SFS-EN ISO/IEC 27002:2022

Soveltamisala

Tässä asiakirjassa esitetään yleisluontoisten tietoturvallisuuden hallintakeinojen viitejoukko sekä niitä koskevat toteuttamisohjeet. Tämä opas on tarkoitettu käyttöön organisaatioille
a) jotka kuuluvat standardiin ISO/IEC 27001 perustuvan tietoturvallisuuden hallintajärjestelmän toimintaympäristöön
b) jotka toteuttavat tietoturvallisuuden hallintakeinoja, jotka perustuvat kansainvälisesti tunnustettuihin parhaisiin käytäntöihin
c) jotka laativat omia organisaatiokohtaisia tietoturvallisuuden hallintaohjeitaan.

Tämän julkaisun valmistelusta Suomessa vastaa SFS Suomen Standardit, puh. 09 149 9331.

Sisällysluettelo

Eurooppalainen esipuhe
Esipuhe
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Termit, määritelmät ja lyhenteet

3.1 Termit ja määritelmät
3.2 Lyhenteet

4 Tämän asiakirjan rakenne

4.1 Kohdat
4.2 Teemat ja attribuutit
4.3 Hallintakeinon kuvaus

5 Organisaatioon liittyvät hallintakeinot

5.1 Tietoturvallisuutta koskevat toimintaperiaatteet
5.2 Tietoturvaroolit ja -vastuut
5.3 Tehtävien eriyttäminen
5.4 Johdon vastuut
5.5 Yhteydet viranomaisiin
5.6 Yhteydet osaamisyhteisöihin
5.7 Uhkatiedon seuranta
5.8 Tietoturvallisuus projektinhallinnassa
5.9 Tietojen ja niihin liittyvien omaisuuserien luettelo
5.10 Tietojen ja niihin liittyvien omaisuuserien hyväksyttävä käyttö
5.11 Omaisuuden palauttaminen
5.12 Tiedon luokittelu
5.13 Tiedon merkintä
5.14 Tietojen siirtäminen
5.15 Pääsynhallinta
5.16 Identiteetin hallinta
5.17 Tunnistautumistiedot
5.18 Pääsyoikeudet
5.19 Tietoturvallisuus toimittajasuhteissa
5.20 Toimittajasopimusten tietoturvallisuus
5.21 Tietoturvallisuuden hallinta tietotekniikan toimitusketjussa
5.22 Toimittajien palvelujen seuranta, katselmointi ja muutoksenhallinta
5.23 Pilvipalvelujen tietoturvallisuus
5.24 Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
5.25 Tietoturvatapahtumien arviointi ja niitä koskevien päätösten tekeminen
5.26 Tietoturvahäiriöihin reagointi
5.27 Tietoturvahäiriöistä oppiminen
5.28 Todisteiden kerääminen
5.29 Tietoturvallisuus häiriötilanteessa
5.30 Tieto- ja viestintätekniikan valmius liiketoiminnan jatkuvuussuunnittelussa
5.31 Lainsäädäntöön, asetuksiin, viranomaismääräyksiin ja sopimuksiin sisältyvät vaatimukset
5.32 Immateriaalioikeudet
5.33 Tallenteiden suojaaminen
5.34 Tietosuoja ja henkilötietojen suojaaminen
5.35 Tietoturvallisuuden riippumaton katselmointi
5.36 Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
5.37 Dokumentoidut toimintaohjeet

6 Henkilöstöön liittyvät hallintakeinot

6.1 Taustatarkistus
6.2 Työsuhteen ehdot
6.3 Tietoturvatietoisuus, -opastus ja -koulutus
6.4 Kurinpitoprosessi
6.5 Työsuhteen päättymisen tai muuttumisen jälkeiset vastuut
6.6 Salassapito- ja vaitiolositoumukset
6.7 Etätyöskentely
6.8 Tietoturvatapahtumista raportointi

7 Fyysiset hallintakeinot

7.1 Fyysiset turva-alueet
7.2 Kulunvalvonta
7.3 Toimistojen, tilojen ja laitteistojen suojaus
7.4 Fyysisen turvallisuuden valvonta
7.5 Suojaus fyysisiä ja ympäristön aiheuttamia uhkia vastaan
7.6 Turva-alueilla työskentely
7.7 Puhdas pöytä ja puhdas näyttö
7.8 Laitteiden sijoitus ja suojaus
7.9 Toimitilojen ulkopuolelle viedyn omaisuuden turvallisuus
7.10 Tallennusvälineet
7.11 Tukipalvelut
7.12 Kaapeloinnin turvallisuus
7.13 Laitteiden huolto
7.14 Laitteiden turvallinen käytöstä poistaminen ja kierrättäminen

