SFS-ISO/IEC 27003 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Nykänen 14.12.2018
SFS-ISO/ IEC 2 70 0 3 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Ny kän en, 14.12.2 0 18
Sis ältö Mikä SFS-ISO/ IEC 27003? Muutokset edelliseen version Ohjeistus tietoturvallisuuden hallintajärjestelmän toteuttamiseen
Mikä on ISO/ IEC 2 70 0 3? Standardi tarjoaa ohjeistusta ISO/ IEC 27001:n mukaisen tietoturvallisuuden hallintajärjestelmän toteuttamiseen Vaatimukset on esitetään standardissa ISO/ IEC 27001 ISO/ IEC 27003 ei sisällä uusia vaatimuksia, vaan antaa vaatimuksia koskevaa ohjeistusta sekä niihin liittyviä suosituksia, mahdollisuuksia ja lupia
27000-sarjan keskeiset standardit 27000 Määritelmät 27001 Vaatimukset 27002 Hallintakeinot 27003 Ohjeis tus 27004 Seuranta, mittaam inen ja arviointi 27005 Ris kienhallinta
Tietoturvallisuuden hallintajärjestelmän vaatimukset ISO/ IEC 2 70 0 1 1. Soveltam isala 2. Velvoittavat viittaukset 3. Termit ja määritelmät 4. Orga nis a ation toim inta ym pä ris tö 5. Johtajuus 6. Suunnittelu 7. Tukitoim innot Vaatimukset 8. Toim inta 9. Suorituskyvyn arviointi 10. Parantaminen Liite A Hallintata voitteiden ja keinojen viiteluettelo
Muutokset edelliseen versioon Soveltamisala päivitetty ISO/ IEC 27001:2013 vaatimusten mukaiseksi Sisällön rakenne on yhdenmukaistettu ISO/IEC 27001:2013:n rakenteen kanssa Vanha projektimainen lähestymistapa on muutettu siten, ettei tehtävien suorittamisen järjestyksellä ei ole väliä
Ohjeis tus vaatim uks iin Organisaation toimintaympäristö Johtajuus Suunnittelu Tukitoiminnot Toiminta Suorituskyvyn arviointi Parantaminen
Esim erkki ohjeistuksesta
Organisaation toim intaym päris tö Hallintajärjestelmän soveltamisalan määrittäminen Mahdollista määrittää myös vaiheittain Tunnistetaan organisaation tietoturvallisuuteen vaikuttavat ulkoiset ja sisäiset tekijät Tunnistetaan tietoturvallisuuden hallinnan kannalta olennaiset sidosryhmät ja niiden tarpeet
Johtajuus Ylimmän johdon sitoutuminen Tietoturvapolitiikan ja tavoitteiden yhdenmukaisuus organisaation strategian kanssa Resurssien saatavuuden varmistaminen Tukeminen, ohjaaminen ja tietoturvallisuuden hallinnan tarpeesta viestintä Tietoturvapolitiikka ja tietoturvallisuuden hallintajärjestelmän strategisen merkityksen määrittely Roolien, vastuiden ja valtuuksien määrittely ja viestintä
Suunnittelu (1/ 2 ) Hallintajärjestelmien yhtenäisyyteen kannustaminen Esimerkiksi laadunhallinta- tai ympäristöjärjestelmä Riskien ja mahdollisuuksien käsittelyn näkökulmat Tietoturvallisuuden hallintajärjestelmältä haluttuihin tuloksiin liittyvä t ris kit ja m a hdollis uudet Tietoturvallisuuden hallintajärjestelmän piiriin kuuluvan tiedon tietoturvallisuuteen liittyvä t ris kit ja m ahdollis uudet
Suunnittelu (2/2) Riskienhallintaprosessin ohjeistus Riskien tunnistaminen Riskien analysoinnin tekniikat Riskien käsittelyn vaihtoehdot Jäännösriskien hyväksymisen kriteerit Yhdenmukaisuus 31000- ja 27005-standardien kanssa Hallintakeinojen valinta Soveltuvuuslausunnon laatiminen Tietoturvatavoitteiden määrittely ja arviointi
Tukitoim innot Resurssien määrittely ja varmistaminen Erityyppisten resurssien tunnistaminen Pätevyyden varmistaminen Tietoisuus ja tiedottaminen Viestinnän kohdentaminen ja sisältö Viestinnän vaikuttavuuden arviointi Dokumentoitu tieto Hallintajärjestelmän toiminnan todentaminen Tiedonhallinta ja -elinkaari
Toim inta Tietoturvatavoitteiden saavuttamiseksi vaadittavien prosessien suunnittelu ja ohjaus Raportointikäytännöt Muutostenhallinta Tahattomien muutosten käsittely Ulkoistettujen prosessien seuranta Tietoturvallisuuteen liittyvien riskien arviointi ja käsittely osana prosesseja Linkittyminen osaksi suunnittelua
Suorituskyvyn arviointi Seuranta ja arviointi Mitä, kuka, m iten? Suorituskyky- ja vaikuttavuusmittarit Sisäisen auditointiohjelman toteuttaminen Ylimmän johdon tekemät katselmukset ja seuranta Toim enpiteiden seuranta Kehityssuuntien ja palautteiden arviointi Riskienhallinnan tulosten arviointi Jatkuvan parantamisen mahdollisuudet
Parantaminen Poikkeamien ja korjaavat toimenpiteet Poikkeamien tunnistaminen ja käsittely Korjaavien toimenpiteiden toteuttaminen Poikkeamien analysointi Jatkuvan parantaminen osana muuttuvaa toimintaympäristöä Tietoturvallisuuden hallintajärjestelmän soveltuvuuden, tarkoituksenmukaisuuden ja vaikuttavuuden arviointi Arviointi hallintajärjestelmän tai sen osien tehokkuudesta
Liite A: Toimintaperiaatemalli ohjeis tus ta dokumentaation rakenteesta Organisaation korkean tason tavoitteet ja päämäärät Organisaation rakenne ja prosessit Organisaation strategiat Käsiteltävä toim intaperiaate Toim inta periaatteeseen liittyvät organisaation tavoitteet ja päämäärät Kohderyhmä, jota toimintaperiaatteella on tarkoitus ohjata Korkeamman tason toim intaperiaatteiden vaatimukset
Yhteenveto Tietoturvallisuuden hallintajärjestelmän toteuttamiseen Vaatimukset ISO/ IEC 27001 Ohjeistus ISO/ IEC 270 0 3 Mittaaminen ISO/ IEC 27004 Tietoturvariskienhallinta ISO/ IEC 27005 27003 selittää vaatimusten taustan ja ohjeistaa niiden toteuttamisessa
Kiitos! Riku Nykänen riku.nykanen@rdvelho.com