ISO 27001 -vaatimustenmukaisuus Goverilla

ISO 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmille (ISMS).

Yleiskatsaus

Ominaisuus	Arvo
Koko nimi	ISO/IEC 27001:2022
Tyyppi	Kansainvälinen standardi
Julkaisija	ISO/IEC
Sertifiointi	Saatavilla akkreditoiduilta tahoilta

Rakenne

Pääkohdat (4-10)

Organisaation toimintaympäristö
Johtajuus
Suunnittelu
Tukitoiminnot
Toiminta
Suorituskyvyn arviointi
Parantaminen

Liite A:n hallintakeinot (Annex A Controls)

93 hallintakeinoa jaettu 4 teemaan:

Organisaatioon liittyvät hallintakeinot (37)
Henkilöstöön liittyvät hallintakeinot (8)
Fyysiset hallintakeinot (14)
Teknologiset hallintakeinot (34)

Keskeiset vaatimukset

ISMS-vaatimukset

Määrittele soveltamisala
Luo tietoturvapolitiikka
Riskinarviointi
Riskien käsittely
Soveltuvuuslausunto (Statement of Applicability)
Jatkuva parantaminen

Liite A:n hallintakeinoalueet

Alue	Hallintakeinot
A.5 Organisaatio	Politiikat, roolit, vastuut
A.6 Henkilöstö	Taustaselvitykset, tietoisuus, koulutus
A.7 Fyysinen	Turva-alueet, laitteet, utiliteetit
A.8 Teknologinen	Pääsynhallinta, salaus, operaatiot

Goverin käyttö ISO 27001:lle

1. Lisää viitekehys

Mene kohtaan Viitekehykset → Lisää viitekehys
Valitse mallipohjista ISO 27001:2022
Lisää työtilaasi

2. Määritä soveltamisala

Dokumentoi ISMS-soveltamisalasi:

Organisaation rajat
Tietovarannot
Sijainnit
Teknologiat

3. Suorita riskinarviointi

Käytä Goverin riskienhallintaa:

Tunnista tietoturvariskit
Arvioi todennäköisyys ja vaikutus
Määritä riskitasot
Suunnittele käsittelytoimenpiteet

4. Luo soveltuvuuslausunto (SoA)

Yhdistä hallintakeinot vaatimuksiin:

Merkitse soveltuvat hallintakeinot
Dokumentoi perustelut poissulkemisille
Linkitä implementoituihin hallintakeinoihin

5. Ota hallintakeinot käyttöön

Jokaiselle Liite A:n hallintakeinolle:

Luo tai yhdistä olemassa olevat hallintakeinot
Linkitä todisteasiakirjat
Määritä omistajat
Seuraa toteutusta

Sertifiointipolku

Suositeltu lähestymistapa

Gap-analyysi — Arvioi nykytila suhteessa ISO 27001:een
Riskinarviointi — Tunnista ja arvioi riskit
Hallintakeinoen implementointi — Korjaa puutteet
Dokumentaatio — Luo vaaditut asiakirjat
Sisäinen auditointi — Varmista vaatimustenmukaisuus
Sertifiointiauditointi — Ulkoinen arviointi

Keskeiset asiakirjat

Asiakirja	Tarkoitus
ISMS-politiikka	Ylätason tietoturvasitoumus
Riskinarviointi	Dokumentoitu riskianalyysi
Soveltuvuuslausunto (SoA)	Hallintakeinoen soveltuvuus
Riskien käsittelysuunnitelma	Miten riskeihin vastataan
Sisäisen auditoinnin raportit	Auditointihavainnot

Resurssit

Seuraavat vaiheet

Riskienhallinta — Implementoi riskiprosessit
Hallintakeinot — Hallitse hallintakeinojasi

Yleiskatsaus​

Rakenne​

Pääkohdat (4-10)​

Liite A:n hallintakeinot (Annex A Controls)​

Keskeiset vaatimukset​

ISMS-vaatimukset​

Liite A:n hallintakeinoalueet​

Goverin käyttö ISO 27001:lle​

1. Lisää viitekehys​

2. Määritä soveltamisala​

3. Suorita riskinarviointi​

4. Luo soveltuvuuslausunto (SoA)​

5. Ota hallintakeinot käyttöön​

Sertifiointipolku​

Suositeltu lähestymistapa​

Keskeiset asiakirjat​

Resurssit​

Seuraavat vaiheet​