Tekve Oy Logo
Standardiohjeistus

Mikä on ISO 27001?

ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmän (ISMS) rakentamiseen ja jatkuvaan kehittämiseen.

Mikä on ISO 27001?

ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmälle (Information Security Management System, ISMS). Standardi määrittelee vaatimukset järjestelmälliselle riskienhallinnalle, ohjaukselle ja jatkuvalle parantamiselle, jotta organisaation tiedot pysyvät luottamuksellisina, eheinä ja saatavilla.

Standardi kuuluu laajempaan ISO/IEC 27000 -sarjaan ja on yhteensopiva muiden johtamisjärjestelmästandardien (kuten laadunhallinnan ISO 9001 ja tekoälyhallinnan ISO 42001) kanssa. Uusin versio standardista on ISO/IEC 27001:2022. Sertifiointi hankitaan akkreditoidun ulkopuolisen sertifiointielimen auditoinnilla, ja se on tyypillisesti voimassa kolme vuotta.

Standardin ominaispiirteet

  • Yhteinen korkean tason rakenne (High-Level Structure): ISO 27001 noudattaa samaa lukujen ja termien rakennetta kuin muut uudet ISO-standardit. Tämä helpottaa integroitumista ja vähentää päällekkäistä työtä organisaatiossa.
  • Riskiperusteinen toimintamalli: Standardi edellyttää, että tietoturvariskit tunnistetaan ja arvioidaan säännöllisesti ja että riskien käsittelemiseksi laaditaan soveltuvuuslausunto (Statement of Applicability, SoA).
  • Johdon sitoutuminen: Hallintajärjestelmä vaatii johdolta aktiivista tukea. Johdon on osoitettava resurssit, määritettävä tietoturvapolitiikka ja -tavoitteet sekä katselmoitava järjestelmän toimivuus.

Tietoturvajärjestelmän sisältö (Luvut 4–10)

Standardin varsinaiset vaatimusluvut (Clauses) määrittelevät johtamisjärjestelmän rungon:

Luku 4: Organisaation toimintaympäristö

Organisaation on tunnistettava sisäiset ja ulkoiset tekijät, jotka vaikuttavat tietoturvaan, sekä tunnistettava sidosryhmien (kuten asiakkaiden, viranomaisten ja lainsäädännön) odotukset ja sopimusvelvoitteet. Näiden perusteella rajataan ja dokumentoidaan tietoturvajärjestelmän soveltamisala.

Luku 5: Johtajuus

Ylimmän johdon on sitouduttava ISMS-toimintaan. Johdon on laadittava tietoturvapolitiikka, varmistettava tavoitteiden linjaus liiketoimintastrategian kanssa, osoitettava riittävät resurssit ja jaettava keskeiset tietoturvaroolit sekä vastuut organisaatiossa.

Luku 6: Suunnittelu

Tässä luvussa määritellään tietoturvariskien arviointi- ja käsittelyprosessit. Organisaation on tunnistettava riskit, arvioitava niiden vaikutukset ja laadittava riskienkäsittelysuunnitelma. Tässä vaiheessa luodaan myös soveltuvuuslausunto (SoA), jossa määritetään, mitä liitteen A hallintakeinoja sovelletaan ja miksi.

Luku 7: Tukitoimet

ISMS:n ylläpito edellyttää osaamista ja resursseja. Organisaation on varmistettava henkilöstön tietoturvatietoisuus ja pätevyys (koulutuksilla) sekä järjestettävä sisäinen ja ulkoinen tietoturvaviestintä. Luku asettaa vaatimukset myös dokumentoidun tiedon (asiakirjat ja tallenteet) hallinnalle koko elinkaaren ajan.

Luku 8: Operatiivinen toiminta

Suunnitellut tietoturvaprosessit ja riskienkäsittelytoimenpiteet viedään käytäntöön arkeen. Tähän kuuluu prosessien hallinta, muutoksenhallinta, säännölliset riskienarvioinnit ja riskienkäsittelytoimenpiteiden dokumentoitu seuranta.

Luku 9: Seuranta ja arviointi

Järjestelmän toimivuutta on seurattava ja mitattava. Organisaation on määritettävä tietoturvan mittarit, tehtävä säännöllisesti sisäisiä auditointeja ja ylimmän johdon on suoritettava johdon katselmus ISMS:n toimivuuden ja vaikuttavuuden arvioimiseksi.

Luku 10: Jatkuva parantaminen

Organisaation on reagoitava havaittuihin poikkeamiin ja tietoturvaloukkauksiin korjaavilla toimenpiteillä, selvitettävä niiden juurisyyt ja kehitettävä hallintajärjestelmää jatkuvasti vastaamaan muuttuvaa uhkaympäristöä.

Liitteen A hallintakeinot (Annex A Controls)

Standardin velvoittava Liite A (Annex A) sisältää 93 hallintakeinoa, jotka on jaettu neljään pääkategoriaan:

  • Organisaatioon liittyvät hallintakeinot (Organizational Controls, 37 kpl): Ylätason politiikat, tietoturvasäännöt, roolit, toimittajasuhteet, pilvipalveluiden käyttö ja poikkeamien hallinta.
  • Henkilöstöön liittyvät hallintakeinot (People Controls, 8 kpl): Työsuhteen elinkaaren aikainen tietoturva, taustatarkastukset, salassapitosopimukset sekä tietoturvakoulutus ja -tietoisuus.
  • Fyysiset hallintakeinot (Physical Controls, 14 kpl): Toimitilojen kulunvalvonta, turva-alueet, laitteiden fyysinen suojaus, kaapelointiturvallisuus ja aineistojen hävittäminen.
  • Teknologiset hallintakeinot (Technological Controls, 34 kpl): Pääsynhallinta, salaus ja kryptografia, haittaohjelmasuojaus, verkkoturvallisuus, lokitus, haavoittuvuuksien hallinta ja tietojen varmuuskopiointi.

Vaatimusten täyttäminen ja sudenkuopat

ISO 27001 -prosessissa yleisimpiä virheitä ovat liian laaja tai epämääräinen soveltamisala, riskienarvioinnin huono kytkeminen todelliseen arkeen, toimitusketjujen ja alihankkijoiden unohtaminen, sekä se, että tietoturvasta tulee vain raskas paperikasaprojekti.

Implementoinnin kesto vaihtelee organisaation koosta ja lähtötasosta riippuen:

  • 6–12 kuukautta: Keskisuurelle yritykselle, jolla on jo olemassa hyviä tietoturvakäytäntöjä ja riittävät resurssit.
  • 12–18 kuukautta: Organisaatioille, joilla lähtömaturiteetti on matala, toimipisteitä on useita tai toimitusketjut ovat monimutkaisia.

Miten Tekve voi auttaa?

Erikoisosaamistamme on viedä ISO 27001 käytäntöön kevyesti ja liiketoimintalähtöisesti ilman turhaa byrokratiaa:

  1. Nykytila-analyysi ja soveltamisalan rajaus: Määritämme selkeän soveltamisalan ja kartoitamme nykyisten käytäntöjen puutteet suhteessa standardiin.
  2. Riskienhallintamallin rakentaminen: Luomme organisaatiollesi helppokäyttöisen tietoturvariskien arviointiprosessin.
  3. Dokumentaatio ja SoA: Autamme laatimaan tarvittavat tietoturvapolitiikat ja luomaan virallisen soveltuvuuslausunnon (SoA).
  4. Sisäiset auditoinnit ja johdon katselmus: Suoritamme puolueettomat sisäiset auditoinnit ja valmennamme organisaatiosi johdon katselmukseen ja lopulliseen sertifiointiauditointiin.
Gover GRC

Gover – Kokonaisvaltainen Mikä on ISO 27001? -hallintajärjestelmä

Yksi järjestelmä kaikille organisaation standardeille, regulaatioille ja lakivaatimuksille.

Olemme kehittäneet vaatimustenmukaisuuteen erikoistuneen hallintajärjestelmän, minkä avulla organisaatiot saavuttavat ja hallitsevat kokonaisvaltaisen tilannekuvan heidän vaatimustenmukaisuudestaan.

  • Tietoturvariskien tunnistaminen ja hallinta.
  • Kumppanien ja toimitusketjujen hallinta (riskit, tietoturva, vastuullisuus).
  • Dokumentaation hallinta.
  • Auditointien hallinta sekä järjestäminen.
  • Raportointi (sisäisesti ja ulkoisesti).
  • Henkilöstön koulutukset ja tietoisuuden lisääminen.
Varaa demo ↗
Gover Compliance Management System Screenshot
Yhteydenotto

Ota yhteyttä asiantuntijoihimme

Keskustellaanko yrityksenne tietoturvatarpeista? Täytä oheinen lomake ja olemme teihin yhteydessä mahdollisimman pian.