8 Teknologiset hallintakeinot

8.1 Käyttäjien päätelaitteet
8.2 Ylläpito-oikeudet
8.3 Tietoihin pääsyn rajoittaminen
8.4 Pääsy lähdekoodiin
8.5 Turvallinen todentaminen
8.6 Kapasiteetinhallinta
8.7 Haittaohjelmilta suojautuminen
8.8 Teknisten haavoittuvuuksien hallinta
8.9 Konfiguraationhallinta
8.10 Tietojen poistaminen
8.11 Tietojen peittäminen
8.12 Tietovuotojen estäminen
8.13 Tietojen varmuuskopiointi
8.14 Tietojenkäsittelypalvelujen vikasietoisuus
8.15 Lokikirjaukset
8.16 Valvontatoiminnot
8.17 Kellojen synkronointi
8.18 Ylläpito- ja hallintasovellukset
8.19 Ohjelmistojen asentaminen tuotantokäytössä oleviin järjestelmiin
8.20 Verkkoturvallisuus
8.21 Verkkopalvelujen turvaaminen
8.22 Verkkojen eriyttäminen
8.23 Verkkosuodatus
8.24 Salauksen käyttö
8.25 Turvallinen kehittämisen elinkaari
8.26 Sovelluksia koskevat turvallisuusvaatimukset
8.27 Turvallisen järjestelmäarkkitehtuurin ja -suunnittelun periaatteet
8.28 Turvallinen ohjelmointi
8.29 Tietoturvatestaus kehitys- ja hyväksyntävaiheissa
8.30 Ulkoistettu kehittäminen
8.31 Kehitys-, testaus- ja tuotantoympäristöjen erottaminen
8.32 Muutoksenhallinta
8.33 Testauksessa käytettävät tiedot
8.34 Tietojärjestelmien suojaus auditointitestauksen aikana

Liite A Attribuuttien käyttö (opastava)
Liite B Standardin ISO/IEC 27002:2022 (tämä asiakirja) vastaavuus standardiin ISO/IEC 27002:2013 (opastava)

Kirjallisuus

Näytä kaikki

Eurooppalainen esipuhe
Esipuhe
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Termit, määritelmät ja lyhenteet

3.1 Termit ja määritelmät
3.2 Lyhenteet

4 Tämän asiakirjan rakenne

4.1 Kohdat
4.2 Teemat ja attribuutit
4.3 Hallintakeinon kuvaus

5 Organisaatioon liittyvät hallintakeinot

5.1 Tietoturvallisuutta koskevat toimintaperiaatteet
5.2 Tietoturvaroolit ja -vastuut
5.3 Tehtävien eriyttäminen
5.4 Johdon vastuut
5.5 Yhteydet viranomaisiin
5.6 Yhteydet osaamisyhteisöihin
5.7 Uhkatiedon seuranta
5.8 Tietoturvallisuus projektinhallinnassa
5.9 Tietojen ja niihin liittyvien omaisuuserien luettelo
5.10 Tietojen ja niihin liittyvien omaisuuserien hyväksyttävä käyttö
5.11 Omaisuuden palauttaminen
5.12 Tiedon luokittelu
5.13 Tiedon merkintä
5.14 Tietojen siirtäminen
5.15 Pääsynhallinta
5.16 Identiteetin hallinta
5.17 Tunnistautumistiedot
5.18 Pääsyoikeudet
5.19 Tietoturvallisuus toimittajasuhteissa
5.20 Toimittajasopimusten tietoturvallisuus
5.21 Tietoturvallisuuden hallinta tietotekniikan toimitusketjussa
5.22 Toimittajien palvelujen seuranta, katselmointi ja muutoksenhallinta
5.23 Pilvipalvelujen tietoturvallisuus
5.24 Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
5.25 Tietoturvatapahtumien arviointi ja niitä koskevien päätösten tekeminen
5.26 Tietoturvahäiriöihin reagointi
5.27 Tietoturvahäiriöistä oppiminen
5.28 Todisteiden kerääminen
5.29 Tietoturvallisuus häiriötilanteessa
5.30 Tieto- ja viestintätekniikan valmius liiketoiminnan jatkuvuussuunnittelussa
5.31 Lainsäädäntöön, asetuksiin, viranomaismääräyksiin ja sopimuksiin sisältyvät vaatimukset
5.32 Immateriaalioikeudet
5.33 Tallenteiden suojaaminen
5.34 Tietosuoja ja henkilötietojen suojaaminen
5.35 Tietoturvallisuuden riippumaton katselmointi
5.36 Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
5.37 Dokumentoidut toimintaohjeet

6 Henkilöstöön liittyvät hallintakeinot

6.1 Taustatarkistus
6.2 Työsuhteen ehdot
6.3 Tietoturvatietoisuus, -opastus ja -koulutus
6.4 Kurinpitoprosessi
6.5 Työsuhteen päättymisen tai muuttumisen jälkeiset vastuut
6.6 Salassapito- ja vaitiolositoumukset
6.7 Etätyöskentely
6.8 Tietoturvatapahtumista raportointi

7 Fyysiset hallintakeinot

7.1 Fyysiset turva-alueet
7.2 Kulunvalvonta
7.3 Toimistojen, tilojen ja laitteistojen suojaus
7.4 Fyysisen turvallisuuden valvonta
7.5 Suojaus fyysisiä ja ympäristön aiheuttamia uhkia vastaan
7.6 Turva-alueilla työskentely
7.7 Puhdas pöytä ja puhdas näyttö
7.8 Laitteiden sijoitus ja suojaus
7.9 Toimitilojen ulkopuolelle viedyn omaisuuden turvallisuus
7.10 Tallennusvälineet
7.11 Tukipalvelut
7.12 Kaapeloinnin turvallisuus
7.13 Laitteiden huolto
7.14 Laitteiden turvallinen käytöstä poistaminen ja kierrättäminen

8 Teknologiset hallintakeinot

8.1 Käyttäjien päätelaitteet
8.2 Ylläpito-oikeudet
8.3 Tietoihin pääsyn rajoittaminen
8.4 Pääsy lähdekoodiin
8.5 Turvallinen todentaminen
8.6 Kapasiteetinhallinta
8.7 Haittaohjelmilta suojautuminen
8.8 Teknisten haavoittuvuuksien hallinta
8.9 Konfiguraationhallinta
8.10 Tietojen poistaminen
8.11 Tietojen peittäminen
8.12 Tietovuotojen estäminen
8.13 Tietojen varmuuskopiointi
8.14 Tietojenkäsittelypalvelujen vikasietoisuus
8.15 Lokikirjaukset
8.16 Valvontatoiminnot
8.17 Kellojen synkronointi
8.18 Ylläpito- ja hallintasovellukset
8.19 Ohjelmistojen asentaminen tuotantokäytössä oleviin järjestelmiin
8.20 Verkkoturvallisuus
8.21 Verkkopalvelujen turvaaminen
8.22 Verkkojen eriyttäminen
8.23 Verkkosuodatus
8.24 Salauksen käyttö
8.25 Turvallinen kehittämisen elinkaari
8.26 Sovelluksia koskevat turvallisuusvaatimukset
8.27 Turvallisen järjestelmäarkkitehtuurin ja -suunnittelun periaatteet
8.28 Turvallinen ohjelmointi
8.29 Tietoturvatestaus kehitys- ja hyväksyntävaiheissa
8.30 Ulkoistettu kehittäminen
8.31 Kehitys-, testaus- ja tuotantoympäristöjen erottaminen
8.32 Muutoksenhallinta
8.33 Testauksessa käytettävät tiedot
8.34 Tietojärjestelmien suojaus auditointitestauksen aikana

Liite A Attribuuttien käyttö (opastava)
Liite B Standardin ISO/IEC 27002:2022 (tämä asiakirja) vastaavuus standardiin ISO/IEC 27002:2013 (opastava)

Kirjallisuus

Tuoteryhmä(t)

03.100.06 Tietoturvallisuuden hallintajärjestelmä »
03.100.12 Johtaminen. Hallintajärjestelmät »
03.100.70 Hallintajärjestelmät »
35.030 Tietoturvallisuus »
96.030.10 Tietoturvallisuuden hallintajärjestelmät »

Sidokset

Velvoittavat viittaukset

Tässä julkaisussa ei ole velvoittavia viittauksia

Tekninen komitea

CEN/CLC/JTC 13 Cybersecurity and Data Protection »

Vahvistuspäivä

18.11.2022

Julkaisupäivä

13.12.2022

Painos

2

Sivumäärä

322

Julkaisun kieli

suomi/englanti