SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet



Samankaltaiset tiedostot
SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

Tietoturvapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Sähköi sen pal l tietototurvatason arviointi

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietoturvapolitiikka. Hattulan kunta

Sovelto Oyj JULKINEN

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Tietoturvapolitiikka Porvoon Kaupunki

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Tietoturvapolitiikka

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Espoon kaupunki Tietoturvapolitiikka

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Viestintäviraston tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Espoon kaupunkikonsernin tietoturvapolitiikka

Kyberturvallisuus kiinteistöautomaatiossa

PK-yrityksen tietoturvasuunnitelman laatiminen

Tietoturvavastuut Tampereen yliopistossa

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Vihdin kunnan tietoturvapolitiikka

POHJOIS-KARJALAN AMMATTIKORKEAKOULU Teknologiaosaamisen johtamisen koulutusohjelma Ylempi ammattikorkeakoulututkinto

Tietoturvallisuuden johtaminen

TIETOTURVAPOLITIIKKA

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Yritysturvallisuuden perusteet

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Pilvipalveluiden arvioinnin haasteet

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Espoon kaupunki Tietoturvapolitiikka

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Tietoturvallisuuden ja tietoturvaammattilaisen

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista. Tuulikki Lammi Versio1,

Yritysturvallisuuden johtamisen arviointi

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Auditointi. Teemupekka Virtanen

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Valmistuksen LAATUKÄSIKIRJA

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Uusi SFS-ISO/IEC 27001:2013. Jyrki Lahnalahti Versio 1.0

STANDARDI SFS-EN ISO 14006, YMPÄRISTÖNÄKÖKOHDAT HUOMIOON OTTAVAN SUUNNITTELUN SISÄLLYTTÄMINEN YMPÄRISTÖJÄRJESTELMÄÄN

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

Tietoturvapolitiikka NAANTALIN KAUPUNKI

ISO/IEC standardointiin valmistautuminen

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Uuden sairaalan kokonaisturvallisuus. Juhana Suurnäkki FM, CISM

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yritysturvallisuuden johtamisen arviointi

Valtioneuvoston asetus

TIETOTURVAPOLITIIKKA. Versio: 1.0

Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Yrityksen jatkuvuussuunnitelma

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

ISO/IEC standardi ja tietoturvallisuuteen sitoutuminen

Yritysturvallisuuden johtamisen viitekehys Kiwa Rima

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Johtokunta Tietoturva- ja tietosuojapolitiikka

Quality Consulting M.Mikkola OY

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietopolitiikka Yhteentoimivuus ja lainsäädäntö , Sami Kivivasara ICT-toimittajien tilaisuus

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvapalvelut valtionhallinnolle

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Verkostoautomaatiojärjestelmien tietoturva

Virtu tietoturvallisuus. Virtu seminaari

SFS hakee asiantuntijaa IT-standardisointitiimiin

SFS-ISO/IEC (2014): Ohjeistusta palvelunhallintajärjestelmien toteuttamiseen Standardin julkaisutilaisuus

Digital by Default varautumisessa huomioitavaa

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Ohjelma. Energiatehokkuuden tuloksellinen johtaminen

Kasva tietoturvallisena yrityksenä

Riskienhallinta- ja turvallisuuspolitiikka

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

Transkriptio:

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy

SFS-ISO/IEC 27002:2013 tietoturvallisuuden hallintakeinojen menettelyohjeet ISO/IEC 27000 standardiperhe ISO/IEC 27002 rooli Standardin tarkoitus Standardin rakenne Rakenteellinen uudistus Mitä uutta Keskeinen sisältö

ISO/IEC 27000 standardien perhe Terminologia Yleiset ohjeet Toimialaohjeet Hallintakeino-ohjeet 27000 Yleiskatsaus ja sanasto 27002 Menettelyohje TR 27008 Sertifioijille hallintakeinoista 27010 Organisaatioiden välinen viestintä 27031 ICT jatkuvuuden hallinnassa 27003 Toteutusohjeita 27013 27000 ja 20000 integrointi 27011 Teletoimiala 27032 Kyberturvallisuus Yleiset vaatimukset 27004 Mittaukset 27014 Hallintaohje TR 27015 Finanssitoimiala 27033 Verkkoturvallisuus 27001 Vaatimukset 27005 Riskien hallinta TR 27016 Business case TS 27017 Pilvipalveluiden hallintakeinot 27034 Ohjelmistoturvallisuus 27006 Sertifiointielinten vaatimukset 27007 Auditointiohjeita 27799 Terveydenhuolto 27035 Turvallisuustapahtumien hallinta 27037 Digitaalinen forensiikka

Standardin tarkoitus Käytettäväksi standardiin ISO/IEC 27001[10] perustuvan tietoturvallisuuden hallintajärjestelmän toteuttamisprosessissa Ohjeistukseksi yleisesti hyväksyttyjä tietoturvallisuuden hallintakeinoja toteuttaville organisaatioille Käytettäväksi toimiala- tai organisaatiokohtaisten tietoturvallisuuden hallintaohjeiden kehittämisessä

Tavoitteet Maailma on verkottunut Tieto on suojattavaa omaisuutta Myös tietoon liittyvät prosessit, järjestelmät ja tietoverkot sekä henkilöt Tahalliset ja tahattomat uhkatekijät Tietoturvallisuus pienentää riskejä Suojaa organisaatiota uhkilta ja haavoittuvuuksilta Pienentää suojattavaan omaisuuteen kohdistuvia vaikutuksia Tietoturvallisuus saavutetaan toteuttamalla soveltuva hallintakeinojen järjestelmä

