SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Samankaltaiset tiedostot
SFS, STANDARDIEHDOTUKSEN ISO/DIS ESITTELY

Vuosi ISO 9001 ja 14001:2015 julkaisusta sertifioijan kokemuksia Sertifioinnilla kilpailuetua - Inspectan tietopäivä

OMAVALVONTA ISO 9001 ISO / FSSC ISO OHSAS SATAFOOD KEHITTÄMISYHDISTYS RY Marika Kilpivuori

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

Liite 2 (velvoittava) Hallintajärjestelmästandardien yleisrakenne ja vakiotekstit sekä yhteiset termit ja keskeiset määritelmät

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Turvallisuusjohtamisjärjestelmien arvioinnin kehitys EU-lainsäädännössä

Riskit hallintaan ISO 31000

ISO 45001:2018 Työterveys- ja työturvallisuusjärjestelmät. Hanna Manninen Johtava arvioija & Kouluttaja

ISO uudistuu mikä muuttuu? TERVETULOA!

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

EN sarja Innovaatiojohtaminen yksi uusi työkalu

Uusien ISO 9001 ja ISO vaikutukset konepajoille

ISO SFS Aamukahvitilaisuus Mira Saksi H&S Manager, Vaisala OYj

Tuotekehitys ja yrityksen laatujärjestelmä

MUUTOSTA LAADUN EHDOILLA

TIETOTURVAPOLITIIKKA

Projektinhallinta SFS-ISO mukaan

Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista. Tuulikki Lammi Versio1,

Yritysturvallisuuden johtamisen arviointi

YMPÄRISTÖJÄRJESTELMÄ JA SEN SERTIFIOINTI Petri Leimu TAO, Turun Ammattiopisto

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvapolitiikka

OHSAS vs. ISO mikä muuttuu?

Yritysturvallisuuden johtamisen arviointi

Mikrobiologisen näytteenoton laadunhallinta. Outi Lampinen HUSLAB Bakteriologian yksikkö

Laatujohtaminen Johtamisjärjestelmät. Vierailuluento Sanna Vauranoja

Uusi SFS-ISO/IEC 27001:2013. Jyrki Lahnalahti Versio 1.0

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Johdantoluento. Ohjelmien ylläpito

Miten innovointia tehdään Euroopassa

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

ONNISTUNUT VERTAILUMITTAUS Pätevyysvaatimukset vertailumittausjärjestäjälle. Tuija Sinervo FINAS-akkreditointipalvelu

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

TOIMIVAN LAADUNHALLINTAA JA LAADUN JATKUVAA PARANTAMISTA TUKEVAN JÄRJESTELMÄN KRITEERISTÖ

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

ENNAKOIVAA JA VAIKUTTAVAA ARVIOINTIA 2020 KANSALLISEN KOULUTUKSEN ARVIOINTIKESKUKSEN STRATEGIA

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Standardit tietoturvan arviointimenetelmät

STANDARDI SFS-EN ISO 14006, YMPÄRISTÖNÄKÖKOHDAT HUOMIOON OTTAVAN SUUNNITTELUN SISÄLLYTTÄMINEN YMPÄRISTÖJÄRJESTELMÄÄN

15224 standardi johtamisen ja laadukkaan työn tukena auditoijan näkökulma YTL Merja Huikko

Toimiva laadunhallintaa ja laadun jatkuvaa parantamista tukeva järjestelmä

Quality Consulting M.Mikkola OY

Viestintäviraston tietoturvapolitiikka

Pro Laadunhallinta. Standardit

Käytännön kokemuksia laatujärjestelmistä

akkreditointistandardi SFS-EN ISO FINAS - akkreditointipalvelu

Kasvua ja kilpailukykyä standardeilla. Riskit hallintaan SFS-ISO 31000

EnergiaTehokkuusJärjestelmän. sisältö ja käyttöönotto yrityksissä

EFQM kansalaisopiston kehittämisessä

Toimivan laadunhallintaa ja laadun jatkuvaa kehittämistä tukevan järjestelmän kriteerit ja arviointi

SKI-kyvykkyysanalyysi. Kyvykäs Oy Ab

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

SAMKin laadunkehittämistyö

Kaupunkistrategian toteuttamisohjelma 5:

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

SATAFOOD KEHITTÄMISYHDISTYS RY

Laboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu?

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Lean-implementaation tiekartta VSSHP:ssä Heikki Laurila Lean projektijohtaja VSSHP, Kehittämispalvelut

Keskustelu ja kuulemistilaisuus:

Satakunnan koulutuskuntayhtymän laatujärjestelmä. RUORI Matti Isokallio Noormarkku

EDISTÄMME POTILASTURVALLISUUTTA YHDESSÄ. Suomalainen potilasturvallisuusstrategia

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Työterveys ja -turvallisuus uuden ISO standardin valossa Sertifioinnilla kilpailuetua - Inspectan tietopäivä

Espoon kaupunkikonsernin tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Johtamisen standardit mitä ja miksi

Strategia prosessista käytäntöön!

Vastuullisuus ja johtaminen

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Sovelto Oyj JULKINEN

SMS ja vaatimustenmukaisuuden

Riskienhallinta- ja turvallisuuspolitiikka

Turvallisuusseminaari Silja-Line

Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Työterveys- ja työturvallisuusjärjestelmän. sertifiointi. Trust, Quality & Progress ISO 45001:2018. Kiwa Inspecta

ISO 9001 ja ISO muutokset , Rantasipi Airport Congress Center

Kasvua ja kilpailukykyä standardeilla. Ympäristöjohtamisen standardisarja ISO 14000

Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 2

Sisäisen valvonnan ja Riskienhallinnan perusteet

ISO 9000:2015 ja ISO 9001:2015 Keskeiset muutokset laadunhallinnan standardeissa

Jatkuva parantaminen Case: Alkon laboratorio Pekka Lehtonen /

Standardi IEC Ohjelmisto

Johtamisen standardien uudistamisen tavoitteet. Leena Saulo, Neste Oyj TK105 laadunhallintakomitea pj

LARK alkutilannekartoitus

Hyvien käytäntöjen juurtuminen

Pelastuslaitoksen palvelutasopäätöksen väliarviointi PelJk

Riskienhallinta sosiaali- ja terveydenhuollon toimintayksiköissä

Arviointi ja mittaaminen

Kajaanin Mamsellin toimintastrategia

Hyvien käytäntöjen tunnistaminen ja jakaminen Johdanto iltapäivän työskentelyyn Työskentelyn taustamateriaalia

Transkriptio:

SFS-ISO/IEC 27003 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Nykänen 14.12.2018

SFS-ISO/ IEC 2 70 0 3 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Ny kän en, 14.12.2 0 18

Sis ältö Mikä SFS-ISO/ IEC 27003? Muutokset edelliseen version Ohjeistus tietoturvallisuuden hallintajärjestelmän toteuttamiseen

Mikä on ISO/ IEC 2 70 0 3? Standardi tarjoaa ohjeistusta ISO/ IEC 27001:n mukaisen tietoturvallisuuden hallintajärjestelmän toteuttamiseen Vaatimukset on esitetään standardissa ISO/ IEC 27001 ISO/ IEC 27003 ei sisällä uusia vaatimuksia, vaan antaa vaatimuksia koskevaa ohjeistusta sekä niihin liittyviä suosituksia, mahdollisuuksia ja lupia

27000-sarjan keskeiset standardit 27000 Määritelmät 27001 Vaatimukset 27002 Hallintakeinot 27003 Ohjeis tus 27004 Seuranta, mittaam inen ja arviointi 27005 Ris kienhallinta

Tietoturvallisuuden hallintajärjestelmän vaatimukset ISO/ IEC 2 70 0 1 1. Soveltam isala 2. Velvoittavat viittaukset 3. Termit ja määritelmät 4. Orga nis a ation toim inta ym pä ris tö 5. Johtajuus 6. Suunnittelu 7. Tukitoim innot Vaatimukset 8. Toim inta 9. Suorituskyvyn arviointi 10. Parantaminen Liite A Hallintata voitteiden ja keinojen viiteluettelo

Muutokset edelliseen versioon Soveltamisala päivitetty ISO/ IEC 27001:2013 vaatimusten mukaiseksi Sisällön rakenne on yhdenmukaistettu ISO/IEC 27001:2013:n rakenteen kanssa Vanha projektimainen lähestymistapa on muutettu siten, ettei tehtävien suorittamisen järjestyksellä ei ole väliä

Ohjeis tus vaatim uks iin Organisaation toimintaympäristö Johtajuus Suunnittelu Tukitoiminnot Toiminta Suorituskyvyn arviointi Parantaminen

Esim erkki ohjeistuksesta

Organisaation toim intaym päris tö Hallintajärjestelmän soveltamisalan määrittäminen Mahdollista määrittää myös vaiheittain Tunnistetaan organisaation tietoturvallisuuteen vaikuttavat ulkoiset ja sisäiset tekijät Tunnistetaan tietoturvallisuuden hallinnan kannalta olennaiset sidosryhmät ja niiden tarpeet

Johtajuus Ylimmän johdon sitoutuminen Tietoturvapolitiikan ja tavoitteiden yhdenmukaisuus organisaation strategian kanssa Resurssien saatavuuden varmistaminen Tukeminen, ohjaaminen ja tietoturvallisuuden hallinnan tarpeesta viestintä Tietoturvapolitiikka ja tietoturvallisuuden hallintajärjestelmän strategisen merkityksen määrittely Roolien, vastuiden ja valtuuksien määrittely ja viestintä

Suunnittelu (1/ 2 ) Hallintajärjestelmien yhtenäisyyteen kannustaminen Esimerkiksi laadunhallinta- tai ympäristöjärjestelmä Riskien ja mahdollisuuksien käsittelyn näkökulmat Tietoturvallisuuden hallintajärjestelmältä haluttuihin tuloksiin liittyvä t ris kit ja m a hdollis uudet Tietoturvallisuuden hallintajärjestelmän piiriin kuuluvan tiedon tietoturvallisuuteen liittyvä t ris kit ja m ahdollis uudet

Suunnittelu (2/2) Riskienhallintaprosessin ohjeistus Riskien tunnistaminen Riskien analysoinnin tekniikat Riskien käsittelyn vaihtoehdot Jäännösriskien hyväksymisen kriteerit Yhdenmukaisuus 31000- ja 27005-standardien kanssa Hallintakeinojen valinta Soveltuvuuslausunnon laatiminen Tietoturvatavoitteiden määrittely ja arviointi

Tukitoim innot Resurssien määrittely ja varmistaminen Erityyppisten resurssien tunnistaminen Pätevyyden varmistaminen Tietoisuus ja tiedottaminen Viestinnän kohdentaminen ja sisältö Viestinnän vaikuttavuuden arviointi Dokumentoitu tieto Hallintajärjestelmän toiminnan todentaminen Tiedonhallinta ja -elinkaari

Toim inta Tietoturvatavoitteiden saavuttamiseksi vaadittavien prosessien suunnittelu ja ohjaus Raportointikäytännöt Muutostenhallinta Tahattomien muutosten käsittely Ulkoistettujen prosessien seuranta Tietoturvallisuuteen liittyvien riskien arviointi ja käsittely osana prosesseja Linkittyminen osaksi suunnittelua

Suorituskyvyn arviointi Seuranta ja arviointi Mitä, kuka, m iten? Suorituskyky- ja vaikuttavuusmittarit Sisäisen auditointiohjelman toteuttaminen Ylimmän johdon tekemät katselmukset ja seuranta Toim enpiteiden seuranta Kehityssuuntien ja palautteiden arviointi Riskienhallinnan tulosten arviointi Jatkuvan parantamisen mahdollisuudet

Parantaminen Poikkeamien ja korjaavat toimenpiteet Poikkeamien tunnistaminen ja käsittely Korjaavien toimenpiteiden toteuttaminen Poikkeamien analysointi Jatkuvan parantaminen osana muuttuvaa toimintaympäristöä Tietoturvallisuuden hallintajärjestelmän soveltuvuuden, tarkoituksenmukaisuuden ja vaikuttavuuden arviointi Arviointi hallintajärjestelmän tai sen osien tehokkuudesta

Liite A: Toimintaperiaatemalli ohjeis tus ta dokumentaation rakenteesta Organisaation korkean tason tavoitteet ja päämäärät Organisaation rakenne ja prosessit Organisaation strategiat Käsiteltävä toim intaperiaate Toim inta periaatteeseen liittyvät organisaation tavoitteet ja päämäärät Kohderyhmä, jota toimintaperiaatteella on tarkoitus ohjata Korkeamman tason toim intaperiaatteiden vaatimukset

Yhteenveto Tietoturvallisuuden hallintajärjestelmän toteuttamiseen Vaatimukset ISO/ IEC 27001 Ohjeistus ISO/ IEC 270 0 3 Mittaaminen ISO/ IEC 27004 Tietoturvariskienhallinta ISO/ IEC 27005 27003 selittää vaatimusten taustan ja ohjeistaa niiden toteuttamisessa

Kiitos! Riku Nykänen riku.nykanen@rdvelho.com

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute