ISO/IEC 27000

Wikipedia
Loikkaa: valikkoon, hakuun

ISO/IEC 27000 viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia.Turvallisuus.Tietoturvallisuuden hallintajärjestelmät". Erityisesti ISO/IEC 27000 on sarjan ensimmäisen osan "Yleiskatsaus ja sanasto" tunnus.

Sarjan standardit[muokkaa | muokkaa wikitekstiä]

ISO/IEC 27000:2009, Tietoturvallisuuden hallintajärjestelmät. Yleiskatsaus ja sanasto[muokkaa | muokkaa wikitekstiä]

  • Standardissa määritellään yleiset vaatimukset tietoturvallisuuden hallintajärjes-telmän luomiselle, toteuttamiselle, käyttämisellä, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. Standardissa esitetyt yleiset vaatimukset ovat sovellettavissa organisaation tyypistä, koosta tai luonteesta riippumatta.

ISO/IEC 27001:2005, Tietoturvallisuuden hallintajärjestelmät. Vaatimukset[muokkaa | muokkaa wikitekstiä]

  • standardi on laadittu malliksi tietoturvallisuuden hallintajärjestelmän (ISMS, Information Security Management

System) kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille, ylläpitämiselle ja parantamiselle. Tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation strateginen päätös. Organisaation tietoturvajärjestelmän suunnitteluun ja toteutukseen vaikuttavat sen tarpeet ja tavoitteet, turvallisuusvaatimukset, käytettävät prosessit sekä organisaation koko ja rakenne. Näiden ja niitä tukevien järjestelmien uskotaan muuttuvan ajan mukana.

  • Tämä on sarjan eniten käytetty standardi, jonka vaatimuksia voidaan käyttää organisaatioiden vaatimustenmukaisuuden sertifiointiin.

ISO/IEC 27002:2005, Tietoturvallisuuden hallintaa koskeva menettelyohje[muokkaa | muokkaa wikitekstiä]

  • standardi määrittelee ohjeita ja yleisiä periaatteita organisaation tietoturvahallinnan käynnistämiseen,

käyttöönottoon, ylläpitoon ja parantamiseen. Tässä kansainvälisessä standardissa kuvaillut tavoitteet tarjoavat yleistä opastusta yleisesti hyväksytyistä tietoturvahallinnan tavoitteista. Tämän standardin valvontatavoitteet ja turvamekanismit on tarkoitettu otettaviksi käyttöön, jotta täytetään riskinarvioinnissa tunnistetut vaatimukset. Tätä kansainvälistä standardia voidaan käyttää käytännön ohjeistuksena, jonka pohjalta voidaan kehittää organisaation turvallisuusstandardeja ja tehokkaita turvallisuusjohtamisen käytäntöjä sekä auttaa lisäämään luottamusta organisaatioiden välisiin liiketoimiin.

  • Täsmälleen samansisältöinen standardi suomenkielisenäkäännöksenä ISO/IEC 17799:fi

ISO/IEC 27003:2010, Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita[muokkaa | muokkaa wikitekstiä]

  • Standardi on antaa käytännön opastusta tietoturvallisuuden hallintajärjestelmän (ISMS)toteuttamissuunnitelman laatimisesta organisaatiossa standardin ISO/IEC 27001:2005 mukaisesti.

ISO/IEC 27004:2009, Tietoturvallisuuden hallinta. Mittaaminen[muokkaa | muokkaa wikitekstiä]

  • Standardissa esitetään ohjeita sellaisten mittareiden ja mittausten kehittämisestä ja käytöstä, joilla voidaan arvioida standardin ISO/IEC 27001 mukaisesti toteutetun tietoturvallisuuden hallintajärjestelmän (ISMS) ja turvamekanismien tai turvamekanismiyhdistelmien vaikuttavuutta.

ISO/IEC 27005:2008, Tietoturvariskien hallinta[muokkaa | muokkaa wikitekstiä]

  • Standardissa esitetään ohjeita organisaation tietoturvariskien hallinnasta. Se tukee erityisesti standardin ISO/IEC 27001 mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia.

ISO/IEC 27006:2007, Tietoturvallisuuden hallintajärjestelmien auditointi- ja sertifiointielinten vaatimukset[muokkaa | muokkaa wikitekstiä]

ISO/IEC 27007, Tietoturvallisuuden hallintajärjestelmän auditointiohjeet[muokkaa | muokkaa wikitekstiä]

ISO/IEC 27011, Standardiin ISO/IEC 27002 perustuvat tietoturvallisuuden hallintaohjeet tietoliikenneorganisaatioille[muokkaa | muokkaa wikitekstiä]

Kehitys[muokkaa | muokkaa wikitekstiä]

Standardisarjasta vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG1). Suomen osalta komitean ja sen työryhmien työ seuraa ja kansallisia kannanottoja lähettää SFS:n seurantaryhmä 307 - Tietoturvatekniikat.

Aiheesta muualla[muokkaa | muokkaa wikitekstiä]