ISO/IEC 27000

ISO/IEC 27000 viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia.Turvallisuus.Tietoturvallisuuden hallintajärjestelmät". Erityisesti ISO/IEC 27000 on sarjan ensimmäisen osan "Yleiskatsaus ja sanasto" tunnus.

Sarjan standardit

ISO/IEC 27000:2009, Tietoturvallisuuden hallintajärjestelmät. Yleiskatsaus ja sanasto

Standardissa määritellään yleiset vaatimukset tietoturvallisuuden hallintajärjestelmän luomiselle, toteuttamiselle, käyttämisellä, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. Standardissa esitetyt yleiset vaatimukset ovat sovellettavissa organisaation tyypistä, koosta tai luonteesta riippumatta.

ISO/IEC 27001:2005, Tietoturvallisuuden hallintajärjestelmät. Vaatimukset

Standardi on laadittu malliksi tietoturvallisuuden hallintajärjestelmän (ISMS, Information Security Management System) kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille, ylläpitämiselle ja parantamiselle. Tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation strateginen päätös. Organisaation tietoturvajärjestelmän suunnitteluun ja toteutukseen vaikuttavat sen tarpeet ja tavoitteet, turvallisuusvaatimukset, käytettävät prosessit sekä organisaation koko ja rakenne. Näiden ja niitä tukevien järjestelmien uskotaan muuttuvan ajan mukana.

Tämä on sarjan eniten käytetty standardi, jonka vaatimuksia voidaan käyttää organisaatioiden vaatimustenmukaisuuden sertifiointiin.

ISO/IEC 27002:2005, Tietoturvallisuuden hallintaa koskeva menettelyohje

Standardi määrittelee ohjeita ja yleisiä periaatteita organisaation tietoturvahallinnan käynnistämiseen, käyttöönottoon, ylläpitoon ja parantamiseen. Tässä kansainvälisessä standardissa kuvaillut tavoitteet tarjoavat yleistä opastusta yleisesti hyväksytyistä tietoturvahallinnan tavoitteista. Tämän standardin valvontatavoitteet ja turvamekanismit on tarkoitettu otettaviksi käyttöön, jotta täytetään riskinarvioinnissa tunnistetut vaatimukset. Tätä kansainvälistä standardia voidaan käyttää käytännön ohjeistuksena, jonka pohjalta voidaan kehittää organisaation turvallisuusstandardeja ja tehokkaita turvallisuusjohtamisen käytäntöjä sekä auttaa lisäämään luottamusta organisaatioiden välisiin liiketoimiin.

Täsmälleen samansisältöinen standardi suomenkielisenä käännöksenä ISO/IEC 17799:fi.

ISO/IEC 27003:2010, Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita

Standardi on antaa käytännön opastusta tietoturvallisuuden hallintajärjestelmän (ISMS) toteuttamissuunnitelman laatimisesta organisaatiossa standardin ISO/IEC 27001:2005 mukaisesti.

ISO/IEC 27004:2009, Tietoturvallisuuden hallinta. Mittaaminen

Standardissa esitetään ohjeita sellaisten mittareiden ja mittausten kehittämisestä ja käytöstä, joilla voidaan arvioida standardin ISO/IEC 27001 mukaisesti toteutetun tietoturvallisuuden hallintajärjestelmän (ISMS) ja turvamekanismien tai turvamekanismiyhdistelmien vaikuttavuutta.

ISO/IEC 27005:2008, Tietoturvariskien hallinta

Standardissa esitetään ohjeita organisaation tietoturvariskien hallinnasta. Se tukee erityisesti standardin ISO/IEC 27001 mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia.

ISO/IEC 27006:2007, Tietoturvallisuuden hallintajärjestelmien auditointi- ja sertifiointielinten vaatimukset

ISO/IEC 27007, Tietoturvallisuuden hallintajärjestelmän auditointiohjeet

ISO/IEC 27011, Standardiin ISO/IEC 27002 perustuvat tietoturvallisuuden hallintaohjeet tietoliikenneorganisaatioille

Kehitys

Standardisarjasta vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG1). Suomen osalta komitean ja sen työryhmien työ seuraa ja kansallisia kannanottoja lähettää SFS:n standardisointiryhmä 307 - Tietoturvatekniikat.

Aiheesta muualla