Kansainvälisen ISO/IEC 27001 sertifioinnin toteuttaminen CSC:llä

Samankaltaiset tiedostot
Tietoturvallisuuden ja tietoturvaammattilaisen

Vihdin kunnan tietoturvapolitiikka

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Tietoturvapolitiikka

Pilvipalveluiden arvioinnin haasteet

Tietoturvapolitiikka Porvoon Kaupunki

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Sähköi sen pal l tietototurvatason arviointi

Virtu tietoturvallisuus. Virtu seminaari

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

Karkkilan kaupungin tietoturvapolitiikka

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

TIETOTURVAPOLITIIKKA

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Espoon kaupunkikonsernin tietoturvapolitiikka

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC standardiperhe

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

TIETOTURVAPOLITIIKKA

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tietoturvakonsulttina työskentely KPMG:llä

Sovelto Oyj JULKINEN

Tietoturvavastuut Tampereen yliopistossa

Suorin reitti Virtu-palveluihin

Viestintäviraston tietoturvapolitiikka

Tietoturvapolitiikka

Kyberturvallisuus kiinteistöautomaatiossa

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Auditointi. Teemupekka Virtanen

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Tietoturvallisuuden johtaminen

Palvelutoimisto. Prosessit ja ihmiset rokkaamaan yhdessä. itsmf Hanna Nyéki-Niemi ja Mika Lindström 3.10.

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Espoon kaupunki Tietoturvapolitiikka

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Tietoturva- ja tietosuojapolitiikka

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Yleistä palvelusta sisäänrakennettu käyttäjätunnusten ja -oikeuksien hallinta yksiköiden hallinta helppokäyttöinen työkalu laatu-/toimintajärjestelmän

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Yritysturvallisuuden perusteet

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto

VIRTU ja tietoturvatasot

Tietoturvapolitiikka. Hattulan kunta

Pilvipalvelut ja henkilötiedot

Tietoturvaa verkkotunnusvälittäjille

Potilasturvallisuuden johtaminen ja auditointi

IDA-tallennuspalvelun käyttölupahakemus

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

VALVO JA VARAUDU PAHIMPAAN

Yritysturvallisuuden johtamisen arviointi

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

ISO Toimitusketjun turvallisuuden johtamisjärjestelmä

Johtamisen standardit mitä ja miksi

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Ajankohtaista Virtu-palvelussa

TALPOL linjaukset TORI-toimenpiteet

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Standardit tietoturvan arviointimenetelmät

Standardisoitua toimintaa Veikkauksessa

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Auditoinnit ja sertifioinnit

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tutkimuslaitosseminaari

Työterveys- ja työturvallisuusjärjestelmän. sertifiointi. Trust, Quality & Progress ISO 45001:2018. Kiwa Inspecta

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapalvelut valtionhallinnolle

OHSAS vs. ISO mikä muuttuu?

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Standardien PCI DSS 3.0 ja Katakri II vertailu

CSC-sopimus Tommi Jauhiainen AMKIT- ja Linnea2-konsortioiden yhteiskokous

Laatua ja tehoa toimintaan

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Tietoturvapolitiikka

Yritysturvallisuuden johtamisen arviointi

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Kasva tietoturvallisena yrityksenä

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. CSC-Tieteen tietotekniikan keskus Oy. Lausunto

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Espoon kaupunki Tietoturvapolitiikka

Transkriptio:

Kansainvälisen ISO/IEC 27001 sertifioinnin toteuttaminen CSC:llä Tietoturvapäällikkö Urpo Kaila CSC - Tieteen tietotekniikan keskus Korkeakoulujen IT-päivät 5.11.2013

Sisältö Turvallisuuskatsaus Miten tietoturvallisuutta hallitaan? Tietoturvallisuus vs. muu toiminta Hallintajärjestelmän luonti ja ylläpito Tietoturva-auditoinnit CSC ja ISO/IEC 27001 sertifiointi Hyödyt korkeakouluille Seuraavat vaiheet 2

Threat Lansdscape Drive by exploits/ Worms/ Code Injection/ Exploit Kits/DOS/Scareware/Targeted Attacks/ Information Leakage/ Search Engine poisoning (ENISA 2013) Surveillance data mining by governments Social Engineering, Advanced Persistent Threats, Internal Threats, BYOD, Cloud Security, HTML5 (Forbes 2013) State-sponsored espionage, DDoS attacks, Cloud migration, Password Management, Sabotage, Botnets, Insider threat, Mobility, Internet, Privacy laws (SC Magazine 2013) 3

The Changing InfoSec Scene Clouds Surveillance Sourcing Big Data Human data Availability becomes critical Economics of Security Consolidation of Infrastructures Cyberthreats 4

5

Syyllisten etsintä... Olisiko nämä voitu estää/havaita, edes osittaiin? Onko tietoturvallisuuden perustoimintojen järkevä ylläpito kohtuullinen vaatimus? Huijaammeko itseämme ummistamalla tietoisesti silmämme päivittäisille turvallisuusriskeille? Onko järkevä tietoturvallisuus mahdollista ilman kohtuuttomia kustannuksia, työtä ja vaivaa Tämä on meidän ongelmamme, eikä vain käyttäjien? On jo olemassa hyviä käytäntöjä siitä, miten riskejä torjutaan? -> KYLLÄ 6