Tietoturvavaatimuksia tulee useista lähteistä Sosiokulttuurinen ympäristö Lait Asetukset Palvelutuottajat Viranomaisten vaatimukset Kumppanit Sopimukset Tietoturvavaatimukset Liiketoiminnan tavoitteet Liiketoimintastrategia Organisaatio Riskien arviointi Periaatteet Tiedon käsittely Tavoitteet Liiketoimintavaatimukset

Elinkaarinäkökulma tietoihin ja tietojärjestelmiin Tieto Tiedon luominen Tiedon säilyttäminen Tiedon käyttö Tiedon julkaisu ja jakelu Tiedon hävittäminen Tiedon arvo vaihtelee elinkaaren aikana Tietoturvallisuus tärkeää kaikissa elinkaaren vaiheissa Tietojärjestelmä Määrittely Suunnittelu Kehittäminen Testaus Käyttöönotto Käyttäminen ja ylläpitäminen Poistaminen käytöstä Tietoturvallisuus olisi otettava huomioon kaikissa vaiheissa Uusien järjestelmien kehittäminen ja olemassa oleviin järjestelmiin tehtävät muutokset tarjoavat organisaatioille mahdollisuuden päivittää ja parantaa turvallisuuden hallintakeinoja todellisten häiriöiden ja nykyisten ja ennakoitujen tietoturvariskien perusteella.

Mitä uutta Rakenne on muuttunut. ISO 27001 ja ISO 27002 uusien ja vanhojen versioiden vertailutaulukot ISO 27001: 2013 ISO 27001:2005 ISO 27002: 2005 ISO 27002:2013 ISO 27002: 2013 ISO 27002:2005 http://www.jtc1sc27.din.de/sbe/wg1sd3 Uusia hallintakeinoja (12 kpl) Hallintakeinojen sisältöön, toteutustapaan tai lisätietoihin on tullut muutoksia Hallintakeinoja poistettu (20 kpl)

Standardin rakenne Luku Pääkohta 5 Tietoturvapolitiikat 1 2 Pääturvallisuusluokkia Hallintakeinoja 6 Tietoturvallisuuden organisointi 2 7 1 7 Henkilöstöturvallisuus 3 6 8 Suojattavan omaisuuden hallinta 3 10 9 Pääsynhallinta 4 14 10 Salaus 1 2 11 Fyysinen turvallisuus ja ympäristön turvallisuus 2 15 12 Käyttöturvallisuus 7 14 1 13 Viestintäturvallisuus 2 7 14 Järjestelmien hankkiminen, kehittäminen ja ylläpito 3 13 4 15 Suhteet toimittajiin 2 5 2 16 Tietoturvahäiriöiden hallinta 1 7 2 17 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia Uusia 2 4 2 18 Vaatimustenmukaisuus 2 8 Yhteensä 35 114

Pääkohdan rakenne Pääkohdassa yksi tai useampi pääturvallisuusluokka määrittelevät tavoitteen Pääturvallisuusluokassa yksi tai useampia hallintakeinoja toteutusohjeineen 5. Tietoturvapolitiikat 5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa Tavoite: Tarjota johdon ohjausta ja tukea tietoturvallisuuden toteuttamiseen liiketoiminnallisten vaatimusten ja asiaankuuluvien lakien ja asetusten mukaisesti. 5.1.1 Tietoturvapolitiikat Hallintakeino: Tietoturvallisuudelle olisi määriteltävä joukko johdon hyväksymiä politiikkoja, jotka julkaistaan ja joista tiedotetaan henkilökunnalle Toteuttamisohjeet: Ylimmällä tasolla organisaation olisi määriteltävä "tietoturvapolitiikka", jonka johto Lisätiedot: Tietoturvallisuuden sisäisten politiikkojen tarpeellisuus vaihtelee organisaatioittain 5.1.2 Tietoturvapolitiikkojen katselmointi Hallintakeino: Tietoturvapolitiikat olisi katselmoitava suunnitelluin aikavälein tai kun merkittäviä muutoksia tapahtuu, jotta varmistetaan Toteuttamisohjeet: Kullakin politiikalla olisi oltava omistaja, jolla on hyväksytty hallintavastuu kyseisen Lisätiedot:

Tärkeysjärjestys Kohdat eivät ole tärkeysjärjestyksessä Standardia soveltavan organisaation olisi tunnistettava Pätevät hallintakeinot Hallintakeinojen tärkeys Soveltaminen yksittäisiin liiketoimintaprosesseihin.

5 Tietoturvapolitiikat 5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa Tavoite: tarjota johdon ohjausta ja tukea tietoturvallisuuden toteuttamiseen liiketoiminnallisten vaatimusten ja asiaankuuluvien lakien ja asetusten mukaisesti. Hallintakeinot 5.1.1 Tietoturvapolitiikat Tietoturvallisuudelle olisi määriteltävä joukko johdon hyväksymiä politiikkoja, jotka julkaistaan ja joista tiedotetaan henkilökunnalle ja asiaankuuluville organisaation ulkopuolisille osapuolille. 5.1.2 Tietoturvapolitiikkojen katselmointi Tietoturvapolitiikat olisi katselmoitava suunnitelluin aikavälein tai kun merkittäviä muutoksia tapahtuu, jotta varmistetaan, että ne ovat edelleen soveltuvia, asianmukaisia ja vaikuttavia.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute