Uusi SFS-ISO/IEC 27001:2013 Jyrki Lahnalahti 2013-12-02 Versio 1.0
Tietoturvallisuus? Hallintajärjestelmä? Standardin SFS-ISO/IEC 27001:2013 näkökulmat 2
Tietoturvallisuus ei ole vain luottamuksellisuutta TIETOA! luottamuksellisuus suojattava tieto on suojassa luvattomalta lukemiselta, käsittelyltä tai salakuuntelulta eheys tieto on virheetöntä, täydellistä ja kiistämätöntä saatavuus tieto ja sitä tarjoavat palvelut ovat käyttäjien saatavilla 3
Tietoturvallisuus ei ole vain tekniikkaa Henkilöstö Lait ja sitoumukset Pääsynhallinta Viestintä ja tietoliikenne Fyysinen turvallisuus Häiriötilanteet Toiminnan jatkuvuus Ohjelmistot 4
Tietoturvallisuuden hallintajärjestelmät. Vaatimukset. 1 (2) standardissa esitetään tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevat vaatimukset vaatimusstandardia vasten voidaan sertifioitua puolueettoman sertifiointielimen toimesta, tai standardia voidaan käyttää itse oman tietoturvallisuuden hallinnan, tai esimerkiksi toimittajan tietoturvallisuuden hallinnan arviointiin tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation strateginen päätös ja johdon ylintä johtoa myöten tulee huolehtia siitä, että hallintajärjestelmä pysyy vaikuttavana ja kehittyy 5
Tietoturvallisuuden hallintajärjestelmät. Vaatimukset. 2 (2) organisaation tietoturvallisuuden hallintajärjestelmän luomiseen ja toteuttamiseen vaikuttavat organisaation tarpeet ja tavoitteet, turvallisuusvaatimukset, käytettävät organisaatioprosessit sekä organisaation koko ja rakenne ei kahta samanlaista hallintajärjestelmää tietoturvallisuuden hallintajärjestelmä suojaa tiedon luottamuksellisuutta, eheyttä ja saatavuutta riskienhallintaprosessin avulla sekä vahvistaa sidosryhmien luottamusta siihen, että riskejä hallitaan asianmukaisesti 6
7 ISO/IEC 27001 -sertifikaatit
Tietoturvallisuuden hallintajärjestelmäsertifikaatit 1 (2) Suomi: 28 Ruotsi: 32 Norja: 16 Venäjä: 27 Ranska: 71 Tšekki: 264 Saksa: 488 USA: 415 UK: 1701 Kiina: 1490 Intia: 1600 Japani: 7199 8
9 Tietoturvallisuuden hallintajärjestelmäsertifikaatit 2 (2)
10 Uuden, vuoden 2013 standardiversion keskeiset erot vuoden 2005 versioon
SFS-ISO/IEC 27001:2013 merkittävä päivitys uusi englanninkielinen versio julkaistiin 2013-10-01 viimein! sisällössä ei ole valtavia muutoksia, mutta rakenne on päivitetty kokonaan vastaamaan hallintajärjestelmästandardeille yhteistä ns. Annex SL:ää vuonna 2006 julkaistu suomenkielinen käännös ei ollut kansallinen standardi tuore käännös nykyaikaistaa, yhdenmukaistaa ja myös korjaa edellisen käännöksen termistöä ja kieltä on linjassa mm. ISO/IEC 20000-1:n käännöksen kanssa 11
SFS-ISO/IEC 27001:2013 vaatimukset luvuissa 4-10 vaatimuksia on siirretty eri kohtiin, yhdistelty, muokattu ja poistettu suurin osa on säilynyt kuitenkin samoina sivumäärällisesti ja sisällöllisesti luvut 4 10 ovat nyt huomattavasti tiiviimpi kokonaisuus 2005-version luku 4 on käytännössä hajotettu ympäri uutta versiota ja sen vaatimuksia on yhdistelty merkittävästi riskienhallinta on entistä systemaattisemmin esillä ja korostuu tietoturvallisuuden hallintajärjestelmän keskeisimpänä elementtinä viittauksia ISO 31000 -standardiin uusia vaatimuksia on noin 30 12
SFS-ISO/IEC 27001:2013:n sisällys Esipuhe 0 Johdanto 1 Soveltamisala 2 Velvoittavat viittaukset 3 Termit ja määritelmät 4 Organisaation toimintaympäristö 5 Johtajuus 6 Suunnittelu 7 Tukitoiminnot 8 Toiminta 9 Suorituskyvyn arviointi 10 Parantaminen Liite A (velvoittava) Hallintatavoitteiden ja -keinojen viiteluettelo Kirjallisuus 13
SFS-ISO/IEC 27001:2013 muutama poiminta sisältömuutoksista 1 (3) ei PDCA:ta! tosin Annex SL: An effective management system is usually based on managing the organization s processes using a Plan-Do-Check-Act approach in order to achieve the intended outcomes. soveltamisalassa (luku 1) ei enää viitata vaatimuksiin turvamekanismien toteuttamista varten, vaan tietoturvariskien arviointia ja käsittelyä koskeviin vaatimuksiin (muutos) ensimmäinen vaatimus (4.1): määritettävä ulkoinen ja sisäinen toimintaympäristö (muotoilu, painotus) 14
SFS-ISO/IEC 27001:2013 muutama poiminta sisältömuutoksista 2 (3) uusi käsite: johtajuus (vrt. aiemmin johto) (5) tavoitteiden asettaminen (5.1 a) on tärkeää ja näihin viitataan useista muista vaatimuksista (painotus) hallintajärjestelmän vaatimukset on yhdistettävä organisaation prosesseihin (5.1 b, uusi) nyt mainitaan riskit ja mahdollisuudet (uusi), ja että nämä on käsiteltävä haluttujen tulosten saavuttamisen näkökulmasta (6.1, uusi) riskeille on tunnistettava omistajat (6.1.2 c, muutos) uusia vaatimuksia tietoturvatavoitteille (mm. 6.2 b, c) 15
SFS-ISO/IEC 27001:2013 muutama poiminta sisältömuutoksista 3 (3) oma osio ja vaatimukset viestinnälle (7.4, uusia) asiakirjoista ja tallenteista on siirrytty dokumentoituun tietoon (7.5, muutoksia) muutoksenhallinta tuotu esiin vaatimuksissa (8.1, uusi) mittaamiseen kohdistuvia vaatimuksia on kehitetty (9.1 c, d, f, uusia) parantamisen osiosta (10) ei enää löydy ehkäiseviä toimenpiteitä, mutta kohdan 4.1 vaatimus toimintaympäristön määrittämiseen ja ymmärtämiseen on tulkittavissa ylätason ehkäiseviksi toimenpiteiksi 16
SFS-ISO/IEC 27001:2013 liite A (velvoittava) 1 (2) standardin ISO/IEC 27002:2013 ja siten myös vaatimusstandardin velvoittavan liitteen A hallintakeinojen määrä on pienentynyt 133 -> 114 standardin vaatimusosan (luvut 4 10) ja liitteen A välisiä päällekkäisyyksiä on purettu esimerkkinä suojattavan omaisuuden omistajuus (2005: suojattavien kohteiden omistajuus) liitteestä A on poistettu useita hallintakeinoja, esim. liikkuvat ohjelmat hallintakeinoja on myös joiltakin osin yhdistetty tai hajotettu ja merkittävästi ryhmitelty uudelleen 17
SFS-ISO/IEC 27001:2013 liite A (velvoittava) 2 (2) terminologiaa ja hallintakeinoja on päivitetty vastaamaan tämän päivän tekniikkaa ja riskejä (esim. mobiililaitteet) jatkuvuuden hallinnan hallintakeinoja on muotoiltu toisin nyt keskitytään tietoturvallisuuden jatkuvuuden hallintaan Tavoite: tietoturvallisuuden jatkuvuuden on sisällyttävä organisaation liiketoiminnan jatkuvuuden hallintajärjestelmiin. uusi hallintakeinoryhmä: vikasietoisuus 18
19 Hallintajärjestelmästandardien yhteiselämä
Yhteinen rakenne ja vaatimuksia yhä enemmän organisaatioita, joiden johtamisjärjestelmä täyttää useamman hallintajärjestelmästandardin vaatimukset standardeissa samoja tai lähes samoja vaatimusosioita kuten johdon sitoutuminen, johdon katselmus, sisäinen auditointi, jatkuva parantaminen hallintajärjestelmästandardeja kirjoitettaessa kopioitiin em. vaatimusosioita tyypillisesti ISO 9001:stä yhtenäinen termistö, rakenne ja vaatimuksia kootusti ISO/IEC Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO, 2012, Annex SL, Appendix 2 tuttaville lyhyesti vain Annex SL 20
Hallintajärjestelmästandardit tulevaisuudessa Annex SL Yhteinen rakenne ja vaatimuksia 21
ISO/IEC Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO, 4th Ed. 2013, Annex SL, Appendix 2 9.2 Internal audit The organization shall conduct internal audits at planned intervals to provide information on whether the XXX management system: a) conforms to the organization s own requirements for its XXX management system the requirements of this International Standard; b) is effectively implemented and maintained. The organization shall: a) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits; b) define the audit criteria and scope for each audit; c) select auditors and conduct audits to ensure objectivity and the impartiality of the audit process; d) ensure that the results of the audits are reported to relevant management, and e) retain documented information as evidence of the implementation of the audit programme and the audit results. 22
Annex SL:n mukaiset standardit (tilanne 2013-12) Ei välttämättä täydellinen listaus Annex SL:n mukaiset julkaistut standardit ISO 22301:2012 Business continuity management systems ISO/IEC 27001:2013 Information security management systems Annex SL:n mukaiset aikataulutetut standardit ISO 9001:2015 (?) Quality management systems ISO 14001:2015 (?) Environmental management systems muut ISO/IEC 20000-1:20xx Service management system 23
ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 standardi, jossa hyödyllisiä vertailuita ja näkökohtia näiden kahden hallintajärjestelmästandardin mukaisen johtamisjärjestelmän samanaikaiseen toteuttamiseen 24
25 5. joulukuuta 2013