ISMS & ISO27001

Hallinnollinen tietoturva

Auditointi ja it-riskienhallinta
Cyber, SecOps ja arkkitehtuurit
Ohjelmistokehityksen tietoturva
Hallinnollinen tietoturva

ISMS ja ISO27001 lyhyesti

Tietoturvan johtamisjärjestelmän (ISMS) perustaminen ja sen mukaan toimimisen edut ovat kiistattomia. Tärkeänä osana johtamisjärjestelmää ovat prosessit ja dokumentoidut toimintatavat. Ne auttavat tietoturvallisen ja riskilähtöisen tekemisen parantamisessa ja optimoinnissa, turvaavat tärkeiden toimintojen keskeytymättömän jatkumisen yrityksen muutosvaiheissa ja vähentävät päällekkäistä tekemistä. Johtamisjärjestelmä – tai tietoturvan hallintajärjestelmä – on määrämuotoinen tapa kerätä yhteen kaikki tietoturvaan liittyvät aktiviteetit, toimia hallitusti – ja näyttää tämä ulospäin.

Me autamme rakentamaan johtamisjärjestelmän, joka on standardin mukainen ja myös juuri teidän yrityksenne näköinen ja kokoinen. Sertifioituminen ei ole lähtökohta, vaan lähtökohta on uskottavan näköinen tietoturva, joka ei ole kotikutoinen. Mikäli yrityksenne myöhemmin päättää sertifioitua tai ryhtyy vaikkapa käymään kauppaa sertifioidun yrityksen kanssa, voitte johtamisjärjestelmän avulla osoittaa jo yhteistyön varhaisessa vaiheessa toimivanne oikealla tavalla.

Mitä Mint Security toimittaa

Toimitamme ja kehitämme tietoturvan hallintajärjestelmiä (ISMS) ISO 27001 -pohjalta. Osaamme skaalata viitekehyksen sopimaan erinäköisten ja -kokoisten yritysten tarpeisiin. Olemme toteuttaneet hallintajärjestelmiä yhtiöille, jotka toimivat vahvasti reguloiduilla toimialoilla ja toisaalta myös pienille yrityksille, joiden tarve on toimia moninkertaisesti itseään isompien asiakkaiden kanssa samalla viivalla, puhuen samaa tietoturvakieltä.

Kilpailuetu
Tuomme aina esille tietoturvan kilpailuedun. Ymmärrämme että tietoturva on kustannuserä - tosiasiallisesti näin tulee aina olemaan. Tietoturva on kuin vakuutus, sillä hallitaan riskejä. Mutta olisi yksinkertaisesti tyhmää olla ottamatta kaikkia etuja irti tietoturvasta.
Laki ja regulaatio
Jokainen joutuu noudattamaan lakeja ja säännöksiä. Jotkut tietenkin enemmän kuin toiset. Jotkut melkeinpä hukkuvat siihen. Mutta kukaan ei rakasta regulaatiota. Me osaamme ottaa tästä ilon irti. Se näkyy lopputuloksissa.
Previous slide
Next slide

Johdatamme ja neuvomme asiakasta koko projektin ajan. Aina sertifiointiin asti, jos asiakas sitä tavoittelee. Osallistumme prosessien, riskirekisterin ja kontrollien tekemiseen tarvittaessa. Asiakas voi itse valita osallistumisemme asteen. On mahdollista, että toimimme myös vain oikolukijana ja sparraajana. Tämä riippuu asiakkaan omasta resursoinnista, aikatauluista sekä tietenkin osaamisesta. Lopuksi voimme myös tarjota koulutusta ja apua prosessien käyttöönottoon.

Meidän kanssamme asiakas pääsee siihen pisteeseen, jossa hänet auditoidaan. Sertifiointiauditoinnin tekee aina jokin muu taho kuin se, joka on ollut mukana projektissa (tätä edellyttää jo hyvä hallinnointitapa, mutta myös eräänlainen jääviys tekijän ja arvioijan välillä). Me emme suorita ISO 27001 -sertifiointiauditointeja.

Workshop

Aloitamme yleensä hankkeen ISO27001-workshopilla. Workshopissa käydään läpi standardi sekä sertifioitumisen edellytykset. Esittelemme standardin vaatimat prosessit sekä tarvittavat dokumentit ja toimintamallit. Tärkeää on esitellä kokonaisuus myös johdolle. Johdon sitoutuminen projektiin ja sen lopputuloksiin sekä erityisesti sen vaatimaan jatkuvaan työhön ja organisoitumiseen on äärimmäisen tärkeää.

Workshopin aihealueet vaihtelevat toimialan mukaisesti ja toteutus tehdään yrityksen oman sisäisen kypsyyden ehdoilla. Vähintäänkin seuraavat asiat käsitellään workshopissa:

  • Mikä on ISMS ja mikä on ISO27001 ?
  • Tietoturvan tahtotila
  • Roadmap ja asetettujen tietoturvatavoitteiden saavuttaminen halutussa ajassa
  • Mitä pitää dokumentoida – pakolliset dokumentit
  • Toimialastandardit ja viitekehykset, jotka ohjaavat yrityksen toimintaa
  • Yrityksen sertifiointitavoitteet – tavoitellaanko sertifiointia vai muuten vaan määrämuotoista toimintaa
  • ISMS:n asettamat minimivaatimukset ja miten niihin päästään
  • Vuosikello ja organisaatio
  • Riskirekisteri, riskienhallinta ja miten ne liittyvät tietoturvaan
  • Auditoinnit, auditointien suunnittelu ja tavoitteet
  • Jatkuvuuden rooli tietoturvassa
  • Sovelluskehityksen ja tuotekehityksen tietoturvavaatimukset ja -tavoitteet
  • Infrastruktuurin, pilven ja muun tuotantoympäristön tietoturvan vaatimukset ja tavoitteet
  • Tekniset ratkaisut: lokienhallinta, riskirekisteri, insidenttienhallinta, haavoittuvuuskannaus, koodiskannaus
  • Omien kyvykkyyksien tunnistaminen ja pohdinta siitä, mitkä asiat voi ostaa palveluna nyt ja jatkossa

Valmistelemme workshopin huolellisesti muun muassa tutustumalla yrityksen toimialaan, yritykseen itsessän sekä organisaatioon. Katselmoimme myös mahdollisesti meille toimitetut dokumentit etukäteen, ja arvioimme niitä. Workshopin aikana esittelemme standardin sekä rakennamme ymmärrystä siitä, minkälainen projekti sertifiointivalmiuden saavuttaminen tulee olemaan. Workshopin tuloksena syntyy muun muassa alustava suunnitelma projektista sekä projektin ensiaskeleet. Tarvittaessa haastattelemme myös eri sidosryhmien edustajia päivän aikana erikseen.

Workshop hinnoitellaan kiinteästi, jolloin alkukustannus on hallittu.

Projekti

ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohdista liikkeelle. Yhteistä kaikille on kuitenkin asiakaskentästä tai toimintaympäristöstä tuleva vaatimus, jota on vaikea täyttää muulla tavoin, kuin dokumentoidulla tietoturvan hallintajärjestelmällä. Lisäksi projektin alkuvaiheessa on tyypillistä myös jonkinlainen kuvitelma omista kyvyistä ja aikataulusta asioiden suhteen.

Projektissa luodaan kaikki tarvittavat prosessit, dokumentit sekä muut standardin vaatimat asiat. Toimimme mielellämme sprinttipohjaisesti, jolloin asiakas voi arvioida kustannuksia ja me voimme arvioida työmääriä hallitusti projektin edetessä. Asiantuntemuksemme auttaa pitämään fokuksen koko ajan oikeassa tekemisessä. Huolehdimme siitä, että asiat tehdään tarpeellisella huolellisuudella ja tarkkuudella – mutta myös siitä, että tarpeettomia ja yliampuvia ratkaisuja ei tehdä.

Keskittyminen ISO27001 Annex A – eli suomeksi ISO27002 kontrollilistaan perustuvaan toteutustapaan, ei usein ole suoranaisesti hedelmällistä. Jokaisen Annex A:ssa kuvatun kontrollin on heijastettava sitä riskiä, mikä asiaan kuuluu. Riskin arviointia taas ohjaa se, mihin assettiin se kuuluu – ja mikä on tämän assetin tärkeys yritykselle. Tärkeys yritykselle johdetaan suoraan liiketoiminnan ja jatkuvuuden tarpeista – eli yrityksen kriittisistä toiminnoista. Muun muassa tätä asiaa on tarkemmin avattu blogissamme ISMS projektin ensimmäiset askeleet.

Asiakkaiden tarpeet ja ratkaistavat haasteet

Yksittäisten tietoturvaan liittyvien vaatimusten täsmätoteuttaminen on toki mahdollista, mutta pitkässä juoksussa tehotonta. Yksittäiset toimet muuttuvat loputtomaksi ja kohta hallitsemattomaksi todo-listaksi tai backlogiksi, jota pitää olla koko ajan vahtimassa. Varsinkin toimenpiteiden ja niiden tehokkuuden osoittaminen – siis sitä mitä joko sääntely tai asiakkaat oikeasti vaativat – on jopa mahdotonta. Tämä syö sekä aikaa ja rahaa, ja kaikkein kurjinta on se, että tekeminen yleensä toistaa itseään, virheistä ei opita eikä tietoturva viestinä tavoita juuri ketään.

Monissa yrityksissä tietoturvanäkökohtia on yleensä jollain tavalla jo huomioitu käytännön tasolla, mutta niiden tehokkuutta tai vaikutusta ei kyetä asianmukaisesti mittaamaan — eikä tällöin myöskään hyödyntämään niiden tuottavuutta täysimääräisesti. Yrityksellä saattaa jo olla aiemmin kirjoitettua, enemmän tai vähemmän jäsenneltyä tietoturvadokumentaatiota — ehkä tehtynä johonkin yksittäiseen tarpeeseen tai tiettyä, jo mennyttä projektia varten. Oikealla johtamisella myös nämä olemassa olevat materiaalit ja käytännöt voidaan valjastaa hyötykäyttöön.

Lisää, muun muassa tarpeiden tunnistamisesta, on kirjoitettu blogissa Miten alkaa kehittää tietoturvan johtamisjärjestelmää, ISMS:ää.

Prosessien kuvaamisessa ja erityisesti niiden toteuttamisessa on tärkeää osoittaa, että prosessi on jatkuva ja että vuositasolla on toistuvia ja järjestelmällisiä aktiviteetteja. Osoittamisen lisäksi on tietenkin tärkeää myös toimia omien toimintamallien mukaisesti joka tilanteessa. Tietoturva on osa laatua ja laatulupausta.

Tarkemmin menetelmistämme ja työkaluistamme

Käytämme koko ISO27000-standardiperhettä työmme tukena. Lisäksi työkalupakistamme löytyy tuntemusta standardia tukevista viitekehyksistä kuten OWASP SAMM ja BSIMM sovelluskehityksen puolelta, sekä mm. finanssialan monenlaisista vaatimuksista. Pilven teknisten kontrollien osalta sovellamme mielellämme CSA:n ohjeita ja materiaaleja. Pystymme tuomaan haavoittuvuudenhallinnan osaksi yrityksen toimintaa. Meillä on myös oma ratkaisu riskirekisteriin ja insidenttienhallintaan, jonka voimme toimittaa käyttöönne.

Teemme ketteriä projekteja, jotka tuottavat apua ja arvoa. Projektin aikana koko tiimimme osaaminen, lähtien riskien analysoinnista loppuen tiettyjen teknisten kontrollien tietoturvatestaamiseen, on käytössä.

Monta viitekehystä - yksi työ
Käytämme viitekehyksiä hyväksemme. Meillä on valmiit käytännöt eri standardien ja vaatimuskehysten rinnakkaisvertailuun. Pyrimme tekemään asioita kerran, kunnolla - ja osoittamaan asioiden olevan kunnossa monesta eri näkökulmasta.
Regulaatio ja standardit
Toimimme hyvin eri regulaatioiden ja standardien syövereissä. Skaalaudumme erityisesti alaspäin, siten että myös pienet yritykset voivat saada hyötyä virallisista standardeista - hukkumatta byrokratiaan. Tämä on itse asiassa yksi useimmiten eteen tuleva case.
Parhaimmat käytännöt
Toteutamme standardeja ja regulaatiota, mutta hyödynnämme aina markkinoilla olevia valmiita aihioita ja työkaluja. Sovitamme yhteen yrityksen työtavat, hyvät käytännöt sekä viralliset standardit.
Previous slide
Next slide
Referenssimateriaali
ISMS joulupuumalli
isms
Thomas

Paras ISO27001 sertifioitumisprojektinne koskaan

ISO27001 -sertifointiprojektin aloittaminen on haastavaa. On templateja, on ajatuksia, on olemassa olevaa dokumentaatiota – ja päällimmäisenä paljon kysymyksiä. Mistä tahansa asiaa katsookin, tuntuu että jostain toisesta paikasta olisi sittenkin parempi aloittaa. Ja tuleva tuntematon, eli auditointi pelottaa.

Read More »
Thomas 06.02.2024
Saku performing a security review
isms
Saku Tuominen

Sisäinen auditointi – omin voimin vai ostopalveluna?

Osana ISO/IEC 27001 -sertifiointiprosessia organisaatioiden on suoritettava säännöllisiä sisäisiä auditointeja vaatimustenmukaisuuden varmistamiseksi ja parannuskohteiden tunnistamiseksi. Yksi yleinen ratkaistava asia on, suoritetaanko nämä auditoinnit omin voimin vai käytetäänkö siihen jotain ulkopuolista tahoa.

Read More »
Saku Tuominen 23.09.2023
General Cyber Manager
business
Elina Partanen

Kyberturvallisuuden johtaminen ja tilannekuva

ISO 27001 kannustaa johtoryhmää ymmärtämään kyber- ja tietoturvallisuuden vaikutuksista liiketoimintaan. Johtoryhmälle tai hallitukselle kehittyvät teknologiat tuovat haasteita toimintaympäristön tietoturvan kokonaisvaltaiselle ymmärtämiselle ja sitä kautta operatiivisen toiminnan tukemiselle.

Read More »
Elina Partanen 14.02.2023
Writing requirements
isms
Saku Tuominen

ISO 27001 – keskeiset vaatimukset

Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa.

Read More »
Saku Tuominen 30.07.2021
isms
Elina Partanen

Riskienhallinta ja ISO27001

Onko haaveissa olla ISO27001 yhteensopiva? Thomas on kirjoittanut blogin millaisista lähtökohdista ISO27001 sertifiointiprojektiin voi lähteä. Tässä blogissa avataan riskienhallinnan merkitystä ISO27001-sertifikaattia tavoiteltaessa.

Read More »
Elina Partanen 15.04.2021

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.