header terveys
A- A+

Tietoturvallisuuden hallintajärjestelmästandardit


Tietoturvallisuuden hallintajärjestelmä on osa organisaation yleistä hallintajärjestelmää. Sen tavoitteena on parantaa tietoturvallisuutta ja helpottaa tietoturvallisuustyön johtamista.

Hallintajärjestelmiä käsittelevät kansainväliset standardit esittävät mallin, joka auttaa hallintajärjestelmän luomisessa ja käytössä. Tietoturvallisuuden hallintajärjestelmä koostuu toimintaperiaatteista, menettelytavoista, ohjeista ja niihin liittyvistä toiminnoista, joita organisaatio hallinnoi suojatakseen tieto-omaisuuttaan. Tämä tieto-omaisuus voi olla esimerkiksi
  • taloudellista tietoa
  • aineetonta omaisuutta
  • työntekijöiden henkilötietoja tai
  • asiakkaiden tai kolmansien osapuolten organisaatiolle antamia tietoja.
Standardien avulla voidaan myös valmistautua tietoturvallisuuden hallintajärjestelmän riippumattomaan arviointiin.

SFS-EN ISO/IEC 27000:2017 Tietoturvallisuuden hallintajärjestelmät. Yleiskuvaus ja sanasto

Tässä kansainvälisessä standardissa esitetään yleiskuvaus tietoturvallisuuden hallintajärjestelmistä ja määritellään aiheeseen liittyvät termit.

SFS-EN ISO/IEC 27001:2017  Informaatioteknologia. Turvallisuustekniikat. Tietoturvallisuuden hallintajärjestelmät. Vaatimukset

Standardissa esitetään tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevat vaatimukset. Standardi sisältää myös organisaation tarpeisiin mukautettua tietoturvariskien arviointia ja käsittelyä koskevat vaatimukset. Standardissa esitetyt vaatimukset ovat yleisluonteisia ja ne soveltuvat kaikentyyppisille ja -kokoisille organisaatioille.

On tärkeää, että tietoturvallisuuden hallintajärjestelmä on osa organisaation prosesseja ja yleisiä johtamis- ja hallintarakenteita ja että se on yhdistetty niihin. Lisäksi on tärkeää, että tietoturvallisuus otetaan huomioon prosessien, tietojärjestelmien ja hallintakeinojen suunnittelussa.

SFS-EN ISO/IEC 27002:2017 Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tämä standardi on tarkoitettu käytettäväksi standardiin ISO/IEC 27001 perustuvan tietoturvallisuuden hallintajärjestelmän toteuttamisprosessissa. Se sopii myös ohjeistukseksi yleisesti hyväksyttyjen tietoturvallisuuden hallintakeinojen toteuttamiseen. Standardia voidaan hyödyntää toimiala- tai organisaatiokohtaisten tietoturvallisuuden hallintaohjeiden kehittämisessä, sillä siinä siinä otetaan huomioon toimialaa tai organisaatiota koskevat tietoturvallisuuden riskiympäristöt.

SFS-EN ISO 27799:2016 Terveydenhuollon tietotekniikka. Tiedonhallinta terveydenhuollossa standardin ISO/IEC 27002 avulla

Standardiin on koottu tietoturvallisuuden hallintakeinot, joita on tarkennettu erityisesti terveydenhuoltoon sopiviksi. Hallintakeinojen avulla säilytetään tietojen luottamuksellisuus, eheys ja saatavuus. Hallintakeinoilla ehkäistään hoitovirheitä, joiden syynä voi olla terveystietojen eheyden menetys. Lisäksi varmistetaan hoitopalveluiden jatkuvuus. Standardin soveltamisen myötä terveydenhuollon organisaatiot voivat olettaa turvallisuushäiriöiden määrän ja vakavuuden kääntyvän laskuun, ja niiden on mahdollista kohdentaa resurssit toisaalle.

Tietosuojastandardit


SFS-ISO/IEC 29100 Informaatioteknologia. Turvallisuus. Tietosuojan perusteet

Tässä kansainvälisessä standardissa esitetään tietosuojamalli, jossa mm. määritellään tietosuojan yleinen termistö, määritellään henkilötietoja käsittelevät toimijat ja näiden roolit sekä esitellään yksityisyyden suojaamista koskevia näkökohtia.


Standardi on avuksi henkilötietoja käsittelevien ja suojaavien tietojärjestelmien suunnittelussa, toteuttamisessa, hoitamisessa ja ylläpitämisessä. Se kannustaa kehittämään innovatiivisia ratkaisuja henkilötietojen suojaamiseen tietojärjestelmissä ja tehostaa organisaation tietosuojaohjelmia parhaiden käytäntöjen avulla.


SFS-ISO/IEC 29190 Informaatioteknologia. Turvallisuus. Tietosuojakyvykkyyden arviointimalli

Tämä kansainvälinen standardi tarjoaa organisaatioille ylätason ohjeistusta siitä, kuinka ne voivat arvioida kyvykkyyttään hallita tietosuojaan liittyviä prosesseja. Standardissa määritellään tietosuojakyvykkyyden määrittämisen arviointiprosessin vaiheet ja joukko tietosuojakyvykkyyden arvioinnin tasoja. Lisäksi annetaan ohjeistusta, joka koskee keskeisiä prosessialueita, joihin verraten tietosuojakyvykkyyttä voidaan arvioida.


Standardi antaa myös ohjeistusta prosessien arviointeja tekeville tahoille sekä ohjeita tietosuojakyvykkyyden arvioinnin yhdistämiseen organisaation toimintoihin.