Koska suuri osa nykyaikaisesta liiketoiminnasta ja kaupankäynnistä tapahtuu digitaalisesti, tietojen, datan ja tietoverkkoturvallisuuden on aina oltava johdon huolenaiheiden listalla korkealla sijalla. Tietoverkkouhkat ja -hyökkäykset ovat saattaneet viime kuukausina väistyä otsikoihin energiakustannusten ja turvallisuushuolien vuoksi, mutta tietoverkkouhka ei todellakaan ole vähentynyt, vaan se on saattanut jopa kasvaa.
ISO/IEC 27001 -standardin uusimman version julkaiseminen 25. lokakuuta muistuttaa meitä siitä, että kaikki yritykset ovat yhä alttiimpia tietoturvariskeille. ISO/IEC 27001 on kansainvälisesti tunnustettu tietoturvallisuuden hallintajärjestelmästandardi (ISMS), joka auttaa yrityksiä hallitsemaan ja suojaamaan tietovarantojaan ennakoivasti sekä hallitsemaan ja lieventämään tietoturvatapahtumia. Se auttaa myös säännösten noudattamisessa ja asiakasvaatimusten täyttämisessä.
Tietoturvaloukkauksista ja verkkohyökkäyksistä voi aiheutua merkittäviä tappioita ja mainehaittoja. Näiden välttämiseksi organisaatioiden on hallittava nykyisiä uhkia ja tarvittaessa vähennettävä riskejä. Tämä auttaa rakentamaan sidosryhmien luottamusta ja varmistamaan, että taloudellisten menetysten ja häiriöiden riski minimoidaan. Vahvan, jäsennellyn kehyksen käyttöönotto riskien tunnistamiseksi, hallitsemiseksi ja lieventämiseksi edistää jatkuvaa parantamista ja vahvistaa liiketoiminnan jatkuvuutta.
ISO/IEC 27001 on suunniteltu yhteensopivaksi ja yhdenmukaistetuksi muiden tunnustettujen ISO-johtamisjärjestelmästandardien kanssa. Standardia uudistettiin viimeksi vuonna 2013. Sen vuoksi katsottiin tarpeelliseksi saattaa standardi, mukaan lukien ISO/IEC 27002:ssa määritellyt tietoturvavalvontakeinot, ajan tasalle sillä välin kehittyneiden verkkohyökkäys- ja tietoturvaloukkausskenaarioiden kanssa.
Organisaatioilla, jotka on sertifioitu ISO 27001 -standardin nykyisen vuoden 2013 version mukaisesti, on kolme vuotta aikaa siirtyä uuteen versioon. Tämä tarkoittaa, että niiden nykyisen ISMS-järjestelmän on täytettävä uudet vaatimukset ennen marraskuuta 2025. Organisaatioiden, jotka eivät ole vielä sertifioineet järjestelmää, olisi parasta pyrkiä sertifioimaan se uuden standardin mukaisesti välittömästi.
Tärkeimmät muutokset, joita ISO/IEC 27001 -standardin uusin versio tuo mukanaan…
Uuden version rakenne on identtinen aiemman version kanssa, mutta siinä otetaan huomioon kyberturvallisuuden ja tietoturvan käsitteet. Lyhyt tarkastelu paljastaa, että muutokset koskevat lähes yksinomaan ISO/IEC 27002:sta tarkistettuja valvontakeinoja. Näihin viitataan ISO/IEC 27001:n liitteessä A. Liitteessä A esitetään ISO/IEC27001:een perustuvan tietoturvallisuuden hallintajärjestelmän tietoturvakontrollit. Kontrollien kokonaismäärä on tarkistettu 114:stä 93:een. Uusia tietoturvavalvontakeinoja on 11, 58 on päivitetty ja 24 on yhdistetty yksinkertaistamiseksi ja yritysten kohtaamien uusien skenaarioiden ottamiseksi paremmin huomioon. Valvontakeinot on järjestetty uudelleen neljään valvontateemaan: Organisaatio, ihmiset, fyysiset ja teknologiset. Käyttäjille ja toteuttajille ISO/IEC 27002 tarjoaa myös hyödyllisiä päivityksiä valvontakeinojen ohjeisiin, mukaan lukien lisää esimerkkejä.11 uutta kontrollia ovat:
Valvontatoimenpiteiden lisäksi on tehty joitakin pieniä muutoksia, jotka on mukautettu ISOn korkean tason rakenteen (HLS) viimeisimpiin päivityksiin. Tärkeimmät johtamisjärjestelmän osa-alueet, joihin muutokset vaikuttavat, ovat johtaminen, yritysturvallisuus, IT-toiminnot ja muut tukitoiminnot. Palveluntarjoajien osalta myös toimitus vaikuttaa. Uusi versio mahdollistaa tehokkaamman riskienhallinnan päivitettyjen turvallisuusvalvontakeinojen ansiosta.
…ja hyödyt
Uuden version tärkeimmät hyödyt voidaan tiivistää seuraavasti:- Mahdollistaa tehokkaamman riskinhallinnan, koska liitteen A tietoturvakontrolleja on parannettu vastaamaan nykyisiä skenaarioita, joihin yritysten on vastattava.
- Auttaa yrityksiä arvioimaan uudelleen riskejään ja uhkia ja ottamaan käyttöön tietoturvavalvontatoimia, jotka sopivat tilanteeseen, jossa yhteenliitettävyys, pilvi- ja automaatioteknologia, haitta- ja lunnasohjelmat sekä muut haavoittuvuudet lisääntyvät jatkuvasti.
- Laajennetaan koskemaan myös tietoverkkoturvallisuutta ja yksityisyyden suojaa, jolloin tietoturvan hallintajärjestelmä kytkeytyy paremmin näihin kriittisiin kysymyksiin, joita yritysten on käsiteltävä.
- Parempi rakenne ja esitystapa liitteessä A oleville valvontatoimille sekä selkeämpi ja yksinkertaisempi kieli.