Miten tietoturvallisuutta hallitaan? Tietoturvallisuus!= tietokoneturvallisuus Monta rinnakkaista mutta samankaltaista mallia Johdon linjaus ja tuki Tehtävien organisointi ja vastuuttaminen Pääsynhallinta Tietoliikenneturvallisuus ja salaus Ohjelmistojen ja palveluiden kehittämisen turvallisuus Turvallisuusarkkitehtuuri Jatkuvuus ja toipuminen Henkilöstö- ja tilaturvallisuus Sopimukset ja lainsäädäntö Käyttöturvallisuus 7

Tietoturvallisuus vs. muu toiminta Turvallisuus tulee olla osa normaalia toimintaa, sitä ei voi liimata päälle jälkeenpäin Turvallisuusasiat tulee vastuuttaa selkeästi: Johto Esimiehet Tietoturvapäällikkö/-vastaavat Tietohallinto Henkilöstö Opiskelijat/käyttäjät Turvallisuudesta viestiminen, kouluttaminen ja motivointi on ensiarvoisen tärkeää mutta turvallisuus ei voi olla vain suositus silloin se ei toteudu 8

Tietoturvallisuuden kompastuskiviä NIH / Yksiköiden autonomia Johto ei tue/sitoudu Toteutetaan sovittuja vaatimuksia (esim. Tietoturvatasot) osittain/ soveltaen (jos joku haluaa) Epäselvät tavoitteet (korkeakoulujen tietoturvasäännöt) Disinformaatio (kaupalliset toimijat/viranomaiset) Seurantaa ei vastuutettu Kaksinaismoraali (vain paperilla) Ei kuulu kenenkään työtehtäviin Koulutuksen, perehdytyksen ja osaamisen puute 9

Tietoturvallisuuden hallintajärjestelmä Hallintajärjestelmän tulee kattaa kalvolla #7 mainitut asiat Kuvauksen tulee olla kirjallinen ja hyväksytty Viittaus ohjeisiin ja dokumentteihin Toteutumista tulee valvoa ja kehittää säännöllisesti Huom! Myös normaali operatiivinen toiminnan valvonta on osa kokonaisturvallisuutta: Käyttäjähallinta Muutoshallinta/ Elinkaarien hallinta Omaisuuden hallinta Palveluiden hallinta Kehitysprojektit/Uudet palvelut 10

Tietoturva-auditoinnit Auditoinneissa ulkopuolinen osapuoli tarkastaa että toiminto (esim. (Valtionhallinnon tietoturvatasojen perustaso, KATAKRI tai ISO 2700A:2005 Liite A) on sovittujen vaatimusten (n. 50-150 kpl) : On olemassa On kuvattu (korotettu taso, ISO27k) On valvottu, käytössä ja tiedossa Auditointiin varataan usein vähintään 3-10 htp:ää Auditoitavan organisaation johdon ja auditoinnista vastaavan henkilön panostukselle on merkittävä vaikutus lopputulokseen - tieto löydettävä heti Mikäli jokin vaatimus ei täyty, merkitään poikkeama > vaatimustaso ei toteudu 11

CSC:n ISO/IEC 27001 sertifionti Koska CSC osallistuu laajasti myös kansainväliseen toimintaan ei kansalliset normit ole yksinään riittäviä CSC on strategisista syistä ja koko organisaation laadukkuutta korostavan valinnut standardin ISO/IEC 27001 tietoturvanormikseen korotetun tietoturvatason lisäksi CSC Datakeskus Kajaani ja sitä tukevat sisäiset toiminnot sertifioitiin kesällä 2013 Sertifionnin kattavuutta on tarkoitus jatkossa laajentaa 12

13

Hyödyt korkeakouluille Tietoturvasertifionnin ansiosta CSC pystyy tarjoamaan korkeakouluille entistä laadukkaampia ja turvallisempia palveluita Myös jotkut yhteistyöprojektit tulevat ainakin tietyiltä osin noudattamaan sertifionnin vaatimuksia, tältä osin parhaat käytännöt voivat siirtyä myös suoraan korkeakoulujen toimintaan Hyviä kokemuksia pitkältä ajalta parhaiden tietoturvakäytäntöjen jakamisesta CSC:n ja korkeakoulujen välillä CSC jakaa mielellään kokemuksiaan auditoinneista ja sertifionneista 14

Lopuksi Myös korkekoulujen voi olla hyvä pohtia tietoturvavaatimusten esimerkiksi tietoturvatasojen perustason järjestelmällistä käyttöönottoa ainakin ydintoimintojen osalta Tietyt toiminnat, kuten riskienhallinta ja jatkuvuussuunnittelu ja toipumisharjoitukset vaatinevat lisäpanostusta Olellinen seikka vaatimuksissa on myös ulkopuolinen arvionti.korkekoulujen olisi hyvä totetuttaa vertaisarvionteja tässä CSC voisi mahdollisesti auttaa 15

Kiitos! urpo.kaila@csc.fi 16

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute