Yritys voi halutessaan hakea todistusta tietoturvallisista toimintatavoistaan. Tätä toimenpidettä kutsutaan tietoturvallisuuden hallintajärjestelmän sertifioinniksi. International Organization for Standardization (ISO) on kansainvälinen organisaatio, joka on määritellyt sertifioinnissa vaadittavat kriteerit. Kyseiset vaatimukset ovat kuvattuna ISO/IEC 27001 -standardissa. Viimeistään sertifiointivaiheessa yritykseltä vaaditaan laajaa dokumentaatiota tietoturvan hallintajärjestelmästä. [1]
Virallisten ISO -standardien hankkiminen on maksullista, mutta silti kannattavaa. Internetistä on saatavilla myös hyviä ilmaisia teoksia, kuten ISF:n laatima The Standard of Good Practise for Information Security 2007. Suomen kielellä laadukasta materiaalia tarjoaa esimerkiksi Valtiohallinnon VAHTI -työryhmä. He ovat julkaisseet vapaasti luettavaksi lukuisia tietoturvallisuuteen liittyviä ohjeistuksia ja suosituksia. [2]
Mikäli yritys haluaa kattavan tietoturvadokumentin, voidaan se luoda esimerkiksi kirjaamalla ISO:n ja ISF:n standardien pääkohdat yrityksen tietoturvaperiaatteisiin ja -käytäntöihin. Vaikka virallinen sertifikaatti ei olisikaan tavoitteena, kannattaa yrityksen silti tutustua mahdollisimman moneen aiheeseen liittyvään dokumenttiin ja ohjeistukseen. Esimerkiksi tähän tutkimukseen on koottu tärkeimpiä asioita ISO:n ja ISF:n tietoturvastandardeista. Kokonaisuutta lähestytään kahdeksan eri osa-alueen näkökulmasta.
Huomioita (lisätty jälkikäteen):
Standardeissa on myös eroja. Epävirallisen SOGP2007-standardin luulisi olevan heikkotasoisempi kuin virallisen ISO 27001:n. Kyseiset dokumentit täydentävät toisiaan kuitenkin erittäin hyvin. Pelkästään yhteen tietoturvadokumenttiin tutustuminen ei ole mielestäni järkevää. Tarpeeksi kattavan informaation saa vasta, kun tutustuu useampaan aiheeseen liittyvään tuotokseen.
Lue seuraavaksi hallinnollisesta tietoturvasta tai palaa sisällysluetteloon.
Lähteet
1 (Laaksonen ym. 2006, 106.)
2 (Valtiovarainministeriö 2010.)