Tietoturvan johtamisjärjestelmän kehittämispäätös lähtee liiketoiminnasta ja liiketoiminnan tarpeesta. Johtamisjärjestelmän kehittäminen voidaan katsoa tietoturvatoiminnan aikuistumisena ja kypsymisenä. Liiketoiminnan tarve on useimmiten tarve osoittaa ulospäin sidosryhmille tietoturvan laadullinen taso. Johtamisjärjestelmällä osoitetaan että tietoturva otetaan vakavasti ja että sitä johdetaan ja toteutetaan johdonmukaisesti.
Tarpeen tunnistaminen
Tietoturvan kehittäminen ja sitä kautta johtamisjärjestelmä nousee usein keskusteluun ja pohdintaan kahdesta syystä.
Sääntely
Jokin yritystoimintaa säätelevä taho esittää osoitettavia vaatimuksia yrityksen tietoturvalle.
Asiakkaat
Yrityksen asiakkaat vaativat tietoturvaa osana toimintaa joka näkyy tarjouspyynnöissä vaatimuksina.
Hallintajärjestelmän edut
Yksittäisten tietoturvaan liittyvien vaatimusten täsmätoteuttaminen on toki mahdollista, mutta pitkässä juoksussa tehotonta. Yksittäiset toimet muuttuvat loputtomaksi ja kohta hallitsemattomaksi todo -listaksi tai backlogiksi, jota pitää olla koko ajan vahtimassa. Varsinkin toimenpiteiden ja niiden tehokkuuden osoittaminen – siis sitä mitä joko sääntely tai asiakkaat oikeasti vaativat – on jopa mahdotonta. Tämä syö sekä aikaa ja rahaa, ja kaikkein kurjinta on se, että tekeminen yleensä toistaa itseään, virheistä ei opita eikä tietoturva viestinä tavoita juuri ketään.
Yleensä kannattaa katsoa kokonaisuutta ja suunnitella kehitystoimet kokonaisuutena. Tästä kokonaisuudesta voidaan valita prioriteettijärjestyksessä totetutettavia asioita. Tätä kokonaisuutta, johon kuuluu olennaisina osina tietoturvan johtaminen, tietoturvatehtävien toteuttaminen, koulutus sekä riskien- ja poikkeamienhallinta, kutsutaan usein tietoturvan hallintajärjestelmäksi.
Mistä lähteä liikkeelle
Koska kyseessä on johtamisjärjestelmä, perustana on yrityksen johdon sitoutuminen sekä linjaus tietoturvan tavoitetasosta. Tätä vaatimusta, liiketoimintaa säätelevien vaatimusten sekä yrityksen olemassa olevan dokumentaation ja toimintatapojen perusteella tehdään GAP-analyysi käyttäen viitekehyksenä esimerkiksi ISO 270xx-standardiperhettä.
Scope
Liikkelle lähdetään useimmiten workshop-tyyppisesti. Tällä tavoin löydetään hallintajäjestelmän sidosryhmät ja sitoutetaan eri tahot yhteiseen toimintaan.
Workshopin aihealueet vaihtelevat toimialan mukaisesti ja toteutus tehdään yrityksen oman sisäisen kypsyyden ehdoilla.
Workshop -työskentely auttaa myös hahmottamaan hallintajärjestelmän laajuutta, scopea – koko toimintaa ei tarvitse tuoda yhdellä kertaa hallintajärjestelmän piiriin. Tämä on ajankohtaista yrityksissä, joissa on monenlaista toimintaa, jotka olennaisesti poikkeavat toisistaan – esimerkkinä fyysinen kauppa ja logistiikka ja tämän tietojärjestelmien kehittäminen. Hyvä esimerkki laajuuden määrittelystä on maakohtaisuus, tai alkuun vain ydintoimintojen sisällyttäminen ja asiakaspalvelupisteiden tai konttoreiden jättäminen pois.
Laajuuden määrittely (scope) auttaa hallitsemaan työmäärää, tavoitteita, viestintää sekä aikataulua.
Lopuksi
Tietoturvan hallintajärjestelmä ohjaa ensisijaisesti toimintaa ja on dokumentti- sekä prosessikokoelma. Näistä pitäisi synnyttää toimintamalli ja -kulttuuri. Kulttuuri taas syntyy ihmisten välisestä interaktiosta. Yrityksen johdon on tarjottava tälle kaikelle puitteet.
ISMS projektin ensimmäiset askeleet
ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.
ISMS – mikä se on ja mihin sitä tarvitaan?
Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.
Tietoturvaprosessit
Tietoturvaprosessien kehittäminen & ISMS Tietoturvaprosessien kehittäminen lyhyesti Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja
