Mikä on ISO 27001? Nopea ja helppo selitys.

Perustiedot

Mitä ISO 27001 tarkoittaa?

Ensinnäkin on tärkeää huomata, että ISO 27001: n koko nimi on ”ISO / IEC 27001 – tietotekniikka – suojaustekniikat – tietoturvan hallintajärjestelmät – Vaatimukset. ”

Se on johtava tietoturvaan keskittyvä kansainvälinen standardi, jonka on julkaissut Kansainvälinen standardointijärjestö (ISO) yhteistyössä Kansainvälisen sähköteknisen komission (IEC) kanssa. Molemmat ovat johtavia kansainvälisiä organisaatioita, jotka kehittää kansainvälisiä standardeja.

ISO-27001 on osa tietoturvan hallintaa varten kehitettyjä standardeja: ISO / IEC 27000 -sarja.

Mikä on ISO 27001: n tarkoitus?

ISO 27001 on kehitetty auttamaan kaiken kokoisia tai toimialan organisaatioita suojaamaan tietojaan järjestelmällisesti ja kustannustehokkaasti ottamalla käyttöön tietoturvan hallintajärjestelmä (ISMS).

Miksi ISO 27001 on tärkeä?

Standardi tarjoaa paitsi kumppanin yrityksillä on tarvittava taitotieto arvokkaimman tiedon suojaamiseksi, mutta yritys voi myös saada ISO 27001 -sertifikaatin ja osoittaa tällä tavoin asiakkailleen ja yhteistyökumppaneilleen, että se suojaa heidän tietonsa.

Yksilöt voivat myös saada ISO 27001 -sertifikaatin osallistumalla kursseille ja läpäisemällä kokeen, ja tällä tavoin todistaa taitonsa mahdollisille työnantajille.

Koska se on kansainvälinen standardi, ISO 27001 on helposti tunnistettavissa kaikkialla maailmassa, mikä lisää organisaatioiden ja ammattilaisten liiketoimintamahdollisuuksia.

Mitkä ovat kolme ISMS-tietoturvatavoitetta?

ISO 27001: n perustavoite on suojata kolmea tietojen näkökohdat:

  • Luottamuksellisuus: vain valtuutetuilla henkilöillä on oikeus saada tietoja.
  • Rehellisyys: vain valtuutetut henkilöt voivat muuttaa tietoja.
  • Saatavuus: Tietojen on oltava valtuutettujen henkilöiden käytettävissä aina, kun niitä tarvitaan.

Mikä on ISMS?

Tietoturvan hallintajärjestelmä (ISMS) on joukko sääntöjä, jotka yrityksen on laadittava voidakseen:

  1. tunnistaa sidosryhmät ja heidän odotuksensa yrityksestä tietoturvan suhteen
  2. tunnistaa tietoihin liittyvät riskit
  3. määritellä kontrollit (suojatoimenpiteet) ja muut lieventämismenetelmät tunnistettujen odotusten täyttämiseksi ja riskien käsittelemiseksi
  4. aseta selkeät tavoitteet saavutettaville tietoturvalla
  5. toteuttaa kaikki kontrollit ja muut riskinhallintamenetelmät
  6. mitata jatkuvasti, toimivatko toteutetut valvontatoimet odotetulla tavalla
  7. parantamaan jatkuvasti koko ISMS: ää toimi paremmin

Tämä sääntöjoukko voidaan kirjoittaa käytäntöjen, menettelyjen ja muun tyyppisten asiakirjojen muodossa tai se voi olla vakiintuneiden prosessien ja tekniikoiden muodossa, joita ei ole dokumentoitu. ISO 27001 määrittelee vaadittavat asiakirjat eli niiden, joiden on oltava vähintään olemassa.

Miksi tarvitsemme ISMS: ää?

Yrityksellä on neljä olennaista hyötyä yritys voi saavuttaa tämän tietoturvastandardin käyttöönotolla:

Noudata lakisääteisiä vaatimuksia – tietoturvaan liittyviä lakeja, määräyksiä ja sopimusvaatimuksia on jatkuvasti enemmän, ja hyvä uutinen on että suurin osa niistä voidaan ratkaista ottamalla käyttöön ISO 27001 – tämä standardi antaa sinulle täydellisen menetelmän noudattaa niitä kaikkia.

Saavuta kilpailuetu – jos yrityksesi saa sertifikaatin ja kilpailijasi eivät, sinulla voi olla etu heitä kohtaan niiden asiakkaiden silmissä, jotka ovat arkaluontoisia tietojen pitämisessä.

Pienemmät kustannukset – ISO 27001: n pääfilosofia on estää tietoturvaloukkausten tapahtuminen – ja jokainen suuri tai pieni tapahtuma maksaa rahaa. Siksi estämällä ne, yrityksesi säästää melko paljon rahaa. Ja mikä parasta – investoinnit ISO 27001 -standardiin ovat paljon pienemmät kuin saavutettavissa olevat kustannussäästöt. Parempi organisaatio – tyypillisesti nopeasti kasvavilla yrityksillä ei ole aikaa pysähtyä ja määritellä prosessejaan ja menettelytapojaan – tämän seurauksena työntekijät eivät useinkaan tiedä, mitä on tehtävä, milloin ja kenen toimesta. ISO 27001 -standardin käyttöönotto auttaa ratkaisemaan tällaiset tilanteet, koska se kannustaa yrityksiä kirjoittamaan pääprosessinsa (myös ne, jotka eivät liity turvallisuuteen), mikä auttaa heitä vähentämään työntekijöidensä menetettyä aikaa.

Kuinka ISO 27001 toimii?

ISO 27001: n painopiste on suojata yrityksen tietojen luottamuksellisuus, eheys ja saatavuus. Tämä tehdään selvittämällä, mitä mahdollisia ongelmia tiedolle voi tapahtua (ts., riskinarviointi) ja määritetään sitten, mitä on tehtävä estämään tällaisten ongelmien syntyminen (ts. riskien vähentäminen tai riskien hoito).

Siksi ISO 27001: n pääfilosofia perustuu prosessiin riskien hallitsemiseksi: selvitä riskien sijainti ja käsittele niitä sitten järjestelmällisesti toteuttamalla turvatarkastuksia (tai turvatoimia).

ISO 27001 edellyttää, että yritys luetteloi kaikki ohjaimet, jotka on toteutettava sovellettavaksi lausunnossa nimeltä Asiakirja.

Vaatimukset & suojauksen hallinta

Mitkä ovat ISO 27001 -vaatimukset?

ISO 27001: n pakolliset vaatimukset on määritelty sen lausekkeissa 4-10 – tämä tarkoittaa, että kaikki nämä vaatimukset on pantava täytäntöön organisaatiossa, jos se haluaa olla standardin mukainen. Liitteestä A peräisin olevat ohjausobjektit tulee toteuttaa vain, jos ne on ilmoitettu soveltuvuusselvityksessä.

Osioiden 4-10 vaatimukset voidaan tiivistää seuraavasti:

Lauseke 4: organisaatio – määrittelee vaatimukset ulkoisten ja sisäisten asioiden, kiinnostuneiden osapuolten ja heidän vaatimustensa ymmärtämiseksi ja ISMS-laajuuden määrittelemiseksi.

Lauseke 5: Johtajuus – määrittelee ylimmän johdon vastuut, asettamalla ylimmän tason tietoturvakäytännön roolit ja vastuut sekä sisällön.

Lauseke 6: Suunnittelu – määrittelee vaatimukset riskinarvioinnille, riskinkäsittelylle, sovellettavuuslausekkeelle, riskinkäsittelysuunnitelmalle ja tietoturvatavoitteiden asettamiselle.

Lauseke 7: tuki – määrittelee vaatimukset resurssien, osaamisen, tietoisuuden, viestinnän sekä asiakirjojen ja asiakirjojen hallinnan saatavuudesta.

Lauseke 8: Käyttö – määrittelee riskinarvioinnin ja -hoidon toteuttamisen sekä valvonnan ja muut prosessit, joita tarvitaan tietoturvatavoitteiden saavuttamiseksi.

Lauseke 9: Suorituskyvyn arviointi – määrittelee seurantaa, mittaamista, analysointia, arviointia, sisäistä tarkastusta ja johdon tarkastelua koskevat vaatimukset.

Lauseke 10: Parannus – määrittää vaatimukset vaatimustenvastaisuuksille, korjauksille, korjaaville toimille ja jatkuvalle parantamiselle.

Mitkä ovat ISO 27001: n 14 aluetta?

Siellä ovat 14 ”verkkotunnusta”, jotka on lueteltu ISO 27001: n liitteessä A ja jotka on järjestetty osiin A.5 – A.18. Osat kattavat seuraavat:

A.5. Tietoturvakäytännöt: Tämän osan hallintalaitteet kuvaile, miten tietoturvakäytäntöjä käsitellään.

A.6. Tietoturvan organisointi: Tämän osan ohjausobjektit tarjoavat peruskehyksen tietoturvan toteuttamiselle ja toiminnalle määrittelemällä sen sisäinen organisaatio (esim. roolit) , vastuualueet jne.) ja tietoturvan organisatoristen näkökohtien kautta, kuten projektinhallinta, mobiililaitteiden käyttö ja etätyö.

A.7. Henkilöresurssien turvallisuus: Tämän osan valvonnat varmistavat, että organisaation valvonnassa olevat ihmiset palkataan, koulutetaan ja johdetaan turvallisella tavalla; myös pr kurinpitomenettelyjen perusteet ja sopimusten irtisanominen käsitellään.

A.8. Omaisuuden hallinta: Tämän osan valvonnat varmistavat, että tietoturvariskit (esim. Tiedot, käsittelylaitteet, tallennuslaitteet jne.) Tunnistetaan, että heidän turvallisuuteen liittyvät vastuut määritetään ja että ihmiset tietävät, miten niitä käsitellään ennalta määritetyn luokituksen mukaisesti. tasot.

A.9. Kulunvalvonta: Tämän osan säätimet rajoittavat pääsyä tietoihin ja tietovaroihin liiketoiminnan todellisten tarpeiden mukaan. Ohjaimet ovat sekä fyysistä että loogista käyttöä varten.

A.10. Salaus: Tämän osan ohjausobjektit tarjoavat perustan salausratkaisujen asianmukaiselle käytölle tietojen luottamuksellisuuden, aitouden ja / tai eheyden suojaamiseksi.

A.11. Fyysinen ja ympäristöturvallisuus: Tämän osan tarkastukset estävät luvattoman pääsyn fyysisiin alueisiin ja suojaavat laitteita ja tiloja vaarantamasta ihmisen tai luonnollisen puuttumisen vuoksi. Toiminnan turvallisuus: Tämän osan ohjausobjektit varmistavat, että IT-järjestelmät, mukaan lukien käyttöjärjestelmät ja ohjelmistot, ovat turvallisia ja suojattuja tietojen menetykseltä. Tämän osan ohjausobjektit edellyttävät lisäksi keinoja tapahtumien tallentamiseen ja todisteiden luomiseen, haavoittuvuuksien säännölliseen tarkistamiseen ja varotoimiin estääkseen auditointitoimintoja vaikuttamasta toimintaan.

A.13. Viestinnän suojaus: Tämän osan hallintalaitteet suojaavat verkkoinfrastruktuuria ja -palveluita sekä niiden kautta kulkevia tietoja.

A.14. Järjestelmän hankinta, kehittäminen ja ylläpito: Tämän osan ohjausobjektit varmistavat, että tietoturva otetaan huomioon ostettaessa uusia tietojärjestelmiä tai päivitettäessä olemassa olevia.

A.15.Toimittajasuhteet: Tämän osan ohjausobjektit varmistavat, että toimittajien ja yhteistyökumppaneiden suorittamat ulkoistetut toiminnot käyttävät myös asianmukaisia tietoturvan valvontatoimia, ja ne kuvaavat, kuinka valvoa kolmansien osapuolten tietoturvan suorituskykyä.

A.16. Tietoturvatapahtumien hallinta: Tämän osan valvonnat tarjoavat puitteet turvatapahtumien ja vaaratilanteiden asianmukaisen viestinnän ja käsittelyn varmistamiseksi, jotta ne voidaan ratkaista ajoissa. he määrittelevät myös, miten todisteet säilytetään, samoin kuin kuinka oppia tapahtumista niiden toistumisen estämiseksi.

A.17. Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat: Tämän osan valvonnat takaavat tietoturvan hallinnan jatkuvuuden häiriöiden aikana ja tietojärjestelmien saatavuuden.

A.18. Vaatimustenmukaisuus: Tämän osan tarkastukset tarjoavat puitteet oikeudellisten, lakisääteisten, sääntelyyn ja sopimukseen liittyvien rikkomusten estämiseksi ja tarkastavat, onko tietoturva toteutettu ja tehokas ISO 27001 -standardin määriteltyjen käytäntöjen, menettelyjen ja vaatimusten mukaisesti.

Näiden verkkotunnusten tarkempi tarkastelu osoittaa meille, että tietoturvan hallinnassa ei ole kyse vain tietoturvasta (esim. palomuurit, virustorjunta jne.), vaan myös prosessien hallinnasta, oikeudellisesta suojasta, henkilöresurssien hallinnasta, fyysisestä suojaus jne.

Mitkä ovat ISO 27001 -ohjaimet?

ISO 27001 -ohjaimet (tunnetaan myös nimellä suojatoimenpiteet) ovat käytäntöjä, jotka on toteutettava riskien vähentämiseksi hyväksyttävälle tasolle. Hallintalaitteet voivat olla teknisiä, organisatorisia, juridisia, fyysisiä, inhimillisiä jne.

Kuinka monta valvontaa ISO 27001 -standardissa on?

ISO 27001 -standardin liitteessä A luetellaan 114 valvontaa, jotka on järjestetty 14 osioon numeroidut A.5 – A.18 edellä.

Kuinka otat käyttöön ISO 27001 -ohjaimet?

Tekninen valvonta toteutetaan ensisijaisesti tietojärjestelmissä, joissa käytetään ohjelmisto-, laitteisto- ja laiteohjelmistokomponentteja. lisätään järjestelmään. Esimerkiksi. varmuuskopiointi, virustentorjuntaohjelmistot jne.

Organisaatiokontrollit toteutetaan määrittelemällä noudatettavat säännöt ja odotettavissa oleva käyttäytyminen käyttäjiltä, laitteilta, ohjelmistoilta ja järjestelmiltä. Esimerkiksi. Kulunvalvontapolitiikka, BYOD-käytäntö jne.

Lainvalvonta toteutetaan varmistamalla, että säännöt ja odotettu käyttäytyminen noudattavat lakeja, asetuksia, sopimuksia ja muita vastaavia oikeudellisia välineitä, joita organisaation on noudatettava. Esimerkiksi. NDA (salassapitosopimus), SLA (palvelutasosopimus) jne.

Fyysinen valvonta toteutetaan ensisijaisesti käyttämällä laitteita tai laitteita, joilla on fyysinen vuorovaikutus ihmisten ja esineiden kanssa. Esimerkiksi. CCTV-kamerat, hälytysjärjestelmät, lukot jne.

Henkilöresurssien hallinta toteutetaan tarjoamalla ihmisille tietoa, koulutusta, taitoja tai kokemuksia, jotta he voivat suorittaa toimintansa turvallisesti. Esimerkiksi. tietoturvatietoisuuskoulutus, ISO 27001 -sisäisen tarkastajan koulutus jne.

Toteutus & -sertifikaatti

ISO 27001 pakolliset asiakirjat

ISO 27001 määrittää käytäntöjen, menettelyjen, suunnitelmien, tietueiden ja muun dokumentoidun tiedon vähimmäisjoukon, jota tarvitaan vaatimustenmukaisuuteen.

ISO 27001 edellyttää seuraavien asiakirjojen kirjoittamista:

Ja nämä ovat pakollisia tietoja:

Yritys voi tietysti päättää kirjoittaa muita suojausasiakirjoja jos se pitää sitä tarpeellisena.

Jos haluat nähdä tarkemman selityksen kaikista näistä asiakirjoista, lataa ilmainen valkoisen kirjan tarkistuslista pakollisista asiakirjoista, jotka vaaditaan ISO 27001: n (2013-versio) mukaisesti.

Paljonko ISO 27001 maksaa ?

ISMS: n käyttöönoton ja sertifioinnin kustannukset riippuvat ISMS: n laajuudesta ja monimutkaisuudesta, joka vaihtelee organisaatioittain. Kustannukset riippuvat myös toteutuksessa käyttämiesi eri palvelujen paikallisista hinnoista.

Nämä ovat yleisesti ottaen joitain kustannuksia, jotka sinun tulisi ottaa huomioon:

  • koulutus ja kirjallisuus
  • ulkoinen apu
  • tekniikat päivitettävä / toteutettava
  • työntekijöiden työ ja aika
  • sertifiointielimen kustannukset

nähdäksesi tarkemman selityksen sertifioinnista kustannukset, lataa ilmainen opas ISO 27001 -hankkeen budjetoinnista.

Mikä on ”ISO 27001 -sertifioitu”?

Yritys voi hakea ISO 27001 -sertifikaattia kutsumalla akkreditoidun sertifiointielimen suorittamaan sertifiointitarkastuksen ja, jos tarkastus onnistuu, myöntämään yritykselle ISO 27001 -sertifikaatti. Tämä sertifikaatti tarkoittaa, että yritys noudattaa täysin ISO 27001 -standardia.

Yksilö voi saada ISO 27001 -sertifikaatin käymällä läpi ISO 27001 -koulutuksen ja läpäisemällä kokeen. Tämä todistus tarkoittaa, että tämä henkilö on hankkinut asianmukaiset taidot kurssin aikana.

Kuinka kauan ISO 27001 on voimassa kerran sertifioituna?

Kun sertifiointielin myöntää yritykselle ISO 27001 -sertifikaatin, se on voimassa kolme vuotta, jonka aikana sertifiointielin suorittaa valvontatarkastuksia arvioidakseen, ylläpitääkö organisaatio ISMS: ää asianmukaisesti, ja tarvittaessa tarvittavat parannukset toteutetaan ajoissa.

Mitkä yritykset ovat ISO 27001 -sertifioituja?

ISO.org -verkkosivusto tarjoaa yleiskatsauksen sertifioiduista organisaatioista toimialoittain, maittain, sivustojen lukumäärän jne. mukaan. Löydät ISO-kysely tällä linkillä: https://www.iso.org/the-iso-survey.html.

Voit tarkistaa, onko tietyllä yrityksellä ISO 27001 -sertifikaatti, ottamalla yhteyttä sertifiointielimeen, koska siellä ei ole virallinen keskitetty sertifioitujen yritysten tietokanta.

Voiko henkilöllä olla ISO-sertifikaatti?

Kyllä, henkilö voi saada ISO 27001 -sertifikaatin osallistumalla yhteen tai useampaan seuraavista koulutuksista ja läpäisemällä tentti:

  • ISO 27001 Lead Implementer -kurssi – tämä koulutus on tarkoitettu edistyneille ammattilaisille ja konsultteille.
  • ISO 27001 Lead Auditor -kurssi – tämä koulutus on tarkoitettu sertifiointitarkastajille elimet ja konsultit.
  • ISO 27001 sisäisen tarkastajan kurssi – tämä koulutus on tarkoitettu ihmisille, jotka suorittavat sisäisiä tarkastuksia yrityksessään.
  • ISO 27001 -säätiökurssi – tämä koulutus on tarkoitettu ihmisille, jotka haluavat oppia standardin perusteet ja toteutuksen päävaiheet.
ISO 27k -sarja standardeja

Mitkä ovat ISO 27000 -standardit?

Koska se määrittelee ISMS-vaatimukset, ISO 27001 on ISO 27000 -standardiperheen päästandardi. Mutta koska siinä määritellään pääasiassa mitä tarvitaan, mutta ei täsmennetä miten se tehdään, on kehitetty useita muita tietoturvastandardeja lisäohjeiden antamiseksi. Tällä hetkellä ISO27k-sarjassa on yli 40 standardia, ja yleisimmin käytetyt standardit ovat seuraavat:

ISO / IEC 27000 tarjoaa termejä ja määritelmiä, joita käytetään ISO 27k -standardisarjassa.

/ IEC 27004 tarjoaa ohjeet tietoturvan mittaamiseen – se sopii hyvin yhteen ISO 27001: n kanssa, koska siinä selitetään, kuinka määritetään, onko ISMS saavuttanut tavoitteensa.

ISO / IEC 27005 tarjoaa ohjeita tietoturvariskien hallintaan. Se on erittäin hyvä lisäys ISO 27001 -standardiin, koska se antaa tietoja riskinarvioinnin ja riskinkäsittelyn suorittamisesta, mikä on todennäköisesti vaikein vaihe toteutuksessa.

ISO / IEC 27017 tarjoaa ohjeita tietoturvaan pilviympäristöissä.

ISO / IEC 27018 tarjoaa ohjeita yksityisyyden suojaamiseksi pilviympäristöissä.

ISO / IEC 27031 tarjoaa ohjeita siihen, mitä on otettava huomioon kehitettäessä liiketoiminnan jatkuvuutta tieto- ja viestintätekniikoille (ICT). Tämä standardi on loistava yhteys tietoturvan ja liiketoiminnan jatkuvuuden käytäntöjen välillä.

Mikä on ISO 27001: n nykyinen versio?

Tämän artikkelin julkaisupäivänä ISO 27001 on ISO / IEC 27001: 2013.

ISO 27001: n ensimmäinen versio julkaistiin vuonna 2005 (ISO / IEC 27001: 2005), toinen versio vuonna 2013, ja standardi tarkistettiin viimeksi vuonna 2019 , kun vuoden 2013 versio vahvistettiin (ts. muutoksia ei tarvittu).

On tärkeää huomata, että ISO: n jäsenmaat voivat kääntää standardin omalle kielelleen tekemällä pieniä lisäyksiä (esim. , kansalliset esipuheet), jotka eivät vaikuta standardin kansainvälisen version sisältöön. Näillä ”versioilla” on lisäkirjaimia erottaakseen ne kansainvälisestä standardista, esim. NBR ISO / IEC 27001 tarkoittaa ”brasilialaista versiota”, kun taas BS ISO / IEC 27001 tarkoittaa ”brittiläistä versiota”. Nämä standardin paikalliset versiot sisältävät myös vuoden, jolloin paikallinen standardointielin hyväksyi ne, joten uusin brittiläinen versio on BS EN ISO / IEC 27001: 2017, mikä tarkoittaa, että British Standards Institution hyväksyi ISO / IEC 27001: 2013. vuonna 2017.

Mikä on ero ISO 27001: n ja 27002: n välillä?

ISO 27001 määrittelee tietoturvan hallintajärjestelmän (ISMS) vaatimukset, kun taas ISO 27002 antaa ohjeita käyttöönotosta ISO 27001 -standardin liitteen A mukaiset säätimet.

Toisin sanoen ISO 27001 tarjoaa jokaiselle säätimelle vain lyhyen kuvauksen, kun taas ISO 27002 tarjoaa yksityiskohtaisen ohjauksen.

Mikä on ero NIST ja ISO 27001?

Vaikka ISO 27001 on kansainvälinen standardi, NIST on Yhdysvaltain valtion virasto, joka edistää ja ylläpitää mittausstandardeja Yhdysvalloissa – muun muassa SP 800 -sarja, joukko asiakirjoja, jotka määrittelevät parhaat tietoturvakäytännöt.

Vaikka NIST SP 800 -sarjaa ja ISO 27001 -sarjaa ei ole sama, niitä voidaan käyttää yhdessä tietoturvan toteuttamiseen.

Onko ISO 27001 pakollinen?

Useimmissa maissa ISO 27001 -standardin käyttöönotto ei ole pakollista. Joissakin maissa on kuitenkin julkaistu säännöksiä, jotka edellyttävät tietyiltä toimialoilta ISO 27001: n käyttöönottoa.

Voit selvittää, onko ISO 27001 pakollinen yrityksellesi, etsimällä asiantuntijoiden oikeudellista neuvontaa maastasi, jossa työskentelet.

Mitkä ovat ISO 27001 -valvonta?

Julkiset ja yksityiset organisaatiot voivat määritellä ISO 27001 -standardin noudattamisen lailliseksi vaatimukseksi palveluntarjoajiensa kanssa tekemissään sopimuksissa. Lisäksi, kuten edellä mainittiin, maat voivat määritellä lakeja tai säännöksiä, jotka tekevät ISO 27001 -standardin käyttöönotosta laillisen vaatimuksen, jonka niiden alueella toimivien organisaatioiden on täytettävä.

Lisätietoja tästä EU: n GDPR: stä ja siitä, miksi sitä sovelletaan koko maailmaan, on tässä artikkelissa.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *