Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja ...
SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.
-
Upload
suomen-standardisoimisliitto-sfs-ry -
Category
Technology
-
view
188 -
download
6
Transcript of SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.
![Page 1: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/1.jpg)
Jyrki LahnalahtiTuotepäällikkö
Inspecta Oy
SFS-ISO/IEC 27000Tietoturvallisuuden hallintajärjestelmät.
Yleiskuvaus ja sanasto
Julkaisutilaisuus 11.10.2016
![Page 2: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/2.jpg)
Standardin julkaisutilaisuus 2016-10-11SFS-ISO/IEC 27000:2016
Jyrki Lahnalahti, tuotepäällikköJulkinen
2016-10-10
![Page 3: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/3.jpg)
JULKINEN3
Osalla Inspectasta on juurensa julkisissa organisaatioissa ja yrityksissä.Pitkä lahjomattomuuden, laatuun panostamisen ja ammattitaidon perintö.Vahva kasvu orgaanisesti ja yritysostoin Suomessa, Ruotsissa, Norjassa, Tanskassa, Latviassa, Liettuassa ja Virossa.
HistoriaInspectasta
Suomen valtio perustaaTeknillisen tarkastus-keskuksen
Ruotsi perustaa Statens Anläggnings-Provning –tarkastus-laitoksen
Markkinat vapautuvat Ruotsissa
Markkinat vapautuvat Suomessa, Inspecta Suomi
Inspecta Latvia
Inspecta Viro
Inspecta Ruotsi
Inspecta Norja
Inspecta Tanska
Inspecta Liettua
Inspecta Puola
Inspecta osaksi ACTA* Groupia yhdessä Kiwan ja Shieldin kanssa
![Page 4: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/4.jpg)
JULKINEN4
Lisää Inspectasta
![Page 5: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/5.jpg)
JULKINEN5
Luomme turvallisuutta, luotettavuutta ja kestävää kehitystä Pohjois-Euroopassa.
We bring safety, trust and environmental sustainability to northern Europe.
VisiommeTämä on Inspecta
![Page 6: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/6.jpg)
Click icon to add picture
JULKINEN6
►SFS-ISO/IEC 27000:2016
![Page 7: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/7.jpg)
JULKINEN7
►Tässä kansainvälisessä standardissa esitetään yleiskuvaus tietoturvallisuuden hallintajärjestelmistä ja määritellään aiheeseen liittyvät termit.
►HUOM. Liitteessä A selvennetään, millä rakenteilla tietoturvallisuuden hallintajärjestelmästandardisarjassa ilmaistaan vaatimuksia ja suosituksia.
SFS-ISO/IEC 27000:2016
![Page 8: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/8.jpg)
JULKINEN8
SFS-ISO/IEC 27000:2016 - sisällysluettelo
![Page 9: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/9.jpg)
Click icon to add picture
JULKINEN9
►2 Termit ja määritelmät
![Page 10: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/10.jpg)
JULKINEN10
Termit ja määritelmät
![Page 11: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/11.jpg)
Termit ja määritelmät
►standardissa on 89 termiä ja määritelmää, joita käytetään standardisarjan eri osissa
►liitteessä B on lueteltu termit standardisarjan osittain►usea termi on suoraan lainattu ISO Guide 73 –dokumentista, joka on
riskienhallinnan sanasto
JULKINEN11
![Page 12: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/12.jpg)
Click icon to add picture
JULKINEN12
►3 Tietoturvallisuuden hallintajärjestelmät
![Page 13: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/13.jpg)
Tietoturvallisuus
►luottamuksellisuus: ominaisuus, joka tarkoittaa, että luvattomilla henkilöillä, tahoilla tai prosesseilla ei ole pääsyä tietoihin eikä tietoja luovuteta tällaisille tahoille
►eheys: ominaisuus, johon sisältyy oikeellisuus ja kattavuus
►saatavuus: ominaisuus, joka tarkoittaa, että valtuutetulla taholla on tarvepohjainen pääsy- ja käyttöoikeus kohteeseen
►muita ominaisuuksia voivat olla aitous, tilivelvollisuus, kiistämättömyys ja luotettavuus
JULKINEN13
![Page 14: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/14.jpg)
JULKINEN14
►Tietoturvallisuuden hallintajärjestelmä (ISMS) koostuu toimintaperiaatteista, menettelytavoista, ohjeista ja niihin liittyvistä resursseista ja toiminnoista, joita organisaatio hallinnoi kootusti suojatakseen tieto-omaisuuttaan.
►tietoturvallisuuden hallintajärjestelmän onnistuneen toteuttamisen mahdollistajia►tietoisuus►määritellyt vastuut►johdon sitoutumisen ja sidosryhmien etujen huomioon ottaminen►yhteiskunnan arvojen tukeminen►riskienhallinta►tietoturvallisuus aitona osana tietojärjestelmiä ja –verkkoja►kattava, kehittyvä hallintamalli
Tietoturvallisuuden hallintajärjestelmät
![Page 15: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/15.jpg)
Tietoturvallisuudella varmistetaan paitsi tiedon luottamuksellisuus niin myös sen saatavuus ja eheys.Tietoturvallisuuden hallintajärjestelmien kannalta hallinta tarkoittaa valvontaa ja liiketoimintatavoitteiden saavuttamiseen tarvittavien päätösten tekemistä siten, että suojataan organisaation tieto-omaisuutta.
15
Tietoturvallisuuden hallinta on osa johtamistaTietoturvallisuuden hallintajärjestelmä (ISMS) on johdon työkalu
ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden kokonaisvaltaiseen johtamiseen ja hallintaan.
Standardin ISO/IEC 27001 mukainen ISMS hallinnoi myös muut organisaatioon kohdistuvat tietoturvavaatimukset kuten Katakrin ja VAHTIn omat vaatimukset.
JULKINEN
![Page 16: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/16.jpg)
JULKINEN16
►suojaa tieto-omaisuutta►antaa varmuutta suojauksen riittävyydestä►organisoitunut ja tehokas lähestymistapa
tietoturvariskien hallintaan soveltuvin hallintakeinoin►parantaa hallintakeinojen vaikuttavuutta►parantaa hallintamalleja ja –ympäristöä►varmistaa vaatimustenmukaisuutta
Miksi tietoturvallisuuden hallintajärjestelmä on tärkeä?
![Page 17: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/17.jpg)
JULKINEN17
Tietoturvallisuuden hallintajärjestelmän luominen, seuranta, ylläpito ja parantaminen
Tietoturvavaatimusten tunnistaminen Tietoturvariskien arviointi Tietoturvariskien käsittely
Hallintakeinojen valitseminen ja toteuttaminen
TTHJ:n vaikuttavuuden seuranta, ylläpito ja
parantaminenJatkuva parantaminen
![Page 18: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/18.jpg)
JULKINEN18
►Tietoturvallisuus saavutetaan toteuttamalla soveltuva joukko hallintakeinoja, jotka on valittu riskien hallintaprosessin avulla ja joita hallitaan tietoturvallisuuden hallintajärjestelmällä.
►standardi SFS-ISO/IEC 27005 ohjeistaa tietoturvariskien hallintaa
►korostaa riskien arvioinnin ja käsittelyn iteratiivisuutta
►taustalla yleinen riskienhallintastandardi ISO 31000
Tietoturvariskien arviointi ja käsittely
![Page 19: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/19.jpg)
JULKINEN19
►tietoturvallisuuden hallintajärjestelmän menestystekijöitä►liiketoiminnan tavoitteet (strategia) -> tietoturvapolitiikka -> tietoturvatavoitteet ->
toimenpiteet►yhtenäinen näkemys ja kulttuuri tietoturvallisuuteen►johdon tuki ja sitoutuminen, erityisesti ylimmän johdon!►vaatimukset tiedossa►tietoisuuden varmistaminen►tietoturvahäiriöiden vaikuttava hallinta►liiketoiminnan jatkuvuuden vaikuttava hallinta►toimivat mittaaminen ja analysointi
Tietoturvallisuuden hallintajärjestelmät
![Page 20: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/20.jpg)
Johtamisjärjestelmäkoko organisaation johtamis- ja toimintamalli
JULKINEN20
Kaikessa tässä on kyse johtamisesta ja johtajuudesta
Liiketoiminnan jatkuvuuden
hallintaISO 22301
Tietoturvalli-suuden hallintaISO/IEC 27001
IT-palveluiden hallinta
(ITIL-prosessit)ISO/IEC20000-1
Ympäristön-, omaisuuden-,
energian-, työturvallisuuden
-hallintaISO xxxx
ISO/IEC yyyy
LaadunhallintaISO 9001
Riskienhallinnan viitekehys ja prosessit (ISO 31000)
Toimintaympäristön ja sidosryhmien tunnistaminen ja huomiointi, laki- ja viranomaisvaatimukset, asiakaslupaukset, ylimmän johdon työkalut kuten politiikat, roolit, vastuut, valtuudet, viestintä,
dokumentointikäytännöt, osaamisen hallinta, mittaaminen, sisäinen auditointi, johdon katselmus, jatkuva parantaminen, …
Jatkuvuuden hallinnan elementtejä
Tietoturvallisuuden hallinnan elementtejä
Katakri
VAHTI 2/2010
AQAP-2110
![Page 21: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/21.jpg)
Click icon to add picture
JULKINEN21
►4 Tietoturvallisuuden hallintajärjestelmästandardisarja
![Page 22: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/22.jpg)
JULKINEN22
►vaatimusstandardeja on vain 3
►ohjestandardit tukevat suoraan hallintajärjestelmän ja hallintakeinojen toteuttamista
►toimiala- ja hallintakeinokohtaiset osat täydentävät yksityiskohtia
Tietoturvallisuuden hallintajärjestelmästandardisarja
FI
FI
FI FI FI FI FI
FI
![Page 23: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/23.jpg)
JULKINEN23
Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja
![Page 24: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/24.jpg)
JULKINEN24
Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja
![Page 25: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/25.jpg)
JULKINEN25
Muutama poimintaTietoturvallisuuden hallintajärjestelmästandardisarja
![Page 26: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/26.jpg)
JULKINEN26
Kysymyksiä, kommentteja, ajatuksia?
![Page 27: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajarjestelmat. Yleiskuvaus ja sanasto.](https://reader035.fdocument.pub/reader035/viewer/2022062306/5871a5501a28abda6a8b4637/html5/thumbnails/27.jpg)
27