Kolmansien osapuolien riskit ovat monessa pk-yrityksessä suurempia kuin omat sisäiset riskit. Kun käytätte pilvipalveluja, ulkoistettua IT-tukea, tilitoimistoa, ohjelmistokumppaneita tai alihankkijoita, osa tiedoista, järjestelmistä ja prosesseista on käytännössä muiden hallinnassa. Jos toimittajan käyttöoikeudet jäävät voimaan liian pitkäksi aikaa, varmuuskopiointi ei toimi tai sopimuksesta puuttuvat tietoturvavaatimukset, seuraukset näkyvät lopulta teidän liiketoiminnassanne.
Tässä artikkelissa käymme läpi, miten kolmansien osapuolien riskit hallitaan ISO 27001 -viitekehyksen avulla käytännössä. Saat selkeän etenemismallin, esimerkit arviointikriteereistä, sopivat mittarit ja konkreettiset askeleet, joilla voit rakentaa toimittajahallinnan ilman raskasta byrokratiaa.
Mitä kolmansien osapuolien riskit tarkoittavat käytännössä?
Kolmas osapuoli tarkoittaa organisaation ulkopuolista tahoa, jolla on vaikutus tietoihin, järjestelmiin tai palvelun jatkuvuuteen. Se voi olla esimerkiksi pilvipalveluntarjoaja, IT-kumppani, ohjelmistotoimittaja, konsultti, logistiikkakumppani tai henkilöstövuokrausyritys.
Riskit eivät synny vain siitä, että toimittaja tekee virheen. Ne syntyvät usein myös siitä, ettei yritys itse tiedä, mitä toimittaja käsittelee, millä ehdoilla ja millä suojaustasolla. Kysy itseltäsi: tiedättekö tällä hetkellä varmasti, ketkä kaikki käsittelevät asiakasdataa, missä sitä säilytetään ja kuka poistaa käyttöoikeudet, kun yhteistyö päättyy?
Tyypillisiä kolmansien osapuolien riskejä ovat:
- toimittajalla on pääsy luottamuksellisiin tietoihin ilman selkeää tarvetta
- sopimuksista puuttuvat tietoturva- ja jatkuvuusvaatimukset
- alihankkijaketju jää kokonaan näkyvyyden ulkopuolelle
- palvelukatko toimittajalla keskeyttää oman liiketoiminnan
- toimittajan henkilöstön käyttöoikeuksia ei poisteta 24 tunnin sisällä yhteistyön päättymisestä
- tietoturvaloukkauksista ilmoittaminen viivästyy yli sovitun ajan, esimerkiksi yli 12–24 tuntia
ISO 27001 auttaa siksi, että se tuo toimittajahallintaan rakenteen. Sen sijaan että arvioisitte toimittajia mutu-tuntumalla, rakennatte hallintajärjestelmän, jossa riskit tunnistetaan, vaatimukset määritellään, vastuut nimetään ja seuranta tehdään säännöllisesti.
Huomio
ISO 27001 ei tarkoita, että jokainen toimittaja pitäisi auditoida raskaasti. Ajatus on suhteuttaa vaatimukset riskiin: kriittinen pilvipalvelu arvioidaan tarkemmin kuin toimistotarviketoimittaja.
Miksi ISO 27001 toimii toimittajariskien hallinnassa?
ISO 27001 on tietoturvan hallintajärjestelmän standardi. Käytännössä se auttaa rakentamaan toistettavan mallin sille, miten tietoturvaa johdetaan, mitataan ja parannetaan. Kolmansien osapuolien näkökulmasta tärkein hyöty on se, että toimittajahallinta ei jää yksittäisten sopimusten tai henkilöiden muistin varaan.
Kun toimittajariskit sidotaan osaksi hallintajärjestelmää, saat vähintään kolme hyötyä:
- päätöksenteko nopeutuu, koska arviointikriteerit ovat valmiina
- riskit näkyvät johdolle samalla tavalla kuin muutkin liiketoimintariskit
- auditoinneissa ja asiakaskyselyissä pystytte näyttämään, miten toimittajia hallitaan käytännössä
Moni pk-yritys huomaa tässä kohtaa, että sama toimittaja on mukana useassa kriittisessä prosessissa. Esimerkiksi yksi SaaS-palvelu voi sisältää asiakasdatan, käyttäjähallinnan ja raportoinnin. Jos palvelu kaatuu 4 tunniksi, vaikutus ei ole vain tekninen vaan myös kaupallinen.
Alla on yksinkertainen tapa luokitella toimittajia riskitason mukaan.
| Riskitaso | Esimerkki toimittajasta | Käsiteltävä tieto | Vaadittu arviointi | Tarkistusväli |
|---|---|---|---|---|
| Matala | Toimistotarviketoimittaja | Ei luottamuksellista tietoa | Perustiedot ja sopimuksen tarkistus | 24 kk |
| Keskitaso | Tilitoimisto tai HR-kumppani | Henkilötiedot, taloustiedot | Kysely, sopimusvaatimukset, vastuuhenkilö | 12 kk |
| Korkea | Pilvipalvelu, IT-ulkoistus, konesali | Asiakasdata, käyttöoikeudet, tuotantojärjestelmät | Riskianalyysi, tietoturvadokumentit, jatkuvuusvaatimukset | 6–12 kk |
| Kriittinen | Ydinjärjestelmän toimittaja | Liiketoimintakriittinen ja luottamuksellinen tieto | Laaja arviointi, johdon hyväksyntä, poikkeamaseuranta | 3–6 kk |
Mitä toimittajilta kannattaa vaatia?
Yksi yleisimmistä virheistä on luottaa siihen, että tunnettu toimittaja on automaattisesti turvallinen. Tunnettu brändi ei kuitenkaan korvaa omaa arviointia. Teidän pitää määritellä, mitä vähimmäisvaatimuksia toimittajan on täytettävä ennen yhteistyön alkua ja sen aikana.
Hyvä lähtökohta on rakentaa toimittajavaatimukset neljään koriin:
- tietoturva: käyttöoikeudet, lokitus, salaus, haavoittuvuuksien hallinta
- jatkuvuus: varmistukset, palautusajat, häiriöviestintä, palvelutasot
- sopimukset: tietojenkäsittelyehdot, vastuut, auditointioikeus, alihankkijat
- seuranta: katselmukset, poikkeamien raportointi, mittarit, korjaavat toimet
Käytännössä voit pyytää toimittajalta esimerkiksi seuraavat asiat:
- kuvaus siitä, missä data sijaitsee
- tieto mahdollisista alihankkijoista
- prosessi tietoturvaloukkausten ilmoittamiseen, esimerkiksi ilmoitus 12 tunnin sisällä havainnosta
- kuvaus siitä, miten käyttöoikeudet poistetaan, esimerkiksi 24 tunnin sisällä työsuhteen tai toimeksiannon päättymisestä
- tiedot varmuuskopioinnista ja palautustestauksesta, esimerkiksi testaus vähintään kerran vuodessa
- mahdollinen sertifiointi, kuten ISO 27001, tai muu näyttö tietoturvan hallinnasta
Varoitus
Yleinen virhe on kopioida sama vaatimuslista kaikille toimittajille. Se johtaa turhaan työhön ja siihen, että kriittiset toimittajat eivät erotu massasta. Riskiperusteinen malli toimii paremmin.
Miten vastuut kannattaa jakaa organisaatiossa?
Toimittajariskien hallinta epäonnistuu usein siksi, että kaikki olettavat jonkun muun hoitavan sen. Hankinta katsoo hintaa, IT katsoo tekniikkaa, liiketoiminta katsoo käytettävyyttä ja johto olettaa, että kokonaisuus on hallussa. ISO 27001:n näkökulmasta vastuut pitää nimetä selkeästi.
Pienessäkin organisaatiossa riittää kevyt malli, kunhan jokaisella toimittajalla on omistaja. Omistaja ei tee kaikkea itse, mutta vastaa siitä, että arviointi, hyväksyntä ja seuranta tapahtuvat.
| Tehtävä | Vastuutaho | Käytännön tehtävä | Tavoiteaika |
|---|---|---|---|
| Toimittajan luokittelu | Palvelun omistaja | Määrittää riskitason ja kriittisyyden | 2 arkipäivää hankintapyynnöstä |
| Tietoturva-arviointi | IT / tietoturvavastaava | Tarkistaa kontrollit ja dokumentit | 5 arkipäivää |
| Sopimusehtojen tarkistus | Johto / hankinta / lakikumppani | Varmistaa tietoturva- ja jatkuvuusehdot | Ennen allekirjoitusta |
| Hyväksyntä | Nimetty päättäjä | Hyväksyy korkean riskin toimittajat | Ennen käyttöönottoa |
| Seuranta | Toimittajan omistaja | Katselmoi poikkeamat ja muutokset | 6–12 kk välein |
Jos käytössä on Tietoturvapankki, vastuut ja katselmukset on helpompi pitää näkyvissä yhdessä paikassa. Tämä on erityisen hyödyllistä silloin, kun samaan toimittajaan liittyy sekä teknisiä että sopimuksellisia vaatimuksia.
Käytännön etenemismalli ISO 27001:n avulla
Pelkkä teoria ei riitä, joten seuraavaksi konkreettinen malli. Jos aloitatte nyt, ensimmäinen toimiva versio voidaan rakentaa usein 2–6 viikossa riippuen toimittajien määrästä ja nykytilasta.
Listaa kaikki toimittajat, joilla on vaikutus tietoihin tai palveluihin
Kerää yhteen vähintään 10–20 keskeisintä toimittajaa tai kaikki toimittajat, joilla on pääsy tietoihin, järjestelmiin tai liiketoimintakriittisiin prosesseihin. Lisää listaan palvelun nimi, omistaja, käsiteltävä tieto, mahdollinen pääsy tuotantoympäristöön ja sopimuksen voimassaolo.
Luokittele toimittajat riskitason mukaan
Arvioi jokainen toimittaja vähintään neljällä kriteerillä: tiedon luottamuksellisuus, palvelun kriittisyys, henkilötietojen määrä ja riippuvuus alihankkijoista. Käytä yksinkertaista asteikkoa 1–3 per kriteeri ja nosta tarkempaan käsittelyyn toimittajat, joiden yhteispisteet ovat esimerkiksi 8–12.
Määritä vähimmäisvaatimukset ja tarkista sopimukset
Laadi riskitasoon sidottu vaatimuslista. Korkean riskin toimittajilta vaadi esimerkiksi tietoturvaloukkausten ilmoitus 12–24 tunnissa, käyttöoikeuksien poisto 24 tunnissa, vuosittainen palautustestaus ja näkyvyys alihankkijoihin ennen sopimuksen hyväksyntää.
Tee hyväksyntäprosessi ennen käyttöönottoa
Älä ota uutta toimittajaa käyttöön ennen kuin riskiluokitus, tietoturva-arviointi ja sopimusehdot on hyväksytty. Käytännössä tämä voi olla yksi hyväksyntälomake, jossa palvelun omistaja, IT ja päättäjä kuittaavat päätöksen ennen tuotantokäyttöä.
Seuraa toimittajia säännöllisesti ja reagoi muutoksiin
Sovi tarkistusrytmi riskitason mukaan ja seuraa vähintään poikkeamia, merkittäviä muutoksia, auditointihavaintoja ja sopimusten päättymisiä. Kriittisille toimittajille kannattaa pitää katselmus 3–6 kuukauden välein ja muille vähintään 12 kuukauden välein.
Vinkki
Jos toimittajia on paljon, aloita niistä 3–5 toimittajasta, joiden häiriö pysäyttäisi myynnin, asiakaspalvelun tai tuotannon. Näin saat nopeasti näkyvän parannuksen ilman, että projekti paisuu liian suureksi.
Esimerkki yksinkertaisesta pisteytysmallista
Pk-yritykselle riittää usein kevyt pisteytys, kunhan sitä käytetään johdonmukaisesti. Tarkoitus ei ole rakentaa täydellistä matemaattista mallia, vaan erottaa oikeasti kriittiset toimittajat muista.
| Kriteeri | 1 piste | 2 pistettä | 3 pistettä |
|---|---|---|---|
| Tiedon luottamuksellisuus | Julkinen tai vähäinen | Sisäinen | Luottamuksellinen / henkilötieto |
| Palvelun kriittisyys | Korvattavissa helposti | Vaikuttaa työhön | Keskeyttää liiketoiminnan |
| Käyttöoikeudet | Ei pääsyä järjestelmiin | Rajattu pääsy | Ylläpito- tai admin-pääsy |
| Alihankkijaketju | Ei alihankkijoita | Rajallinen käyttö | Useita alihankkijoita |
Tulkinta voi olla esimerkiksi tämä:
- 4–5 pistettä: kevyt arviointi
- 6–8 pistettä: normaali arviointi ja sopimustarkistus
- 9–12 pistettä: laaja arviointi, johdon hyväksyntä ja tiheä seuranta
Tärkeintä on, että pisteytys johtaa toimintaan. Jos korkean riskin toimittaja saa korkeat pisteet mutta mitään lisävaatimuksia ei aseteta, arviointi jää paperiharjoitukseksi.
Yleisimmät virheet, jotka kannattaa välttää
Moni organisaatio tekee toimittajahallintaa jo nyt, mutta hajanaisesti. Silloin ongelma ei ole täydellinen puute vaan se, ettei kokonaisuutta johdeta yhtenäisesti.
Vältä erityisesti nämä virheet:
- toimittajalistaa ei päivitetä, joten osa kriittisistä kumppaneista puuttuu kokonaan
- arviointi tehdään vain hankinnan alussa, mutta ei enää sopimuskauden aikana
- tietoturvavaatimukset eivät näy sopimuksissa tai palvelutasokuvauksissa
- korkean riskin toimittajille ei nimetä omistajaa
- poikkeamia ei seurata eikä korjaaville toimille aseteta määräaikaa, esimerkiksi 30 päivää
Hyvä käytännön tarkistuslista kuukausittaiseen seurantaan on lyhyt:
- onko uusia toimittajia otettu käyttöön ilman arviointia
- onko sopimuksia päättymässä seuraavan 90 päivän aikana
- onko toimittajilta tullut poikkeamia tai häiriöitä
- onko käyttöoikeuksia poistettu ajallaan
- onko kriittisille toimittajille pidetty sovittu katselmus
Miten tämä liittyy laajempaan hallintajärjestelmään?
Kolmansien osapuolien riskien hallinta ei ole irrallinen prosessi. Se liittyy suoraan riskienhallintaan, käyttöoikeuksien hallintaan, jatkuvuussuunnitteluun, poikkeamien käsittelyyn ja johdon katselmuksiin. Siksi ISO 27001 toimii hyvin: se yhdistää nämä yhdeksi johdettavaksi kokonaisuudeksi.
Jos organisaatiossa on jo kokemusta esimerkiksi ISO 9001 -johtamisjärjestelmästä, ajattelutapa on tuttu. Määritellään prosessi, vastuut, mittarit ja parantamisen rytmi. Sama logiikka toimii tietoturvassa. Softapankki Oy ja QMClouds Oy ovat rakentaneet hallintajärjestelmien tueksi ratkaisuja, joissa myös Laatupankki — Konsernin laadunhallinnan tuotemerkki — tuo tutun rakenteen johtamisjärjestelmien kehittämiseen.
Tietoturvapankki auttaa erityisesti siinä, että toimittajahallinnan dokumentit, riskit, vastuut ja katselmukset eivät jää erillisiin Excel-tiedostoihin. Kun kokonaisuus on yhdessä paikassa, myös auditointiin valmistautuminen helpottuu ja arjen tekeminen pysyy kevyempänä.
Yhteenveto
- Kolmansien osapuolien riskit kannattaa hallita riskiperusteisesti, ei samalla mallilla kaikille toimittajille.
- Aloita listaamalla toimittajat ja luokittelemalla ne esimerkiksi asteikolla 1–3 neljän keskeisen kriteerin mukaan.
- Korkean riskin toimittajille määritä selkeät vaatimukset, kuten ilmoitus poikkeamista 12–24 tunnissa ja käyttöoikeuksien poisto 24 tunnissa.
- Nimeä jokaiselle kriittiselle toimittajalle omistaja ja seuraa tilannetta säännöllisesti, esimerkiksi 3–12 kuukauden välein riskitason mukaan.
- ISO 27001 tuo toimittajahallintaan rakenteen, jolla riskit, sopimukset, vastuut ja seuranta pysyvät hallinnassa.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.