ISO 27001 vs. ISO 27002: Vertailu
Kyberturvallisuus on nykyään jatkuva uhka. Tietoturvan hallintajärjestelmän (ISMS) käyttöönotto voi auttaa yrityksiä hallitsemaan tietoturvariskejä, mutta joillekin yrityksille tämä maailma voi olla hieman vieras. Onneksi niitä voivat auttaa merkittävästi ISO 27001 (tietoturva) ja ISO 27002 (tietoturvan hallintatoimenpiteet), jotka molemmat kuuluvat ISO/IEC 27000 -standardien perheeseen ja on suunniteltu auttamaan organisaatioita pitämään tietovarallisuutensa turvassa.
Ennen näiden kahden standardin vertailua on syytä huomioida, että vaikka niitä yleisesti kutsutaan nimillä ISO 27001 ja ISO 27002, tämä on itse asiassa virheellistä. Molemmat standardit on kehitetty ja julkaistu yhteistyössä Kansainvälisen standardisoimisjärjestön (ISO) ja Kansainvälisen sähkötekniikan komission (IEC) toimesta, ja niiden oikeat nimet ovat ISO/IEC 27001 ja ISO/IEC 27002. Monet kuitenkin viittaavat näihin kahteen standardiin edelleen nimillä ISO 27001 ja ISO 27002.
ISO 27001- ja ISO 27002-standardien välisten erojen ymmärtäminen on avainasemassa oikeiden tietoturvan hallintakäytäntöjen käyttöönotossa.
Mikä on ISO/IEC 27001?
Tietoturvaan kohdistuvien uhkien torjumiseksi ja kansallisten tai alueellisten määräysten noudattamiseksi tällä alalla organisaatioiden tulisi ihannetapauksessa ottaa käyttöön ISMS. ISO/IEC 27001 on tunnetuin kansainvälinen standardi tietoturvan hallintajärjestelmille (ISMS). ISO/IEC 27001 standardin hyötyihin kuuluu mm, että se auttaa organisaatioita laatimaan tietoturvan hallintapolitiikan, tavoitteet ja prosessit sekä ymmärtämään, miten keskeisiä näkökohtia voidaan hallita, ottamaan käyttöön tarvittavat valvontatoimenpiteet ja asettamaan selkeät tavoitteet tietoturvan parantamiseksi.
Siinä sovelletaan kattavaa lähestymistapaa tietoturvaan. Suojattavia kohteita ovat muun muassa digitaalinen tieto, paperiset asiakirjat, fyysiset resurssit (tietokoneet ja verkot) sekä yksittäisten työntekijöiden osaaminen. Käsiteltäviä aiheita ovat muun muassa henkilöstön osaamisen kehittäminen sekä tekninen suojaus tietokonepetoksia vastaan.
ISO/IEC 27001 on suunniteltu yhteensopivaksi ja yhdenmukaistetuksi muiden tunnustettujen johtamisjärjestelmästandardien kanssa. Siksi se sopii erinomaisesti integroitavaksi olemassa oleviin johtamisjärjestelmiin ja prosesseihin, vaikka ne koskisivatkin muita aloja.
Lue lisää DNV:n Tietoturvajärjestelmän sisäisen auditoijan koulutuksesta.
Mikä on ISO 27002?
Osa tietoturvan hallintajärjestelmän (ISMS) käyttöönottoa on ymmärtää, mitä uhkia ja riskejä siihen liittyy. ISO/IEC 27001 -standardi edellyttää, että organisaatiot tunnistavat tietoturvariskit ja valitsevat niiden hallitsemiseksi sopivat hallintatoimenpiteet. Pienissä tai keskisuurissa yrityksissä, joissa henkilöstön osaaminen ei keskity tietotekniikkaan, tämä voi tuntua hyvin pelottavalta tehtävältä. Edes suuremmissa organisaatioissa, joilla on oma IT-osasto, kaikkia riskejä ei välttämättä tunnisteta selvästi.
ISO/IEC 27001 -standardin liitteessä A on hyödyllinen luettelo 93 tietoturvatoimenpiteestä, joita organisaation kannattaa harkita. Siinä ei kuitenkaan juurikaan kerrota, miten näitä toimenpiteitä tarkalleen ottaen tulisi soveltaa.
ISO/IEC 27002 on ISO/IEC 27001 -standardin täydentävä ohjeistustandardi, joka laajentaa liitteessä A olevia tietoja kuvaamalla kutakin suojatoimenpidettä yksityiskohtaisemmin ja tarjoaa käytännesäännöt tietoturvatoimenpiteille. Se tarjoaa ohjeita ja yleisiä periaatteita tietoturvan hallinnan käynnistämiseen, toteuttamiseen, ylläpitämiseen ja parantamiseen organisaatiossa.
Mikä ero on standardien ISO 27001 ja ISO 27002 välillä?
Suurin ero ISO/IEC 27001- ja ISO/IEC 27002 -standardien välillä liittyy niiden painopisteisiin ja soveltamisalaan. ISO/IEC 27001 on sertifioitava standardi, jossa määritellään tietoturvanhallintajärjestelmän (ISMS) kriteerit. Se sisältää vaatimukset ISMS:n perustamisesta, käyttöönotosta, ylläpidosta ja jatkuvasta parantamisesta. Sertifioinnin saaneet organisaatiot pystyvät helposti osoittamaan sidosryhmilleen, että ne suhtautuvat tietoturvaan vakavasti. Tämä voi antaa varmuutta asiakkaille ja liikekumppaneille sekä vakuuttaa sääntelyviranomaiset siitä, että organisaatio täyttää lakisääteiset vaatimukset.
Toisaalta ISO/IEC 27002 ei ole sertifioitava standardi, vaan kattava ohjeasiakirja, jossa esitetään tietoturvatoimenpiteiden parhaat käytännöt, jotka tulisi ottaa huomioon organisaation ISMS-järjestelmän yhteydessä. Se kattaa keskeisiä kyberturvallisuuden osa-alueita, kuten pääsynhallintaa, salausta, henkilöstöturvallisuutta ja poikkeustilanteisiin reagointia. Hyödyntämällä ISO/IEC 27002 -ohjeita yritykset voivat omaksua ennakoivan lähestymistavan kyberturvallisuusriskien hallintaan ja suojata kriittistä tietoa luvattomalta käytöltä ja katoamiselta.
Missä tilanteissa yritysten tulisi soveltaa kutakin standardia?
ISO/IEC 27001 -standardia tulisi käyttää organisaatioissa, jotka haluavat perustaa virallisen tietoturvan hallintajärjestelmän (ISMS) ja hakea riippumattoman kolmannen osapuolen myöntämää sertifiointia osoittaakseen noudattavansa tietoturvan parhaita käytäntöjä. Tämä voi monissa tapauksissa olla ”pääsylippu liiketoimintaan”, sillä asiakkaat ja sidosryhmät haluavat suojata omia arvokkaita ja henkilökohtaisia tietojaan. Tämän lisäksi standardi voi auttaa suojelemaan liiketoimintaa tarjoamalla liiketoiminnan jatkuvuusstrategioita ja joustavuutta.
ISO/IEC 27002 -standardia käytetään parhaiten viitteenä, kun valitaan ja toteutetaan ISMS-järjestelmän hallintatoimenpiteitä ISO 27001 -standardin vaatimusten perusteella. Se voi olla erityisen hyödyllinen organisaatioille, jotka haluavat parantaa tietoturvan hallintakäytäntöjään ilman, että ne välttämättä hakevat sertifiointia. Vaikka organisaatio ei hakisikaan ISO/IEC 27001 -sertifiointia, ISO/IEC 27002 -standardissa määriteltyjen hallintatoimenpiteiden käyttöönotto tarjoaa organisaatiolle tietynlaisen suojan kyberuhkia vastaan.
Molempia standardeja päivitetään säännöllisesti, jotta niissä voidaan ottaa huomioon uudet kehityssuuntaukset ja käytännöt nopeasti muuttuvalla uhkien ja vaatimusten alalla.