Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa. Dokumentoimalla näiden toimien olemassaolon sekä toimimalla niiden mukaisesti, on vaatimustenmukaisuuden osoittaminen varsin suoraviivaista.
Kaikki alkaa organisaation kontekstin ymmärtämisestä. Ulkoiset ja sisäiset vaatimukset sekä sidosryhmät on tunnistettava ja näiden ryhmien rooli kokonaisuuteen peilaten arvioitava. Vaatimukset voivat sisältää myös toimialaan liittyvää sääntelyä tai ulottua vielä laajemmalle — kuten kansalliseen, Eurooopan laajuiseen tai kansainväliseen lainsäädäntöön.
Tässä artikkelissa läpivalaistaan keskeisimpiä ISO 27001 -tietoturvastandardin vaatimuksia sekä pakollista dokumentaatiota, jota yrityksellä on oltava siinä tapauksessa, että se haluaa sertifioitua standardin mukaiseksi. Dokumentaatio jakaantuu kahteen pääkategoriaan: muodollinen dokumentaatio, jota ISO 27001 suoraan edellyttää sekä organisaatiokohtainen dokumentaatio, jonka yritys itse on oman tietoturvallisuuden hallintajärjestelmänsä tehokkuuden kannalta todennut tarpeelliseksi. Viimeksi mainittua dokumentaatiota voidaan kutsua myös organisaation omiksi vaatimuksiksi.
Tämä kirjoitus keskittyy nimenomaan ISO 27001-standardin edellyttämään muodolliseen dokumentaatioon.
Tietoturvallisuuden hallintajärjestelmän soveltamisala
Hallintajärjestelmän soveltuvuuden hahmottaminen edellyttää organisaation tarjoamien tuotteiden ja palvelujen kuvaamista (”Mitä me teemme?”) ja sitä, missä niitä käytetään. Soveltamisalan dokumentoinnilla tarkoitetaan käytännössä suojattavan tiedon määrittämistä.
Tämä asiakirja on yleensä melko lyhyt. Sen sisältö voidaan myös yhdistää tietoturvapolitiikkaan, jolloin erillistä dokumenttia ei tarvita lainkaan. Useimmiten tietoturvallisuuden hallintajärjestelmää sovelletaan koko organisaation laajuisesti ja kaikkiin toimipisteisiin — mutta voi olla myös tilanteita, joissa on epäkäytännöllistä tai jopa mahdotonta, että tietty prosessi, tietojärjestelmä tai organisaation osa voisi kokonaan kuulua hallintajärjestelmän piiriin.
Soveltamisalan määrittelyn yhteydessä määritellään myös sellaiset järjestelmät, prosessit ja muut kohteet, jotka ovat soveltamisalan ulkopuolella. Nämä ovat elementtejä, joita organisaatio ei voi valvoa (kuten tietyt kolmansien osapuolten toimittamat työkalut) tai joiden luottamuksellisimpiin tietoihin organisaatiolla ei ole pääsyä.
Tietoturvapolitiikka
Tietoturvapolitiikka on ylimmän johdon antama ytimekäs lausuma siitä, että organisaatio on sitoutunut toimimaan yhteisten sääntöjen ja rajoitusten mukaan, käsittelemään sen omia ja sille luovutettuja tietoja turvallisella tavalla sekä tahdosta toimia ja toteuttaa jatkuvan parantamisen periaatteita. Tietoturvapolitiikka sisältää myös konkreettiset tavoitteet, joiden saavuttamiseen tietoturvatyöllä pyritään. Tämä dokumentti toimii peruskivenä muille, alemman tason politiikoille kuten esim. pääsynhallintapolitiikka ja etätyöohjeet.
Tietoturvapolitiikan kirjoittamisen lisäksi kokonaisuuteen kuuluu myös olennaisena osana, että sen sisältö on koko organisaation laajuisesti tiedotettu ja kaikille asianomaisille osapuolille kommunikoitu.
Roolit, vastuut ja valtuudet
Tässä dokumentissa kuvataan, mitä tietoturvallisuuteen liittyviä rooleja organisaatiossa on olemassa, sekä niiden vastuut ja valtuudet tietoturvatehtävistä ja -toiminnoista. Auditoinnissa tyypillisesti odotetaan esitettäväksi selkeä organisaatiokaavio, jossa on vähintään korkealla tasolla määritelty vastuut ja valtuudet kullekin roolille. Ulkoiset roolit ja vastuudet määritellään näiden osapuolten kanssa tehdyissä sopimuksissa tai niiden liitteenä. Yksityiskohtaisempi, matalan tason kuvaus rooleista ja niiden toimenkuvasta on osa organisaation omia vaatimuksia.
Pääsynhallintapolitiikka
Pääsynhallintapolitiikkaan dokumentoidaan organisaation tietojen pääsynvalvontasäännöt, -oikeudet ja -rajoitukset. Dokumentissa voidaan käsitellä ainoastaan tiettyjen tietojen ja tietojärjestelmien sallitun käytön liiketoiminnallisia vaatimuksia, tai myös esimerkiksi kulunvalvonnan teknistä osuutta. Tiedot voidaan määrittää koskemaan loogista tai fyysistä pääsynhallintaa — ISO 27001 kuitenkin suosittelee, että näitä kahta kategoriaa käsiteltäisiin yhdessä.
Suojattavan omaisuuden luettelointi
ISO 27001 -kontekstissa suojattava omaisuus tarkoittaa ”kaikkea, jolla on organisaatiolle jotain arvoa.” Tämä käsittää laitteet, ohjelmat, prosessit, rakennukset, koneet, sopimukset, kumppanit, ulkoistetut palvelut, taksikortit — listaa voisi jatkaa hyvinkin pitkälle. Suojattava omaisuus on kartoitettava ja luetteloitava (vinkki: tämä tulee joka tapauksessa tehtäväksi tietoturvariskien arvioinnin yhteydessä, joten tarvittavat tiedot pitäisi olla suoraan sitä kautta saatavissa.) Kaikki omaisuus voi jollain tavalla vaikuttaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen, joten on välttämätöntä tunnistaa kaikki kohteet tarkasti ja sisällyttää ne tähän dokumenttiin.
Tietoturvallisuus toimittajasuhteissa
Arkaluonteisten tietojen turvallisuutta ei voida taata, jos alihankintaa suorittavan toimittajakumppanin tietoturvattomat toimintamallit altistavat tiedot varkaudelle tai tuhoutumiselle. Alihankintaketjut voivat ulottua useammankin tason taakse ja siksi monenlaisia valvontatoimia tarvitaan.
Tässä dokumentissa määritellään miten potentiaalisten toimittajien seulonta tapahtuu, kuinka toimittajiin liittyviä riskinarviointeja suoritetaan, millaisia tietoturvalausekkeita sopimuksiin sisällytetään, kuinka valvotaan sopimusehtojen täyttymistä tai täyttymättömyyttä, kuinka sopimusta muutetaan, miten poistetaan toimittajilta pääsy järjestelmiin sopimuksen päättyessä, ja niin edelleen.
Toimittajasuhteiden hallintaa on hyvä peilata todellisuuteen. Sanelutyylinen, kaiken vastuun ostajalta poissulkeva politiikka ei edistä toimittajasuhteita. Vastaavasti pieni yritys ei pysty kovin helposti sanelemaan politiikkaa itseään merkittävästi suuremmille toimittajille — vaikka olisikin maksavan asiakkaan roolissa.
Suotavaa on pyrkiä luomaan yhteistyökäytäntöjä, joka luo ja ylläpitää läheisiä suhteita niihin toimittajiin, joilla on pääsy luottamukselliseksi määriteltyyn tietoon. Ei tule myöskään unohtaa, että joillakin toimittajilla on vain vähän tai ei lainkaan vaikutusta kokonaisturvallisuuteen; huomio kannattaa ensisijaisesti keskittää niihin toimittajiin, joita riskinarvioinneissa korostetaan.
Jatkuvuussuunnittelu
Jatkuvuussuunnittelun osalta vähintään dokumentoitavana osana tulee kuvata, miten liiketoimintaan kohdistuvia tietoturvahäiriöitä ja merkittäviä muutoksia tulisi käsitellä. Käytännössä organisaation on luotava, dokumentoitava, toteutettava sekä ylläpidettävä prosesseja liiketoiminnan jatkuvuuden varmistamiseksi. Auditoinnin yhteydessä saatetaan esittää teoreettisia esimerkkejä erilaisista häiriöistä ja dokumentaation tulee kattaa tarvittavat vaiheet toiminnan jatkuvuuden turvaamiseksi.
Soveltuvuuslausunto
Kummallisesta nimestään huolimatta soveltuvuuslausunto on yksi olennaisimmista dokumenteista ISO 27001:ssa. Soveltuvuuslausunto ohjaa tietoturvasuunnitelman käytännön toteutusta. Siinä määritetään, mitkä tietoturvakontrollit sopivat organisaation hallintajärjestelmään ja kuinka ne otetaan käyttöön. Vastaavasti määritetään myös, mitä kontrolleja ei oteta käyttöön ja perustellaan tämä tyhjentävästi.
Eikä tässä vielä kaikki
Edellä mainittujen dokumenttien lisäksi on olemassa vielä kourallinen pakollisia, ISO 27001 -sertifiointia edellyttäviä dokumentteja. Lisäksi on pidettävä kirjaa esim. koulutuksista, kyvykkyydestä ja pätevyydestä, johdon katselmointien tuloksista ja kerättävä lokitietoja käyttäjien toimista, poikkeuksista ja tietoturvatapahtumista.
Lista dokumenteista voi vaikuttaa pitkältä, mutta monesti lähtötilanteessa huomataan että aineistoa on jo valmiiksi olemassa. Sertifiointiprosessin alkuvaiheessa onkin syytä selvittää tarkasti kaikki mahdolliset puutteet prosesseissa ja nykyisessä dokumentaatiossa ja luotava selkeä suunnitelma siitä, mitä vielä on tehtävä jotta sertifiointi sujuvasti onnistuisi.
Paras ISO27001 sertifioitumisprojektinne koskaan
ISO27001 -sertifointiprojektin aloittaminen on haastavaa. On templateja, on ajatuksia, on olemassa olevaa dokumentaatiota – ja päällimmäisenä paljon kysymyksiä. Mistä tahansa asiaa katsookin, tuntuu että jostain toisesta paikasta olisi sittenkin parempi aloittaa. Ja tuleva tuntematon, eli auditointi pelottaa.
Kirjastojenhallinta – SCA – ja moninaiset viitekehykset ja vaatimukset
Yhä useampi standardi, viitekehys ja asiakasvaatimus edellyttää – peräti huutaa – kirjastonhallinnan perään. Huutaa siksi että modernit sovelluskehitysmenetelmät ovat täysin riippuvaisia ulkoisista kirjastoista eli riippuvuuksista.
Sisäinen auditointi – omin voimin vai ostopalveluna?
Osana ISO/IEC 27001 -sertifiointiprosessia organisaatioiden on suoritettava säännöllisiä sisäisiä auditointeja vaatimustenmukaisuuden varmistamiseksi ja parannuskohteiden tunnistamiseksi. Yksi yleinen ratkaistava asia on, suoritetaanko nämä auditoinnit omin voimin vai käytetäänkö siihen jotain ulkopuolista tahoa.
Kyberturvallisuuden johtaminen ja tilannekuva
ISO 27001 kannustaa johtoryhmää ymmärtämään kyber- ja tietoturvallisuuden vaikutuksista liiketoimintaan. Johtoryhmälle tai hallitukselle kehittyvät teknologiat tuovat haasteita toimintaympäristön tietoturvan kokonaisvaltaiselle ymmärtämiselle ja sitä kautta operatiivisen toiminnan tukemiselle.