Tämä teksti on kirjoitettu tietoturvan hallintajärjestelmän rakentajalle tai ISO 27001 -sertifiointia pohtivalle. Artikkelissa tietoturvapäällikkönä työskentelevä Aleksi Rossi jakaa käytännön kokemuksia ja näkökulmia hallintajärjestelmän rakentajalle.
ISO 27001 tiivistettynä
ISO 27001 on standardi tietoturvan hallinnointiin. Standardi tarjoaa viitekehyksen tietoturvan hallintajärjestelmän rakentamiseen, joka sisältää vaatimuksia ja suosituksia. Standardin pääkohtia ovat muun muassa riskienhallinta, toimintaympäristön ja suojattavan omaisuuden määrittely, iso kasa dokumentaatiota prosesseista, ohjeista ja mittareista, sekä soveltuvuuslausunto, jossa ISO-standardia soveltava organisaatio ottaa kantaa, miten he soveltavat standardin 114 tietoturvan hallintakeinoa omassa toiminnassaan.
ISO 27001 -sertifikaatti ei ole suora lupaus tietoturvan tasosta
ISO 27001 ei ole suora tietoturvastandardi tai -sertifiointi. Standardi ei ota kantaa siihen, millä tasolla organisaation tietoturva on, vaan onko tietoturvan hallintajärjestelmä standardin mukainen. Hallintajärjestelmällä on usein välillisesti suuri vaikutus organisaation tietoturvaan ja hallintajärjestelmällä pyritään kehittämään tietoturvan tasoa, mutta pelkkä ISO 27001-sertifikaatti ei kerro suoraan hyvästä tietoturvasta.
ISO 27001 -standardi tarjoaa valtavan määrän hyviä toimintatapoja ja lähestymisvaihtoehtoja tietoturvan hallintaan. Vaatimuksissa velvoitetaan ottamaan kantaa tietoturvan eri osa-alueisiin kuten pääsynhallintaan, järjestelmien hankintaan ja ylläpitoon, häiriöiden hallintaan ja jatkuvuuteen. Näitä vaatimuksia tulee ensisijaisesti peilata suhteessa organisaation sidosryhmiin.
Hyvä hallintajärjestelmä on organisaationsa näköinen
Vaikka ISO 27001 on kansainvälinen standardi, se muovautuu hyvin organisaatioiden omiin malleihin. Miltei kaikissa standardin hallintakeinoissa, niiden soveltaminen on organisaation itse määriteltävissä. Hallintajärjestelmä kannattaa rakentaa oman organisaation näköiseksi, ei standardin, jolloin hallintajärjestelmä tuottaa käyttäjilleen parempia tuloksia.
ISO 27001 -sertifikaatti on monelle organisaatiolle ensisijainen päämäärä, mutta sertifiointi ei ole pakollinen, vaan voit noukkia standardista parhaat palat omaan tietoturvaohjelmaan. Monille organisaatioille sertifioituminen on suora vaatimus sidosryhmiltä. Tällaisissa tapauksissa panostakaa riittävästi hallintajärjestelmän toteutukseen, jotta saatte siitä täyden hyödyn irti.
Hallintajärjestelmän avulla organisaation käsittelemät tiedot ovat paremmin hallittavissa
ISO 27001 -standardi on valtava kokonaisuus, varsinkin, jos ISO-standardit eivät ole entuudestaan tuttuja. Hallintajärjestelmän rakennusprojekti kestää tyypillisesti vuodesta pariin vuoteen. Mikäli tavoitteenanne on pysyä aikataulussa, panosta silloin projektin resurssointiin ja varmista, että organisaation johtoryhmä tukee projektia.
Perehtykää standardiin kunnolla projektin alkuvaiheessa, lähdittepä hallintajärjestelmän rakennuksen kanssa liikkeelle miten vain. Se auttaa tarkentamaan projektin laajuutta, sillä koko organisaation kattava tietoturvaprojekti imee helposti sisälleen muutakin kuin standardissa vaadittuja asioita. Muita asioita on monesti järkevämpi työstää vasta silloin, kun hallintajärjestelmä on valmis, jotta voitte hyödyntää hallintajärjestelmää kehitystyössä. Luo ensin tietoturvan hallintajärjestelmä, ja hyödynnä sitä sitten tietoturvan kehittämiseen. ISO 27001 -standardin perusajatus on tarjota viitekehys organisaation tietoturvan kehittämiseen, ja käytännössä viitekehys konkretisoituu hallintajärjestelmäksi.
Onnistumisen edellytyksiä ovat laaja projektiryhmä, helposti ylläpidettävä hallintajärjestelmä ja ajoissa aloitettu jalkautustyö
Mitä tarkemmin tunnet standardin ja organisaation, jota varten hallintajärjestelmä rakennetaan, sitä helpompaa ja nopeampaa työ on. Tämän takia projektiryhmään kannattaa varata laaja edustus.
Itse työhön ja hallintajärjestelmän kuvaamiseen on monia tapoja ja työkaluja. Arterin oma hallintajärjestelmä rakennettiin ensisijaisesti meidän oman kokonaisarkkitehtuurimme mallintamiseen ja hallintaan tarkoitettuun ARC-ohjelmistoon ja sinne luodun ISO 27001 -mallipohjan avulla. ARC-ohjelmiston lisäksi hyödynsimme Arterin toista omaa ohjelmistoa, IMS-toimintajärjestelmää, minne kuvasimme muun muassa tietoturvallisuuteen liittyvät prosessit. IMS-ohjelmiston avulla ylläpidämme hallintajärjestelmään liittyviä dokumentteja, seuraamme toimintaamme mittarien ja raporttien avulla ja toteutamme riskienhallintaa.
Tärkeintä työvälineiden valinnassa on huomioida tiedon ylläpidettävyys. Vaikka kaiken dokumentaation voi tehdä tekstidokumentteihin, pidemmän päälle se ei ole kannattavaa. Vaikka apuna käyttäisi ulkoista konsultointipalvelua, ei hallintajärjestelmän rakentamista voi tehdä ilman omaa työpanosta. Ja jos voisikin, uskallan väittää, ettei siitä tulisi kovin hyvä hallintajärjestelmä.
Hallintajärjestelmä tulee jalkauttaa ja ottaa käyttöön vaiheittain. Sertifiointiprosessi ei mene läpi, jos vain tietoturvapäällikkö tietää organisaation tietoturvapolitiikan ja käytänteet. Jalkautus on hyvä aloittaa jo aikaisessa vaiheessa. Muista kuitenkin varautua siihen, että jo jalkautetun asian muuttaminen voi aiheuttaa haasteita.
Kestävillä päätöksillä hallintajärjestelmälle pitkä elinkaari
Arterilla konsulttina toimiva Aki Kärnä kehoittaa hallintajärjestelmän rakentajia pitämään mielessä seuraavaa:
Hallintajärjestelmän rakentaminen on projekti, jolla on alku ja loppu. Projekti ei itsessään ole tavoite, vaan se, mitä sillä saadaan aikaan, ja projektin päätteeksi alkaa hallintajärjestelmän ylläpito. Hallintajärjestelmän rakentamisessa kannattaa pohtia asioita projektia pidemmälle, eikä tehdä päätöksiä vain projektin näkökulmasta. Ulota näkökulmasi pidemmälle hallintajärjestelmän ylläpitoon. Jos päätöksiä tehdään siitä näkökulmasta, että projektissa päästään helpommalla, voidaan tulla luoneeksi rakenteita ja toimenpiteitä, jotka eivät ole järkeviä ylläpidon näkökulmasta. Panos, joka voi projektin aikana tuntua suurehkolta, voi olla itseasiassa hyvin pieni peilattuna hallintajärjestelmän elinkaareen.
Valmiinkaan tietoturvan hallintajärjestelmän kanssa ei pääse lepäämään
Rakentamisen jälkeen alkaa hallintajärjestelmän mukainen arki. Kaikkea mittaroidaan ja kalenteri täyttyy sisäisistä auditoinneista ja katselmoinneista. Hallintajärjestelmän avulla organisaatio ja sen käsittelemät tiedot ovat helpommin ja paremmin hallittavissa.
Varsinkin pienemmille organisaatioille, joilla ei ennestään ole minkäänlaisia hallintajärjestelmiä, voi ISO 27001 olla valtava ryhtiliike. Standardi määrittää nimensä omaisesti standardoituja tapoja lähestyä tietoturvan hallintaa, kun monesti pienemmissä organisaatioissa pyritään hyviin tapoihin, mutta toteutuksessa mennään best effort -tyylisesti. Lisäksi ISO 27001 -standardi velvoittaa johdon osallistumaan tietoturvatyöhön.
Riskienhallinnan suhde tietoturvatyöhön on tiivis
Riskienhallinta on merkittävä osa ISO 27001 -standardia ja tietoturvan hallintaa. Tietoturvaa ja ylipäätään kaikkea organisaation toimintaa on järkevää peilata riskienhallinnan näkökulmasta. Standardi ei velvoita pistämään koko tietoturvabudjettia uusiksi. Hallintajärjestelmän avulla käsiteltäviä riskejä pitää pystyä hallinnoimaan ja riskianalyysillä tarkastat tarvitseeko riskin todennäköisyyttä pienentää yhdellä vai useammalla hallintakeinolla.
Poikkeamiin puuttuminen kuuluu olennaisesti hallintajärjestelmän ylläpitoon
Poikkeamia voi havaita esimerkiksi auditoinneissa tai poikkeamaraporttien avulla. Mikäli poikkeamia ei korjata, organisaatio voi menettää sertifikaattinsa. Organisaation täytyy pystyä osoittamaan reagointinsa havaittuihin poikkeamiin, ja mikäli jotain ei korjata, täytyy tästä ainakin kirjata ylös oma riskinsä.
Suojattavan omaisuuden inventaario voi paisua
Suojattavan omaisuuden inventaarion ylläpito on monesti hoidettu organisaation prosesseissa ja tietojärjestelmien avulla (CMDB). Standardi vaatii määrittämään suojattavan omaisuuden, joka voi helposti tarkoittaa koko organisaation tieto-omaisuutta. Tämän tiedon ajan tasalla pitäminen voi vaatia syötteitä laajalti ja sitä on hyvä määrittää osaksi muita prosesseja kuten muutostenhallintaa.
Aleksi Rossi toimii Arter Oy:n tietoturvapäällikkönä. Aleksi vastasi kesäkuussa 2021 sertifioidun ISO 27001 -hallintajärjestelmän rakentamisesta Arterilla.