header ajankohtaista
A- A+

Tietoturvallisuus on luottamusta, eheyttä ja saatavuutta

Julkaistu 17.11.2016

Tietoturvallisuuteen vaikuttavia tekijöitä ovat käytetyt tekniikat, annetut ohjeistukset ja johtaminen. Näitä kaikkia osa-alueita käsitellään tietoturvallisuuden standardeissa. Osa standardeista on koottu tietoturvallisuuden hallintajärjestelmäksi, joka auttaa tietoturvallisuuden johtamisessa ja organisoinnissa.

Tietoturvallisuus on muutakin kuin tekniikkaa


Standardin Tietoturvallisuuden hallintajärjestelmät. Vaatimukset (ISO/IEC 27001) mukaan tietoturvallisuus tarkoittaa luottamuksellisuutta, eheyttä ja saatavuutta. Luottamuksellisuus takaa, että tieto on suojattu asiattomalta lukemiselta, kuuntelulta ja käsittelyltä. Eheydellä tarkoitetaan tietojen säilymistä sellaisina kuin ne on alun perin tarkoitettu, ja saatavuus takaa sen, että tietoon pääsevät käsiksi ne henkilöt ja tahot, joilla siihen on oikeus.

Tietoturvastandardeissa esille nostetaan myös muihin turvallisuuden osa-alueisiin liittyviä tekijöitä, esimerkiksi tiedon johtaminen, toimitilaturvallisuus ja rikoksen torjunta.  Tietoturvallisuus ei siis ole vain tekniikkaa eikä tietoturvan ja muun turvallisuuden välillä ole tiukkoja rajoja.

Tietoturvallisuuden hallintajärjestelmä johtamisen avuksi


Tietoturvallisuuden hallintajärjestelmän käyttö auttaa yritysjohtoa organisoimaan tietoturvatyötä. Hallintajärjestelmä ei ole yksittäinen dokumentti, vaan se on prosessi, jota on kehitettävä jatkuvasti. Hallintajärjestelmään kuuluu useita standardeja, ja niistä voi valita omaan tarkoitukseen sopivimmat.

Hallintajärjestelmän perusstandardi, ja samalla ehkä tunnetuin tietoturvastandardi, on Tietoturvallisuuden hallintajärjestelmät. Vaatimukset  (SFS-ISO/IEC 27001). Siinä kerrotaan, millaiset vaatimukset organisaation on täytettävä, jotta tietoturvallisuuden hallintajärjestelmä on toimiva ja kattava.

Toinen hallintajärjestelmän perusstandardi on Tietoturvallisuuden hallintakeinojen menettelyohjeet (SFS-ISO/IEC 27002). Siinä tarkennetaan standardin SFS-ISO/IEC 27001  vaatimuksia ja annetaan ohjeita niiden toteuttamiseksi. Monet muut tietoturvallisuuden hallintajärjestelmä -sarjan standardit vaativat nämä kaksi standardia järjestelmän toteuttamisen pohjaksi.

Yleisiä vaatimuksia kuvaavien standardien lisäksi on olemassa ohjeita. Yleisiä ohjeita ovat esimerkiksi menettely-, riskienhallinta, toteuttamis- ja mittausohjeet. Erikseen on laadittu sektorikohtaisia ohjeita, joissa nostetaan esille kunkin alan tietoturvaa koskevia erityispiirteitä. Tällä hetkellä on olemassa ohjeita mm. pilvipalveluille, tietoliikenteelle, rahoitusalalle ja terveydenhuollolle.

Tietoturvastandardeja on laadittu kansainvälisessä standardisoimisijärjestössä ISOssa jo useita kymmeniä. Tietoturvallisuusstandardit, kuten kaikki muutkin standardit, ovat syntyneet kansainvälisten asiantuntijoiden yhteistyönä. Standardeihin on kiteytynyt kokemusperäistä tietoa, joka auttaa huomioimaan tiedon turvaamisen kannalta oleelliset toimenpiteet.

Lisätietoja


Tietoturvallisuuden hallintajärjestelmän standardeihin voi tutustua paremmin opetus- ja itseopiskelukäyttöön laaditun diasarjan avulla. Diasarja on julkaistu SlideSharessa: http://www.slideshare.net/SFSedu/iso-27000-standardiperhe.

Katso myös suomeksi julkaistun Tietoturvallisuuden hallintajärjestelmien yleiskuvaus ja sanasto -standardin (SFS-ISO/IEC 27000) julkaisutilaisuuden videotallenne osoitteessa http://livestream.com/ITstriimIT/SFS-ISO-IEC-27000.


SFS Kauppa

online.sfs.fi

Sahkobanneri_165x52_Uusi

Lausuntopyyntöpalvelu


rss Uutiset

20.6.2018 Kansainvälinen elintarviketurvallisuuden hallintajärjestelmästandardi uusittu

Kansainvälinen standardisoimisjärjestö ISO on julkaissut uuden version elintarviketurvallisuuden hallintajärjestelmiä käsittelevästä standardista ISO 22000. Standardi korvaa vuonna 2005 ilmestyneen ensimmäisen version. ISO 22000:2018 tulee ladattavaksi SFS:n verkkokauppaan 26.6.2018.

Lue lisää

20.6.2018 Standardisointi mukana EU:n seuraavan kauden tutkimuksen puiteohjelmassa

Euroopan komissio on julkaissut 7.6.2018 ehdotuksensa seuraavien vuosien tutkimuksen puiteohjelmaksi ”Euroopan horisontti (FP9)”. Eurooppalaiset standardisoimisjärjestöt CEN ja CENELEC toivottavat tervetulleeksi EU:n teollisuuden maailmanlaajuiselle kilpailukyvylle keskeisen ehdotuksen. Ehdotuksen toinen artikla mainitsee standardisoinnin keskeiseksi avaintyökaluksi tutkimuksen ja innovaatioiden levittämisessä.

Lue lisää

20.6.2018 Työterveys- ja työturvallisuusjohtamisen standardi saa jatkoa

Kansainvälisen standardisoimisjärjestön ISOn tekninen komitea ISO/TC 283 Occupational health and safety management sai maaliskuussa 2018 valmiiksi työterveys- ja työturvallisuusjohtamisen standardin ISO 45001. Komitean työtä on päätetty jatkaa. Keskeinen tavoite on standardin ISO 45001 ylläpito sekä standardin käyttöönottoa ja soveltamista tukevien ohjestandardien laadinta huomioiden mm pk-yritysten tarpeet.

Lue lisää



SFSedu oppilaitosportaali

European Committee for Standardization

International Organization for Standardization