ISO 27001 has become the de facto standard for Information Security Management System certifications. Most other security standards are based on or refer to ISO 27001 at least to some degree. We also see a trend that regulators are keen to use ISO 27001 as a baseline for security instead of inventing yet another new standard for industry actors to follow.
Standardin ytimessä - Riskillä kohti ISO 27001 auditointia
Tietoturva-asiantuntija, Senior Auditor Matti Leinonen työskentelee Nixu Certification Oy arviointilaitoksessa. Nixu Certification Oy on Nixu Oyj:n itsenäinen tytäryhtiö, joka toimii Traficomin hyväksymänä ja FINASin akkreditoimana virallisena tietoturvallisuuden arviointilaitoksena. Tytäryhtiön auditointitarjonta on tietoturvapuolella Suomen kattavin.
Matin ensimmäisessä ISO 27001 -standardia käsittelevä blogisarjassa pohditaan: Miksi sertifioinnin saavuttaminen saattaa olla siitä kiinnostuneelle organisaatiolle realistisempaa ja lähempänä kuin ensin olettaisi? Mikä on ISO 27001 -standardi ja mitkä ovat sen keskeisimmät hyödyt organisaatiolle?
Mikä ISO 27001?
- Kansainvälinen tietoturvastandardi on alun perin vuodelta 2005, nyt versiossa 2017
- Kansainvälisesti tunnettu ja arvostettu standardi
- Taustalla on pyrkimys luoda kehikko, jonka varaan organisaatio voi rakentaa tietoturvan hallintajärjestelmän
- Auttaa organisaatiota suojaamaan hallinnoimaansa tietoa (tieto-omaisuus) standardin kuvaamia käytäntöjä hyödyntäen
Tätä standardia vasten organisaation voi sertifioida auditoinnin päätteeksi sertifiointielin, kuten Nixu Certification.
Varsinaisten auditointien ohella Nixu Certification tekee myös auditointiin valmistavia esiauditointeja, joissa sertifioitumisen tiellä olevat esteet havainnollistetaan organisaatiolle.
Riskit kartalle
ISO 27001 -standardin ytimen ensimmäisenä puolikkaana voi hyvällä syyllä pitää riskienhallintaa, joka mukailee ISO 31000 -standardin mukaista riskienhallinnan kehikkoa. ISO 31000 itsessään on opastava standardi, jota vasten ei voi sertifioitua, mutta olennaiset osat sen määrittelemistä toimintatavoista on hyvä toteuttaa ISO 27001 sertifiointia silmällä pitäen.
Riskienhallinnan keskiössä on yrityksen hallinnoima tieto-omaisuus.
ISO 27001 standardin näkökulmasta olennaista riskienhallinnassa on huomata, että riskejä saa ja käytännössä usein pitääkin ottaa.
Riskien toteutumisen todennäköisyyttä ja vaikutusta pienentämään ISO 27001 -liite A tarjoaa lajitelman erilaisia hallintakeinoja, jotka eivät ole pakollisia. Kaiken valitsemisen sijaan tarkoitus on punnita kunkin kontrollin osalta, missä määrin sen toteuttaminen kunkin tunnistetun riskin osalta auttaisi pienentämään riskiä ja mikä sen kustannus olisi.
Viime kädessä kyse on sen arvioinnista, pienentääkö hallintakeino kustannuksensa edestä riskejä. Jos vastaus on kyllä, hallintakeino on järkevää ottaa käyttöön ja jollei, jättää pois (ellei jokin ulkoinen syy pakota sitä toteuttamaan). Jos teknistä hallintakeinoa ei toteuteta, kyseiseen riskiin sovelletaan jotain muista käsittelytavoista (hyväksyminen, eli riskinotto, välttäminen eli altistavasta toiminnasta luopuminen tai siirtäminen eli käytännössä vakuutukset) tai useampaa yhdessä.
Standardi ei siis edellytä kunkin liitteen A hallintakeinon toteuttamista, vaan sille riittää myös kunkin hallintakeinon osalta perustelujen dokumentointi hallintakeinon toteuttamatta jättämiselle. Olennaista on myös huomata, että hallintakeinoja voi luoda myös itse ja korvata vaikka kaikki Liite A:n hallintakeinot itse suunnitelluilla tai muokatuilla keinoilla, jotka vastaavat organisaation tarpeeseen paremmin.
Lista sovellettavista hallintakeinoista ja soveltamatta jätetyistä hallintakeinoista perusteluineen muodostaa niin kutsutun soveltuvuuslausunnon, jonka laatimista standardi edellyttää.
On merkityksellistä huomata, että perusteltu syy hallintakeinon soveltamatta jättämiselle voi olla myös taloudellinen, hallintakeinon näennäisestä tarpeellisuudesta huolimatta. Tästä päästään takaisin artikkelin alussa esitettyyn näkemykseen: oikein toteutetun riskienhallinnan lopputulos voi hyvin olla, että organisaation nykyinen riskitaso ylittää sen riskinottohalukkuuden. Myös lopputuloksen ollessa tämä, standardi on täyttänyt tarkoituksensa. Organisaation johto on kenties ahdistuneempi, mutta toisaalta myös tietoinen tarvittavista jatkotoimenpiteistä.
..ja parantamaan tilannetta
Tilanteen tiedostamisesta päästään sujuvasti standardin osioon, jonka voi mieltää sen toiseksi olennaiseksi puolikkaaksi, eli jatkuvaan parantamiseen. Se voidaan nähdä prosessina, jonka tarkoituksena on viedä organisaation tietoturvaa hallitusti eteenpäin, jotta se voi saavuttaa tavoittelemansa riskitason.
ISO 27001 ei edellytä minkään tietyn jatkuvan parantamisen prosessin toteuttamista. Sen sijaan se jättää tietoturvan hallintajärjestelmän toteuttajalle vapaat kädet valita itselleen sopiva malli (joita on monia, Demingin Plan-Do-Check-Act:ista (PDCA) Six Sigman Define, Measure, Analyze, Improve and Control:iin (DMAIC)) tai vaikka kehittää omansa.
Olennaista on myös huomata, että ISO 27001 itsessään sisältää monia eri jatkuvaa parantamista sivuavia työkaluja, kuten jo mainitun riskienhallinnan (6.1), suorituskyvyn arvioinnin (9) muutostenhallinnan (A.12.1.2), johdon katselmuksen (9.3) ja vaikkapa poikkeamienhallinnan (10.1). Kaikki nämä työkalut yhdessä edistävät jatkuvaa parantamista ja ovat itsessään sen eri puolia. Jokainen näistä ottaa vastaan erilaisia syötteitä, kuten vaikkapa asiakaspalautetta, mittaustuloksiin pohjautuvia muutostarpeita, poikkeamaraportteja, riskianalyysejä tai vaikkapa ISO 27001 sertifiointiauditoinnin havaintoja, ja jokaisen näistä tavoitteena on viedä tuotantoon syötteisiin pohjautuvan suunnittelun mukaisia parannuksia.
On organisaation itsensä päätettävissä, haluaako se käsitellä kutakin työkalua omana parannusten virtanaan vai poimia seasta yksittäisiä laajempia kokonaisuuksia mahdollisen erillisen jatkuvan parantamisen prosessin edistämiseksi. Parannukset ovat toki luonteeltaan erilaisia, joten kuhunkin on sen koon ja tärkeyden mukaan hyvä soveltaa järkeväntasoista prosessia, jottei organisaatio kangista itseään liikaa.
Kussakin tapauksessa oennaista on hallinta läpi parannuksen elinkaaren. Vastuuhenkilö vie parannuksen suunnitellusti tuotantoon, sen vaikuttavuutta seurataan ja tarvittaessa sitä säädetään, kunnes toteutus on kohdallaan ja se asettuu luontevaksi osaksi tietoturvan hallintajärjestelmää.
Niin kauan kuin organisaatio on tietoinen sen tieto-omaisuuteen kohdistuvista riskeistä ja niiden hallintaan sovellettavista hallintakeinoista ja on toteuttanut ISO 27001 -standardin mukaisen tietoturvan hallintajärjestelmän, eivät puutteet toteutuksessa tarkoita, ettei sertifiointi olisi mahdollista. Olennaisempaa on, että jatkuva parantaminen voidaan osoittaa ja että mahdolliset puutteet ja poikkeamat, joista sen myötä pyritään pääsemään eroon ovat tiedossa ja hallinnassa ja pidemmällä tarkasteluvälillä (auditointien välillä) ne ratkaistaan, - tavalla tai toisella. Sertifioinnin tielle tuleekin useammin huolimattomuus kuin tiedostettu ja hallittu epätäydellisyys.
Mikä olikaan tarkoitus sertifioida?
Tarkoitus on sertifioida tietoturvan hallintajärjestelmä, ei tietoturvaa, vaikka kontrollien paljous välillä saattaakin hämärtää tämän näkökulman. Tavoitteena on arvioida ja siten tulla tietoiseksi nykyisestä riskitasosta (jolle organisaatio altistuu) suhteessa riskinottohalukkuuteen (jolle organisaatio on valmis altistumaan) ja rakentaa tietoturvanhallintajärjestelmä viemään organisaation tietoturvaa hallitusti jatkuvan parantamisen myötä kohti pistettä, jossa nämä kohtaavat.
Organisaatio voi ISO 27001 valmiuspohdinnoissaan ajautua kuviteltuun umpikujaan, jossa hallintakeinojen moninaisuus nähdään itseisarvona huomioimatta niiden tosiasiallista tarpeellisuutta. Kaikki lähtee riskienhallinnasta ja tekniset hallintakeinot ovat vain yksi riskien käsittelyvaihtoehdoista.
Missä pisteessä oma organisaatiosi on? Olisiko aika ottaa selvää? Ota yhteyttä:
Nixu Certification Oy (tytäryhtiö)
Toimitusjohtaja Niki Klaus, Nixu Certification Oy
Puhelin +358 50 394 8996, sähköposti: niki.klaus@nixu.com
Nixu Certification Oy:n tietoturva-asiantuntija, Senior Auditor Matti Leinonen käsittelee seuraavassa blogikirjoituksessaan ISO 27001 -standardiin liittyvien osa-alueiden vaikutuksia organisaatioissa.