Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

ISO/IEC standardiperhe

JulkaistuRiitta Pesonen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "ISO/IEC standardiperhe"— Esityksen transkriptio:

1 ISO/IEC 27000 -standardiperhe
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012 Näiden kalvojen aiheena on ISO perhe, jonka yleisenä otsikkona on "Informaatioteknologia - Turvallisuus - Tietoturvallisuuden hallintajärjestelmät"

2 Tervetuloa luentoaineiston käyttäjäksi!
Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella. TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J. Koskinen Yksi tiivistyksistä on lyhenne TT = Tietoturva(llisuus)

3 Tietoturvallisuuden hallintajärjestelmä
on osa yleistä hallintajärjestelmää, joka luodaan ja toteutetaan liiketoimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä TT. Organisoi ja helpottaa yritysjohdon TT-työtä. Hallintajärjestelmien tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. Hallintajärjestelmän osia ovat mm. riskianalyysi, TT-politiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat. Tämä kalvo esittelee yhden 27K-sarjan tärkeimmän käsitteen, tietoturvallisuuden hallintajärjestelmän. ISO/IEC perheen standardit eivät edellytä määrättyä tietoturvallisuuden hallintajärjestelmän rakennetta. Se kehottaa soveltajia luomaan omat mallinsa, joilla järjestelmät toteutetaan. Standardien logiikasta voidaan määritellä rakenne, jolla tietoturvallisuus voidaan parhaalla tavalla toteuttaa. Lähtökohtana ovat organisaation strategiset tavoitteet. Strategiset tavoitteet kuvataan tietoturvallisuuden hallinnan kannalta tietoturvallisuuspolitiikkana, riskienhallintapolitiikkana ja tietoturvallisuusorganisaationa. Kohteille (assets) määritellään tietoturvallisuusarkkitehtuuri, jossa kuvataan tietoturvallisuuden keskeiset rakenteelliset piirteet. Näiden määrittelyjen jälkeen määritellään teknologiat ja tietoturvallisuustavoitteet, joiden avulla arkkitehtuurin määrittelemät tekijät tulee toteuttaa. Käytännössä tietoturvallisuus realisoidaan prosesseissa, joissa organisaatio tai palvelu tuottaa toimintansa kannalta relevantit asiat sekä infrastruktuurissa, joka on edellisen edellytys. Edellisten tulee johtaa organisaation tietoturvallisuusosaamiseen. Toiminnan edellytyksenä on, että on määriteltynä prosessi, jolla tietoturvallisuutta arvioidaan ja tavoitteita asetetaan sekä toinen, jolla luodun järjestelmän tuloksia arvioidaan.

4 27000-standardiperhe ISO/IEC viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät". Tarjoaa suosituksia TT:n hallintaan, riskeihin ja kontrollointiin TT:n hallintajärjestelmissä. Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi. Myös monet muut 27-alkuiset tietoturvallisuuteen liittyvät standardit voidaan laskea kuuluvaksi perheeseen. Standardi tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä.

5 27000-standardiperheen historia ja kehittyminen
Englannin aloite 1992: Code of Practice for Information Security Management (hallituksen opaste) 1995: Muutetaan BSI standardiksi BS 7799 1999: Sertifiointi alkaa täysimääräisenä 2000: ISO/IEC  ISO/IEC 27002:2005 2002: BS Information Security Management Specification  ISO/IEC 27001:2005 27000, ja 27002:n 2. painos valmisteilla Uudet versiot vuoden 2013 aikana BSI Group (BSI tai British Standards Institution)

6 27000-standardiperhe… 27001: 2005 - Vaatimukset
27000: Yleiskatsaus ja sanasto - Overview and vocabulary 27001: Vaatimukset 27002: Tietoturvallisuuden hallintaa koskeva menettelyohje 27003: Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita 27004: Mittaaminen 27005: Tietoturvariskien hallinta 27006: Requirements for bodies providing audit and certification of information security management systems 27007: Guidelines for Information Security Management Systems Auditing 27008: Guidelines for auditors on information security management systems controls 27010 : ?- Information security management for inter-sector and inter-organizational communications 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Tämän ja seuraavien kalvojen nimet on otettu ISO:n sivuilta. Standardit on jo suomennettu Standardit ovat suomennoksen alla Standardiperheen standardit voi käydä nopeasti läpi keskittyen mielenkiintoisiin tai mainiten että tässä kalvosarjassa käsitellään tarkemmin 27001:stä ja 27005:sta, jotka on alleviivattu. Standardit, joita ei ole vielä julkaistu, on kursivoitu. määrittelee ja nimeää keskeneräiset hieman eri tavalla seuraavasti: CONFIRMED (27000, 27007, 27008, 27011, 27033, 27799), UNCONFIRMED / NOT YET CHEDULED (27010 – ISM Guidelines for Sector-Sector Working and Communications, – ICT readiness for Business Continuity, – Cyber security, – Guidelines for application security, – Telecommunications (ITU-T)) , SPECULATION – INDUSTRY SPECIFIC STANDARDS (27012 – Finance, Manufacturing), IRCA (Espanjassa) sotkee asiat nimeämällä samoilla numeroilla (27012 – Automotive Industry, Lotteries)

7 …27000-standardiperhe… 27013:? - Guidelines on the integrated implementation of ISO/IEC and ISO/IEC 27014:? - Governance of information security 27015:? - Proposal on an Information security management guidelines for financial and insurance services 27016:? - Organizational economics 27017:? - Cloud computing security and privacy management system -- Security controls 27018:? - Code of practice for data protection controls for public cloud computing services 27031: Guidelines for information and communication technology readiness for business continuity 27032:? - Guidelines for cybersecurity 27033:eri osia (1–7) - Network security 27034:eri osia (1–5) - Application security 27035: Information security incident management 27036:eri osia (1-3) - Information security for supplier relationships Standardit, joita ei ole vielä julkaistu, on kursivoitu.

8 …27000-standardiperhe 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence 27038:? - Specification for Digital Redaction 27039:? - Selection, deployment and operations of intrusion detection systems 27040:? - Storage security 27041:? - Guidance on assuring suitability and adequacy of investigation methods 27042:? - Guidelines for the analysis and interpretation of digital evidence 27043:? - Investigation principles and processes 27799: Health Informatics: Information security management in health using ISO/IEC 27002 Standardit, joita ei ole vielä julkaistu, on kursivoitu.

9 27000 viitekehys Kuvassa esitetään tietoturvallisuuden hallintajärjestelmästandardien väliset suhteet Tietoturvallisuuden hallintajärjestelmästandardien sarja koostuu toisiinsa liittyvistä standardeista, joista osa on julkaistu ja osa on valmisteilla. Tietoturvallisuuden hallintajärjestelmästandardien sarja liittyy moniin muihin ISO- ja ISO/IEC -standardeihin. Standardit luokitellaan tarkemmin johonkin seuraavista tyypeistä: yleiskatsauksen ja termit sisältävät standardit (27000) vaatimuksia määrittelevät standardit (27001, 27006) yleisiä ohjeita antavat standardit (27002, 27003, 27004, 27005, 27007) ja sektorikohtaisia ohjeita antavat standardit (27011, 27799).

10 Standardit ja lainsäädäntö
Standardisoimislaki Sertifiointilaitoksia koskeva lainsäädäntö Yhteissääntely Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä. Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää TT:n saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. Standardisoimislaki Sertifiointilaitokset Tietoturvallisuuden arviointilaitokset voivat käyttää hyväkseen FINAS-akkreditointipalvelua, mutta laitosten toiminta kokonaisuutena on vailla ulkopuolista valvontaa. Yritysturvallisuudella on kasvava merkitys muun ohella kansainvälisten hankintakilpailujen vuoksi sekä yritysten innovaatiotoiminnan ja muun toiminnan verkottuessa. Siten arviointilaitosten valvonta on myös yritysten intressissä. Arviointilaitoksia, jotka voisivat hakea ehdotettua Viestintäviraston hyväksyntää, on tällä hetkellä puolisenkymmentä. Lain tarkoitusta toteutetaan antamalla arviointilaitoksille mahdollisuus hakea toimintaansa varten Viestintäviraston hyväksyntä. Arviointitoiminnasta ei ehdotuksen mukaan tulisi luvan- tai ilmoituksenvaraista toimintaa, vaan hyväksynnän hakeminen olisi arviointilaitoksille mahdollisuus, ei velvoite Standardointiin ja sertifiointiin liittyy erilaisia lakeja, viranomaistoiminnan yhtenäistämiseen on tehty kriteeristö (KATAKRI), ja VAHTI on muodostettu parantamaan valtionhallinnon toimintoja. KATAKRI: -> etsi ”katakri” VAHTI:

11 ISO/IEC 27000:2009 ”Yleiskatsaus ja sanasto”
Sisältää koko ISO/IEC perheen yleiskatsauksen ja esittelyn, perheessä käytettyjen termien määritelmät ja niiden luokitukset ja yleisiä vaatimuksia. Määrittelee yleiset vaatimukset TT:n hallintajärjestelmän luomiselle, toteuttamiselle, käyttämisellä, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. ISO standardi kategorisoi muita –perheen standardeja eri ryhmiin ja antaa niiden yleiskuvauksen. Yleiskatsauksen ja termit esittävät standardit (27000) Vaatimuksia määrittelevät standardit (27001, 27006) Yleisiä ohjeita antavat standardit (27002, 27003, 27004, 27005, 27007) Sektorikohtaisia ohjeita antavat standardit (27011, 27799) Liitteessä A selitetään miten tietoturvallisuuden hallintajärjestelmästandardien sarjassa käytettäviä verbi-ilmauksia on tarkoitus tulkita joko vaatimuksiksi tai suosituksiksi: Vaatimus, suositus, lupa, mahdollisuus Liitteessä B on luokiteltu standardissa aiemmin määritellyt termit seuraaviin kategorioihin: tietoturvallisuuteen liittyvät termit, johtamiseen liittyvät termit, tietoturvariskeihin liittyvät termit ja dokumentointiin liittyvät termit. Seuraavilla kalvoilla tarkennetaan 27001:stä ja 27005:sta.

12 ISO/IEC 27001 ja 27005 -standardit
Kaksi ehkä tärkeintä perheen standardia Määrittävät TT:n hallintajärjestelmän vaatimukset (27001) ja riskienhallinnan (27005). TT:n hallintajärjestelmän käyttöönotto on organisaation strateginen päätös. Vuoteen 2009 mennessä yli organisaatiota oli sertifioitu. Siirrymme esittelemään kahta ehkä tärkeintä 27K -perheen standardia, 27001:stä ja 27005:sta. 27001 määrittelee tietoturvallisuuden hallintajärjestelmän vaatimukset ja määrittelee tietoturvallisuuden hallintajärjestelmän riskienhallinnan. Seuraavilla kalvoilla kerrotaan tarkemmin standardeista ja

13 ISO/IEC 27001:2005 ”Vaatimukset”
Tavoitteena linjata TT:n hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli) On hallinnointistandardi eikä tekninen standardi Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa Tämä kalvo kertoo 27001:n perusteista. ISO/IEC on kansainvälinen standardi, joka määrittelee ne vaatimukset, jotka koskevat dokumentoidun tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, käyttämistä, valvontaa, katselmointia, ylläpitoa ja parantamista ottaen huomioon organisaation yleiset liiketoimintariskit. määrittelee vaatimukset turvamekanismien toteuttamista varten yksittäisen organisaation tai sen osien yksilöllisten tarpeiden mukaisesti. Tietoturvallisuuden hallintajärjestelmä luodaan takaamaan riittävien ja asianmukaisesti mitoitettujen turvamekanismien valinta. Niiden tulee suojata suojattavia kohteita ja luoda luottamusta sidosryhmille. 27001 on hyväksytty vuonna 2005. Se on korvannut BS :2002 -standardin tietoturvallisuuden hallintajärjestelmän sertifioinnin perustana. 27001 on vaatimusstandardi, joka perustuu ISO 17799:ssä (nykyisin ISO/IEC 27002) esitetyille hallintavaatimuksille (controls), jotka kuvaavat toimenpiteitä, joilla pyritään täyttämään hallintatavoitteita (control objectives) ISO määrittelee vaatimukset ja tavan, jolla vaatimukset toteutetaan.

14 PDCA-malli sovellettuna TT:n hallintajärjestelmän prosesseihin
Plan (Suunnittele) Do (Toteuta) Check (Arvioi) Act (Toimi) Kuva esittää miten tietoturvallisuuden hallintajärjestelmä käyttää panoksena sidosryhmien tietoturvavaatimuksia ja odotuksia ja tarvittavien toimenpiteiden ja prosessien tuloksena tuottaa tietoturvatuotoksia, jotka täyttävät nämä vaatimukset ja odotukset. Kuva esittää myös prosessien väliset vuorovaikutukset.

15 27001 vaatii, että hallinto tarkastelee organisaation TT-riskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TT-kontrollit ja riskien käsittelyohjeet omaksuu kattavan hallintoprosessin varmistaakseen TT-kontrollien jatkuvuuden tulevaisuudessa. Tämä kalvo kertoo siitä miten hallinnon pitäisi toimia, jotta 27001:sta voidaan käyttää.

16 27001:n käyttö Käytetään usein yhdessä ISO/IEC 27002:n kanssa
Liite A sisältää suppean listan ISO/IEC 27002:n TT-kontrolleista ISO/IEC tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa 27001 antaa vaatimuksia TT:n hallintajärjestelmän sisäiseen auditointiin, johdon katselmointiin, ja parantamiseen Kalvo kertoo 27001:n käytöstä.

17 27001:n liite A Liite A luettelee valvontatavoitteet ja turvamekanismit Esim. A.10.5 Varmuuskopiointi Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen. A : Tietojen varmuuskopiointi Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti. Kalvo kertoo 27001:n liite A:sta, joka luettelee valvontatavoitteita ja turvamekanismeja. Esimerkkinä annetaan varmuuskopiointi. Esimerkkejä tulee tämän kalvon jälkeen lisää, ja niitä kaikkia ei ole pakko käydä tunnilla läpi. Huom. Liite A sisältää suppean listan ISO/IEC 27002:n tietoturvallisuuskontrolleista. ISO/IEC tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa.

18 27001:n liite A - esimerkkejä
A Tarkkailu Tavoite: Luvattomien tietojenkäsittelytoimintojen havaitseminen. A : Pääkäyttäjä- ja operaattorilokit Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata. A : Kellojen synkronointi Turvamekanismi: Kaikkien samassa organisaatiossa tai turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa. Mainitun A.10.10:n eli tarkkailun alla on 6 eri turvamekanismia: A Tapahtumalokit A Järjestelmän käytön tarkkailu A Lokitietojen suojaus A Pääkäyttäjä- ja operaattorilokit A Häiriöiden kirjaus A Kellojen synkronointi

19 ISO/IEC 27005:2011: ”Tietoturvariskien hallinta”
Sisältää ohjeita organisaation TT-riskien hallinnasta. Tukee erityisesti ISO/IEC standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia. Ei esitä mitään tiettyä TT-riskien hallinnan menettelytapaa. Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma Ensimmäinen versio julkaistu 2008, toinen 2011. Suunnattu lähinnä organisaation TT-riskien hallinnasta vastaaville johtajille ja henkilöstölle. Seuraavaksi siirrytään 27005:n esittelyyn. Ensimmäisellä kalvolla on yleistä esittelyä. ISO/IEC 27005 sisältää mukaisen riskienhallintaprosessin ohjeistuksen tarkastelee riskienhallintaa osana yleistä (liike)toimintariskien hallintaa

20 27005: Tietoturvariskien hallintaprosessi
Kuva esittää tietoturvallisuuden hallintaprosessin ja mistä se koostuu: arviointiympäristön määrittämisestä riskien arvioinnista riskien käsittelystä riskin hyväksynnästä riskeistä viestimisestä ja riskien tarkkailusta ja katselmoinnista Kuvassa esitetään myös kuinka riskien arviointi- ja käsittelytoiminnot voivat olla iteratiivisia tietoturvariskien hallintaprosessissa. Riskien iteratiivinen toimintamalli auttaa saavuttamaan tasapainon siten, että turvamekanismien tunnistamiseen käytetään mahdollisimman vähän aikaa mutta samalla varmistetaan suurten riskien asianmukainen arviointi. Arviointiympäristön määrittämisen jälkeen tehdään riskien arviointi, jonka jälkeen VOIDAAN siirtyä riskien käsittelyyn. Jos saatua tietoa ei ole riittävästi toimenpiteiden määrittämiseen tehokkaasti, riskien arviointi toistetaan muutetussa arviointiympäristössä. Riskien käsittelyn tehokkuus riippuu riskien arvioinnin tuloksista, esim. jäännösriskiä ei saada välttämättä heti hyväksyttävälle tasolle. Koko tietoturvariskien hallintaprosessin ajan on tärkeää viestiä riskeistä ja niiden käsittelystä asianosaisille johtajille ja suorittavalle henkilöstölle. | 20

21 27005: Riskien käsittelytoiminta
Kuvassa esitetään riskien käsittelytoimintaa edellisessä aikaisemmassa kuvassa esitetyn tietoturvariskien hallintaprosessin puitteissa. Ennen riskien vaikutuksen arviointia on pitänyt tehdä seuraavat toimenpiteet: Tietoturvariskien arvioinnin yleiskuvaus Riskianalyysi Riskin tunnistus Johdatus riskin tunnistukseen Suojattavien kohteiden tunnistaminen Uhkien tunnistus Käytössä olevien turvamekanismien tunnistus Haavoittuvuuksien tunnistaminen Seurausten tunnistus Riskien suuruuden arviointi Riskin suuruuden arviointimenettelyt Seurausten arviointi Häiriön todennäköisyyden arviointi Riskitason arviointi Riskien vaikutuksen arvioinnin jälkeen käytössä on luettelo riskeistä, jotka on asetettu tärkeysjärjestykseen riskien vaikutuksen arviointikriteerien perusteella ja suhteutettu kyseisiin riskeihin johtaviin häiriöskenaarioihin. Tietoturvariskien käsittelyssä käytetään lähtötietoina tuota luetteloa. Tämän jälkeen riskejä käsitellään valitsemalla riskien pienentämiseen, säilyttämiseen, välttämiseen tai siirtämiseen käytettävät turvamekanismit ja määrittelemällä riskien käsittelysuunnitelma. Toteuttamisohjeet: Riskien käsittelyyn on käytettävissä neljä vaihtoehtoa: riskin pienentäminen, riskin säilyttäminen, riskin välttäminen ja riskin siirtäminen. Ne eivät sulje pois toisiaan ja joskus voi olla merkittävää hyötyä yhdistellä vaihtoehtoja. Kun riskien käsittelysuunnitelma on määritelty, täytyy määrittää jäännösriskit. Tämä tarkoittaa riskien arvioinnin päivittämistä tai toistamista siten, että arvioinnissa otetaan huomioon ehdotettujen riskien käsittelytapojen odotetut vaikutukset. Tuloksena riskien käsittelyssä on riskien käsittelysuunnitelma ja jäännösrikit, joiden hyväksymisestä organisaation johtajien täytyy päättää.

22 Esimerkki auditointiprosessista
Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation TT-politiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma). Vaihe 2. Yksityiskohtaisempi ja muodollisempi auditointi TT:n hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin. Vaihe 3. jatkokatselmoinnit ja auditoinnit Säännöllinen uudelleenarviointi. Prosessi on kuvattuna –sivulla.

23 Standardin soveltaminen ja kokemuksia*
Johdon todellinen sitouttaminen voi olla hankalaa Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää Yritys voi olla ennakoiva tietoturvan suhteen. Suurilta ja kalliilta yllätyksiltä voidaan välttyä. Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille. * Lea Viljanen Kalvolla esitetään kokemuksia 27K-perheen standardien soveltamisesta.

24 TT-standardin käytön hyödyt
ISO/IEC 27001: Parempi kuva organisaatiossa itsestään. Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy. Vältetyt riskit vähentävät kuluja. Organisaation operaatiot sujuvat sulavammin, koska vastuut ja businessprosessit on selvästi määritelty. TT-valveutuneisuus paranee. Asiakkaiden luottamus ja näkemys yrityksestä paranee. Kalvolla listataan joitakin hyötyjä, joita 27001:n käytöllä voidaan saavuttaa.

25 Lisätietoa standardeista
ISO:n online browsing platform -palvelu 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1). Suomessa SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. Puheenjohtaja: Reijo Savola (VTT) Sihteeri: Juha Vartiainen (SFS)

Lataa ppt "ISO/IEC standardiperhe"

Samankaltaiset esitykset

KDK:n Kansallisen näkymän ryhmän työskentelystä

KDK:n Kansallisen näkymän ryhmän työskentelystä
Tietopaketti Big Datasta

Tietopaketti Big Datasta
Kansallinen digitaalinen kirjasto - lyhyt johdatus Jukka Liedes 11.4.2012.

Kansallinen digitaalinen kirjasto - lyhyt johdatus Jukka Liedes
Asiakkaana sosiaalipalveluissa

Asiakkaana sosiaalipalveluissa
TIETOHALLINTO JA TIETOJÄRJ. KEH. PERUSTEET Pekka Makkonen ja kump.

TIETOHALLINTO JA TIETOJÄRJ. KEH. PERUSTEET Pekka Makkonen ja kump.
Case: UNIC-Services Oy. UNIC-Services Oy  Perustettu 1993, perustaja Saara Remes- Ulkunniemi  Yritys tarjoaa koulutuspaveluita eri puolilla Suomea 

Case: UNIC-Services Oy. UNIC-Services Oy  Perustettu 1993, perustaja Saara Remes- Ulkunniemi  Yritys tarjoaa koulutuspaveluita eri puolilla Suomea 
Yhteistyössä Tietohallinto liikunnassa ja urheilussa 25.6.2014.

Yhteistyössä Tietohallinto liikunnassa ja urheilussa
Topirkka.fi portaali http://www.topirkka.fi.

Topirkka.fi portaali
Joensuun seudun Equal: Valtamuuntaja -osahanke 2002-2005 1. LUODAAN KEHITTÄMISTÄ TUKEVA RAKENNE •prosessi etenee tavoitteellisena • sitoutuminen yhteisiin.

Joensuun seudun Equal: Valtamuuntaja -osahanke LUODAAN KEHITTÄMISTÄ TUKEVA RAKENNE •prosessi etenee tavoitteellisena • sitoutuminen yhteisiin.
13.3.2014Jukka Ollila | Novago Yrityskehitys Oy Yritystalo BusinessLohjan ensimmäinen vuosi.

Jukka Ollila | Novago Yrityskehitys Oy Yritystalo BusinessLohjan ensimmäinen vuosi.
Suunnitelma ohjelmiston testaukseen

Suunnitelma ohjelmiston testaukseen
JTC 1 - kuulumiset SFS IT-standardisoinnin vuosiseminaari 12.12.2013 Saana Seppänen.

JTC 1 - kuulumiset SFS IT-standardisoinnin vuosiseminaari Saana Seppänen.
OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen.

OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen.
Tietoturvakoulutus Tietojenkäsittelyn koulutus-ohjelmassa

Tietoturvakoulutus Tietojenkäsittelyn koulutus-ohjelmassa
Tilastotietoja pankkien maksu-järjestelmistä Suomessa

Tilastotietoja pankkien maksu-järjestelmistä Suomessa
Valvoja: Prof. Riku Jäntti Ohjaaja: FM, MBA Tapio Heinäaro

Valvoja: Prof. Riku Jäntti Ohjaaja: FM, MBA Tapio Heinäaro
Metropolian tietoturvapolitiikka Tai miltä se voisi näyttää.

Metropolian tietoturvapolitiikka Tai miltä se voisi näyttää.
Performance testing of TETRA 1. SISÄLTÖ  TETRA standardointi  ICT- yrityksen toteutus  Testaus- prosessi  Motivaatio testaukseen  Vaiheet/ osa-prosessit.

Performance testing of TETRA 1. SISÄLTÖ  TETRA standardointi  ICT- yrityksen toteutus  Testaus- prosessi  Motivaatio testaukseen  Vaiheet/ osa-prosessit.
Elinkeinopoliittinen mittaristo 2014 Pelkosenniemi 1.

Elinkeinopoliittinen mittaristo 2014 Pelkosenniemi 1.
Elinkeinopoliittinen mittaristo 2014 Kemi 1. ELINKEINOPOLITIIKAN TILA 2.

Elinkeinopoliittinen mittaristo 2014 Kemi 1. ELINKEINOPOLITIIKAN TILA 2.

Samankaltaiset esitykset

Iklan oleh Google