Uusi SFS-ISO/IEC 27001:2013

Jyrki Lahnalahti 2013-12-02

Versio 1.0

Tietoturvallisuus? Hallintajärjestelmä?

Standardin SFS-ISO/IEC 27001:2013 näkökulmat

2

TIETOA!

luottamuksellisuus • suojattava tieto on suojassa luvattomalta lukemiselta, käsittelyltä tai salakuuntelulta

eheys • tieto on virheetöntä, täydellistä ja kiistämätöntä

saatavuus • tieto ja sitä tarjoavat palvelut ovat käyttäjien saatavilla

Tietoturvallisuus ei ole vain luottamuksellisuutta

3

Tietoturvallisuus ei ole vain tekniikkaa

Henkilöstö

Toiminnan jatkuvuus

Viestintä ja tietoliikenne

Pääsynhallinta

Lait ja sitoumukset

Häiriötilanteet Fyysinen turvallisuus

Ohjelmistot

4

• standardissa esitetään tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevat vaatimukset – vaatimusstandardia vasten voidaan sertifioitua puolueettoman sertifiointielimen

toimesta, tai standardia voidaan käyttää itse oman tietoturvallisuuden hallinnan, tai esimerkiksi toimittajan tietoturvallisuuden hallinnan arviointiin

• tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation

strateginen päätös – ja johdon ylintä johtoa myöten tulee huolehtia siitä, että hallintajärjestelmä pysyy

vaikuttavana ja kehittyy

5

Tietoturvallisuuden hallintajärjestelmät. Vaatimukset. 1 (2)

• organisaation tietoturvallisuuden hallintajärjestelmän luomiseen ja toteuttamiseen vaikuttavat organisaation tarpeet ja tavoitteet, turvallisuusvaatimukset, käytettävät organisaatioprosessit sekä organisaation koko ja rakenne – ei kahta samanlaista hallintajärjestelmää

• tietoturvallisuuden hallintajärjestelmä suojaa tiedon luottamuksellisuutta, eheyttä ja saatavuutta riskienhallintaprosessin avulla sekä vahvistaa sidosryhmien luottamusta siihen, että riskejä hallitaan asianmukaisesti

6

Tietoturvallisuuden hallintajärjestelmät. Vaatimukset. 2 (2)

ISO/IEC 27001 -sertifikaatit

7

Tietoturvallisuuden hallintajärjestelmäsertifikaatit 1 (2)

8

• Suomi: 28 • Ruotsi: 32 • Norja: 16 • Venäjä: 27

• Ranska: 71 • Tšekki: 264 • Saksa: 488 • USA: 415

• UK: 1701 • Kiina: 1490 • Intia: 1600 • Japani: 7199

Tietoturvallisuuden hallintajärjestelmäsertifikaatit 2 (2)

9

Uuden, vuoden 2013 standardiversion keskeiset erot vuoden 2005 versioon

10

SFS-ISO/IEC 27001:2013 – merkittävä päivitys

11

• uusi englanninkielinen versio julkaistiin 2013-10-01 – viimein!

• sisällössä ei ole valtavia muutoksia, mutta rakenne on päivitetty kokonaan vastaamaan hallintajärjestelmästandardeille yhteistä ns. Annex SL:ää

• vuonna 2006 julkaistu suomenkielinen käännös ei ollut kansallinen

standardi

• tuore käännös nykyaikaistaa, yhdenmukaistaa ja myös korjaa edellisen käännöksen termistöä ja kieltä

• on linjassa mm. ISO/IEC 20000-1:n käännöksen kanssa

SFS-ISO/IEC 27001:2013 – vaatimukset luvuissa 4 - 10

12

• vaatimuksia on siirretty eri kohtiin, yhdistelty, muokattu ja poistettu – suurin osa on säilynyt kuitenkin samoina

• sivumäärällisesti ja sisällöllisesti luvut 4 – 10 ovat nyt huomattavasti tiiviimpi kokonaisuus

• 2005-version luku 4 on käytännössä hajotettu ympäri uutta versiota ja sen vaatimuksia on yhdistelty merkittävästi

• riskienhallinta on entistä systemaattisemmin esillä ja korostuu tietoturvallisuuden hallintajärjestelmän keskeisimpänä elementtinä – viittauksia ISO 31000 -standardiin

• uusia vaatimuksia on noin 30

• Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Liite A (velvoittava) Hallintatavoitteiden ja -keinojen viiteluettelo • Kirjallisuus

13

SFS-ISO/IEC 27001:2013:n sisällys

SFS-ISO/IEC 27001:2013 – muutama poiminta sisältömuutoksista 1 (3)

14

• ei PDCA:ta! – tosin Annex SL: ”An effective management system is usually based on

managing the organization’s processes using a Plan-Do-Check-Act approach in order to achieve the intended outcomes.”

• soveltamisalassa (luku 1) ei enää viitata ”vaatimuksiin turvamekanismien

toteuttamista varten”, vaan ”tietoturvariskien arviointia ja käsittelyä koskeviin vaatimuksiin” (muutos)

• ensimmäinen vaatimus (4.1): määritettävä ulkoinen ja sisäinen toimintaympäristö (muotoilu, painotus)

SFS-ISO/IEC 27001:2013 – muutama poiminta sisältömuutoksista 2 (3)

15

• uusi käsite: johtajuus (vrt. aiemmin johto) (5)

• tavoitteiden asettaminen (5.1 a) on tärkeää ja näihin viitataan useista muista vaatimuksista (painotus)

• hallintajärjestelmän vaatimukset on yhdistettävä organisaation prosesseihin (5.1 b, uusi)

• nyt mainitaan riskit ja mahdollisuudet (uusi), ja että nämä on käsiteltävä haluttujen tulosten saavuttamisen näkökulmasta (6.1, uusi)

• riskeille on tunnistettava omistajat (6.1.2 c, muutos)

• uusia vaatimuksia tietoturvatavoitteille (mm. 6.2 b, c)

SFS-ISO/IEC 27001:2013 – muutama poiminta sisältömuutoksista 3 (3)

16

• oma osio ja vaatimukset viestinnälle (7.4, uusia)

• asiakirjoista ja tallenteista on siirrytty dokumentoituun tietoon (7.5, muutoksia)

• muutoksenhallinta tuotu esiin vaatimuksissa (8.1, uusi)

• mittaamiseen kohdistuvia vaatimuksia on kehitetty (9.1 c, d, f, uusia)

• parantamisen osiosta (10) ei enää löydy ehkäiseviä toimenpiteitä, mutta kohdan 4.1 vaatimus toimintaympäristön määrittämiseen ja ymmärtämiseen on tulkittavissa ylätason ehkäiseviksi toimenpiteiksi

SFS-ISO/IEC 27001:2013 – liite A (velvoittava) 1 (2)

17

• standardin ISO/IEC 27002:2013 ja siten myös vaatimusstandardin velvoittavan liitteen A hallintakeinojen määrä on pienentynyt 133 -> 114

• standardin vaatimusosan (luvut 4 – 10) ja liitteen A välisiä päällekkäisyyksiä on purettu – esimerkkinä suojattavan omaisuuden omistajuus (2005: suojattavien kohteiden omistajuus)

• liitteestä A on poistettu useita hallintakeinoja, esim. liikkuvat ohjelmat

• hallintakeinoja on myös joiltakin osin yhdistetty tai hajotettu – ja merkittävästi ryhmitelty uudelleen

SFS-ISO/IEC 27001:2013 – liite A (velvoittava) 2 (2)

18

• terminologiaa ja hallintakeinoja on päivitetty vastaamaan tämän päivän tekniikkaa ja riskejä (esim. mobiililaitteet)

• jatkuvuuden hallinnan hallintakeinoja on muotoiltu toisin – nyt keskitytään tietoturvallisuuden jatkuvuuden hallintaan – ”Tavoite: tietoturvallisuuden jatkuvuuden on sisällyttävä organisaation

liiketoiminnan jatkuvuuden hallintajärjestelmiin.” – uusi hallintakeinoryhmä: vikasietoisuus

Hallintajärjestelmästandardien yhteiselämä

19

• yhä enemmän organisaatioita, joiden johtamisjärjestelmä täyttää useamman hallintajärjestelmästandardin vaatimukset – standardeissa samoja tai lähes samoja vaatimusosioita kuten johdon

sitoutuminen, johdon katselmus, sisäinen auditointi, jatkuva parantaminen

• hallintajärjestelmästandardeja kirjoitettaessa kopioitiin em.

vaatimusosioita tyypillisesti ISO 9001:stä

• yhtenäinen termistö, rakenne ja vaatimuksia kootusti • ISO/IEC Directives, Part 1, Consolidated ISO Supplement –

Procedures specific to ISO, 2012, Annex SL, Appendix 2

• tuttaville lyhyesti vain ”Annex SL”

20

Yhteinen rakenne ja vaatimuksia

Hallintajärjestelmästandardit tulevaisuudessa

Annex SL Yhteinen rakenne ja vaatimuksia

21

• 9.2 Internal audit • The organization shall conduct internal audits at planned intervals to provide information

on whether the XXX management system: • a) conforms to • — the organization’s own requirements for its XXX management system • — the requirements of this International Standard; • b) is effectively implemented and maintained. • The organization shall: • a) plan, establish, implement and maintain an audit programme(s), including the

frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;

• b) define the audit criteria and scope for each audit; • c) select auditors and conduct audits to ensure objectivity and the impartiality of the audit

process; • d) ensure that the results of the audits are reported to relevant management, and • e) retain documented information as evidence of the implementation of the audit

programme and the audit results.

22

ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 4th Ed. 2013, Annex SL, Appendix 2

• Annex SL:n mukaiset julkaistut standardit – ISO 22301:2012 Business continuity management systems – ISO/IEC 27001:2013 Information security management systems

• Annex SL:n mukaiset aikataulutetut standardit – ISO 9001:2015 (?) Quality management systems – ISO 14001:2015 (?) Environmental management systems

• muut

– ISO/IEC 20000-1:20xx Service management system

23

Annex SL:n mukaiset standardit (tilanne 2013-12) Ei välttämättä täydellinen listaus

• standardi, jossa hyödyllisiä vertailuita ja näkökohtia näiden kahden hallintajärjestelmästandardin mukaisen johtamisjärjestelmän samanaikaiseen toteuttamiseen

24

ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

5. joulukuuta 2013 25