Insta Secraysin toteuttamassa ISO 27001-puuteanalyysissa arvioidaan ISO 27001:n kohtien 4-10 jokaisen vaatimukset toteutumista suhteuttaen ja soveltaen niitä juuri kyseessä olevan organisaation toimintaympäristöön ja tahtotilaan. Esimerkiksi johtajuutta arvioidaan selvittämällä, miten organisaation ylin johto on osoittanut johtajuutta ja sitoutumista hallintajärjestelmään, millainen organisaation tietoturvapolitiikka on ja miten tietoturvallisuuteen liittyvät roolit, vastuut ja valtuudet on määritelty.
ISO 27001:n kohtien 4-10 vaatimukset
ISO 27001:ssä kohdat 4-10 määrittävät velvoittavat vaatimukset organisaation tietoturvallisuuden hallintajärjestelmälle. Nämä vaatimukset konkretisoivat:
Organisaation on huomioitava esimerkiksi sidosryhmien odotukset määrittäessään hallintajärjestelmän rajauksia ja soveltamisalaa.
Organisaation ylimmän johdon on osoitettava johtajuutta ja sitoutumista hallintajärjestelmään.
Organisaation on mm. määritettävä ja toteutettava tietoturvariskien arviointiprosessi ja asetettava tietoturvatavoitteet relevanteille toiminnoille.
Organisaation on löydettävä hallintajärjestelmän luomiseen ja ylläpitoon tarvittavat pätevyydet ja mietittävä millaista hallintajärjestelmän kannalta olennaista sisäistä ja ulkoista viestintää tarvitaan.
Organisaation on suunniteltava ja toteutettava prosessit tietoturvavaatimuksien ja riskienhallintatoimenpiteiden toteuttamiseen sekä hallittava suunniteltuja muutoksia ja arvioitava tahattomien muutosten seurauksia.
Organisaation on arvioitava tietoturvan tasoa esimerkiksi sisäisin auditoinnein ja varmistettava, että tietoturvallisuuden hallintajärjestelmä on organisaation ylimmän johdon näkemyksen mukaan asianmukainen ja vaikuttava.
Organisaation on reagoitava havaittuihin poikkeamiin ja parannettava jatkuvasti tietoturvallisuuden hallintajärjestelmän soveltuvuutta, riittävyyttä ja vaikuttavuutta.
Usein yllättävän monet vaatimuksista täyttyvät, vaikka organisaatiolla ei olisikaan aiemmin ollut käytössä ”virallista” tietoturvallisuuden hallintajärjestelmää.
Vaatimuksien toteutumista arvioidaan sekä olemassa olevan dokumentaation (esim. tietoturvapolitiikka, -periaatteet ja -ohjeet, organisaation intranet-sivustot) ja työpajojen perusteella. Työpajoissa pyritään ymmärtämään erityisesti organisaation tahtotilaa tietoturvan suhteen ja huomioimaan käytettävissä olevat resurssit ja rajoitteet tahtotilaan pääsemiseksi. Tämä ymmärrys auttaa standardin vaatimuksien soveltamisessa juuri organisaation erityiseen toimintaympäristöön sopiviksi.
ISO 27001:n Liitteen A hallintakeinot
ISO 27001:n Liitteessä A kuvataan tietoturvariskien hallintatavoitteita ja -keinoja. Hallintakeinot koskevat mm. tietoturvapolitiikkoja, tietoturvallisuuden organisointia, mobiililaitteita ja etätyötä, pääsynhallintaa, salausta, järjestelmien hankkimista, kehittämistä ja ylläpitoa sekä tietoturvahäiriöiden hallintaa. Esimerkkejä hallintakeinoista ovat mm. tietoturvapolitiikat, tietoturvaroolit ja -vastuut, suojattavan omaisuuden luetteloiminen ja sen omistajuuden määrittely, turvallinen kirjautuminen, salausavainten hallinta, haittaohjelmilta suojautuminen, lokitietojen suojaaminen ja teknisten haavoittuvuuksien hallinta.
Vastoin yleistä harhaluuloa, ISO 27001 ei edellytä, että organisaatio toteuttaisi kaikki Liitteessä A luetellut hallintakeinot. Standardi edellyttää ainoastaan, että organisaatio arvioi riskiperusteisesti näiden hallintakeinojen tarpeellisuutta. Tämä riskiarvio voi hyvin osoittaa, että jokin hallintakeino ei ole tarpeen tai se on esimerkiksi liian kallis toteutettavaksi sillä hallittavaan riskiin nähden.
Insta Secraysin toteuttamassa puuteanalyysissa arvioidaan jokaisen hallintakeinon toteuttamista. Arvion lopputuloksena syntyy arvio hallintakeinojen toteuttamisen nykytilasta. Esimerkki arvion yhteenvedosta:
ISO27001-puuteanalyysi: esimerkki hallintakeinojen arviosta

Petri Vetikko
Tietoturvakonsultti, ISO 27001 Lead Implementer