tietoturvariskien hallintaa
►korostaa riskien arvioinnin ja käsittelyn iteratiivisuutta
►taustalla yleinen riskienhallintastandardi ISO 31000
Tietoturvariskien arviointi ja käsittely
JULKINEN19
►tietoturvallisuuden hallintajärjestelmän menestystekijöitä►liiketoiminnan tavoitteet (strategia) -> tietoturvapolitiikka -> tietoturvatavoitteet ->
toimenpiteet►yhtenäinen näkemys ja kulttuuri tietoturvallisuuteen►johdon tuki ja sitoutuminen, erityisesti ylimmän johdon!►vaatimukset tiedossa►tietoisuuden varmistaminen►tietoturvahäiriöiden vaikuttava hallinta►liiketoiminnan jatkuvuuden vaikuttava hallinta►toimivat mittaaminen ja analysointi
Tietoturvallisuuden hallintajärjestelmät
Johtamisjärjestelmäkoko organisaation johtamis- ja toimintamalli
JULKINEN20
Kaikessa tässä on kyse johtamisesta ja johtajuudesta
Liiketoiminnan jatkuvuuden
hallintaISO 22301
Tietoturvalli-suuden hallintaISO/IEC 27001
IT-palveluiden hallinta
(ITIL-prosessit)ISO/IEC20000-1
Ympäristön-, omaisuuden-,
energian-, työturvallisuuden
-hallintaISO xxxx
ISO/IEC yyyy
LaadunhallintaISO 9001
Riskienhallinnan viitekehys ja prosessit (ISO 31000)
Toimintaympäristön ja sidosryhmien tunnistaminen ja huomiointi, laki- ja viranomaisvaatimukset, asiakaslupaukset, ylimmän johdon työkalut kuten politiikat, roolit, vastuut, valtuudet, viestintä,
dokumentointikäytännöt, osaamisen hallinta, mittaaminen, sisäinen auditointi, johdon katselmus, jatkuva parantaminen, …
Jatkuvuuden hallinnan elementtejä
Tietoturvallisuuden hallinnan elementtejä
Katakri
VAHTI 2/2010
AQAP-2110
Click icon to add picture
JULKINEN21
►4 Tietoturvallisuuden hallintajärjestelmästandardisarja
JULKINEN22
►vaatimusstandardeja on vain 3
►ohjestandardit tukevat suoraan hallintajärjestelmän ja hallintakeinojen toteuttamista
►toimiala- ja hallintakeinokohtaiset osat täydentävät yksityiskohtia
Tietoturvallisuuden hallintajärjestelmästandardisarja
FI
FI
FI FI FI FI FI
FI
JULKINEN23
Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja
JULKINEN24
Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja
JULKINEN25
Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja
JULKINEN26
Kysymyksiä, kommentteja, ajatuksia?
27