maanantai 6. tammikuuta 2014

Tietoturvallisuuden hallintajärjestelmästandardiin päivitys

Viime vuoden lopulla julkaistiin uusi versio tietoturvallisuuden hallintajärjestelmästandardista. SFS-ISO/IEC 27001:2013 muutokset vaikuttavat tuovan tietoturvallisuuden hallintaa lähemmäs organisaatioiden varsinaista toimintaa.

Muutoksia oli niin sivumäärissä ja rakenteessa. Samoin esimerkiksi terminologia päivittyi vastaamaan enemmän tätä päivää. Mutta parhaimmat muutokset meidän mielestämme liittyivät siihen, miten standardin painotukset ja henki muuttui. Ensimmäinen hyvä asia on riskienhallinnan entistä suurempi korostuminen ja tavoitteiden asettaminen. Jokaisen organisaation toimintaympäristö on hyvin erilainen ja tavoitteet tietoturvalle ovat monissa organisaatioissa hyvin erilaisia. Hyvää on myös vaatimus, että tietoturvallisuuden hallintajärjestelmä on yhdistettävä organisaation prosesseihin. Standardi ohjaa nyt suoremmin lopputulokseen, jossa on parhaiten juuri omaan organisaatioon sopiva hallintajärjestelmä ja se on vielä integroitu organisaation normaalitoimintaan.

Riskeille on myös tunnistettava jatkossa omistajat. Aiempaan yleiseen organisaation johdon jäännösriskien käsittelyyn verrattuna tämä muutos varmistaa ehkä paremmin sitä, että jokainen riski tulee huomioiduksi jollain tavalla myös organisaation muutostilanteissa. Tietenkin organisaatioissa on varmistuttava siitä, että riskien omistajilla on riittävät resurssit kyseisten riskien hallintaa varten.

Eräs pieneltä vaikuttava muutos liittyy myös vanhan version termiin "johto", joka on korvattu uudessa sanalla "johtajuus". Muutos on erittäin hieno. Tietoturvallisuus ja sen hallinta eivät voi olla vain organisaation yhden tietyn osan vastuulla, vaan määrätietoinen tietoturvallisuuden kehittäminen vaatii johtajuutta - läpi koko organisaation.


Standardin voi ostaa vaikkapa Suomen Standardisoimisliiton verkkokaupasta.




Ei kommentteja:

Lähetä kommentti