Osa-alueiden lyhyt esittely
(Esittelyosio on lisätty tähän myöhemmin 30.12.2010)
- Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi
- Fyysinen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen
- Laitteistoturvallisuus – Esimerkiksi tietokoneiden yleinen suojaaminen
- Ohjelmistoturvallisuus – Ohjelmistojen tietoturvaan liittyvät asiat
- Tietoaineiston turvallisuus – Sähköisten ja paperisten dokumenttien käsittely ja suojaaminen
- Tietoliikenneturvallisuus – Esimerkiksi tiedonsiirtoon liittyvät tietoturvamekanismit
- Henkilöstöturvallisuus – Rooleihin, vastuihin ja tietoturvaohjeistuksiin liittyvät asiat
- Käyttöturvallisuus – Esimerkiksi salasanoihin liittyvät asiat. Yleensä ”ylimääräinen” kahdeksas osa-alue. Salasanakäytännöt voidaan yhdistää esimerkiksi ohjelmistoturvallisuuteen.
Tarkemmat selostukset osa-alueista löytyy tietoturvaperiaatteet ja -käytännöt -osiosta
Perinteinen jaottelu
Yrityksen tietoturvallisuuden hallintaa voidaan havainnollistaa esimerkiksi kuviossa 1 esitetyllä perinteisellä tavalla, jossa tietoturva koostuu kahdeksasta erillisestä osiosta. Kuten kuvio osoittaa, hallinnolliset toimenpiteet ja fyysiset suojamekanismit luovat perustan muille osa-alueille. Työntekijät ovat puolestaan vastuussa laitteistojen, ohjelmistojen ja tietoliikenneverkkojen turvallisesta käytöstä, joten henkilöstön osaaminen ja turvallisuus ovat olennaisia osia suuressa kokonaisuudessa. [1] Yhdessä nämä kahdeksan osa-aluetta luovat kattavan näkökulman tietoturvalle. Perinteistä jaottelua käytetään myös paljon alan oppikirjoissa ja erityisesti suomenkielisissä teoksissa.
ps. Kuvassa on virhe: tietoaineiston turvallisuus on jäänyt vahingossa pois!
Tietoturva liiketoiminnan näkökulmasta
Toinen lähestymistapa on ajatella tietoturvaa yrityksen liiketoimintaprosessien kautta. Information Security Forumin (ISF) julkaisemassa teoksessa The Standard of Good Practice for Information Security 2007 (SOGP2007) käsitellään tietoturvan parhaita käytäntöjä kuudessa liiketoiminnan kannalta tärkeässä osiossa. ISF:n määrittelyssä yrityksen tietoverkot ja laitteistot luovat pohjan muille osa-alueille. Kun verkkojen ja laitteiden tietoturva on hallinnassa, voidaan keskittyä liiketoiminnan kannalta olennaisten järjestelmien turvaamiseen. Sen osa-alueen tärkeimpiä asioita ovat yleiset tietojärjestelmät sekä liiketoiminnassa tarvittavat ohjelmistot. Loput kolme osiota käsittelevät tietoturvan hallintaa sekä sovelluskehityksen ja työntekijöiden IT-käyttöympäristöjen turvallisuutta. [2] Jotta yritysjohto saisi parhaan mahdollisen käsityksen tietoturvan laajuudesta, kannattaa heidän tutustua sekä perinteiseen että ISF:n tekemään jaotteluun.
Lue seuraavaksi tietoturvan hallintajärjestelmästä, tai palaa sisällysluetteloon.
Lähteet
1 (Ruohonen 2002, 4-5.)
2 (ISF 2007, 3.)