Monessa pk-yrityksessä tietoturva on rakennettu pala palalta: käyttöoikeuksia hallitaan jotenkin, varmuuskopiot toimivat useimmiten ja ohjeita on siellä täällä. Ongelma tulee vastaan viimeistään silloin, kun asiakas kysyy näyttöä tekemisestä, johto haluaa tilannekuvan tai sertifiointiin valmistautuminen alkaa. Silloin tarvitaan järjestelmällinen tapa tarkistaa, mitä oikeasti tehdään ja vastaako tekeminen ISO 27001 -standardin vaatimuksia.
Tässä artikkelissa käymme läpi, miten auditoit tietoturvasi käytännössä ISO 27001:n mukaan. Saat selkeän etenemismallin, auditoinnin tarkistuslistan, esimerkin aikataulusta sekä yleisimmät sudenkuopat, jotta auditointi tuottaa muutakin kuin mapillisen havaintoja.
Edellytykset
- Määritelty soveltamisala: mitä liiketoimintaa, toimipisteitä, järjestelmiä ja palveluita auditointi koskee
- Nimetty vastuuhenkilö auditoinnin koordinointiin, esimerkiksi IT-päällikkö, laatupäällikkö tai tietoturvavastaava
- Saatavilla keskeiset dokumentit: riskiarviointi, tietoturvapolitiikka, käyttöoikeusohjeet, poikkeamien käsittely ja toimittajalista
- Vähintään 1–2 työpäivää valmisteluun ja 0,5–1 työpäivää itse auditointiin pienessä organisaatiossa
- Päätös siitä, miten havainnot käsitellään ja korjaavat toimet suljetaan, esimerkiksi kuukausittaisessa johtoryhmä- tai tietoturvakatsauksessa
Mitä ISO 27001 -auditointi käytännössä tarkoittaa?
Auditointi tarkoittaa järjestelmällistä tarkastusta, jossa arvioidaan, täyttääkö organisaation tietoturvan hallintajärjestelmä standardin, omien linjausten ja käytännön toiminnan vaatimukset. Kyse ei ole vain dokumenttien lukemisesta. Auditoinnissa verrataan kolmea asiaa toisiinsa:
- mitä olette päättäneet tehdä
- mitä ISO 27001 edellyttää
- mitä arjessa oikeasti tapahtuu
Hyvä auditointi vastaa ainakin seuraaviin kysymyksiin:
- Onko riskejä tunnistettu ja käsitelty?
- Ovatko kontrollit eli suojaavat käytännöt käytössä?
- Noudatetaanko sovittuja toimintatapoja johdonmukaisesti?
- Löytyykö tekemisestä näyttöä, kuten lokit, hyväksynnät, koulutusmerkinnät tai tiketit?
- Reagoidaanko poikkeamiin ja parannetaanko toimintaa?
ISO 27001:n näkökulmasta auditointi ei ole kertaluonteinen projekti, vaan osa jatkuvaa parantamista. Käytännössä tämä tarkoittaa, että sisäinen auditointi kannattaa tehdä vähintään 1 kerran vuodessa, ja korkean riskin alueet, kuten käyttöoikeudet tai toimittajahallinta, voidaan tarkistaa kvartaaleittain.
Huomio
ISO 27001 ei tarkoita, että jokainen standardin liitteen kontrolli toteutetaan samalla tavalla kaikissa yrityksissä. Auditoinnissa arvioidaan ennen kaikkea, ovatko valitut kontrollit perusteltuja oman riskiympäristönne kannalta ja toimivatko ne käytännössä.
Mitä kannattaa auditoida ensin?
Jos yrität tarkistaa kaiken yhdellä kertaa, auditoinnista tulee helposti raskas eikä tärkein erotu. Pk-yrityksessä kannattaa aloittaa niistä osa-alueista, joissa riski on suurin tai joissa asiakkaat kysyvät näyttöä useimmin.
Hyvä ensimmäinen auditointikierros kattaa yleensä nämä 3–5 keskeistä aluetta:
| Osa-alue | Mitä tarkistetaan | Esimerkki näytöstä | Suositeltu tiheys |
|---|---|---|---|
| Käyttöoikeuksien hallinta | Myöntäminen, muutokset, poistot | HR-lähtöilmoitus, AD-ryhmät, tiketit | Kvartaaleittain |
| Riskienhallinta | Riskit, käsittelypäätökset, seuranta | Riskirekisteri, toimenpidelista | 2 kertaa vuodessa |
| Poikkeamien hallinta | Tietoturvapoikkeamien tunnistus ja käsittely | Incident-tiketit, juurisyyanalyysi | Kvartaaleittain |
| Toimittajahallinta | Sopimukset, vaatimukset, arvioinnit | DPA:t, toimittaja-arvioinnit | 1 kerran vuodessa |
| Varmuuskopiot ja palautus | Varmistukset, testipalautukset | Backup-raportit, palautustesti | 2–4 kertaa vuodessa |
Aloita kysymällä itseltäsi: missä virhe näkyisi nopeimmin asiakkaalle, liiketoiminnalle tai viranomaiselle? Jos esimerkiksi työntekijän tunnukset jäävät voimaan työsuhteen päätyttyä, kyse on konkreettisesta riskistä. Silloin auditoinnissa kannattaa tarkistaa, poistetaanko tunnukset oikeasti 24 tunnin sisällä lähdöstä.
Millaista näyttöä auditoija tarvitsee?
Yksi yleisimmistä väärinkäsityksistä on, että auditointi on dokumenttien tarkastusta. Dokumentit ovat vasta alku. ISO 27001 -auditoinnissa tarvitaan näyttöä siitä, että sovitut käytännöt toteutuvat.
Kerää auditointiin näyttöä vähintään näistä lähteistä:
- ohjeet ja politiikat
- järjestelmien lokit ja raportit
- tiketti- tai palvelunhallintajärjestelmän merkinnät
- koulutus- ja perehdytysmerkinnät
- sopimukset ja hyväksynnät
- haastattelut vastuuhenkilöiden kanssa
- pistokokeet, esimerkiksi 5–10 käyttäjätilin tarkistus
Esimerkiksi käyttöoikeuksien hallinnassa pelkkä ohje “esihenkilö hyväksyy tunnukset” ei riitä. Auditoija tarkistaa muutaman toteutuneen tapauksen: kuka pyysi, kuka hyväksyi, milloin tunnus avattiin ja milloin se poistettiin. Näin näet nopeasti, onko prosessi oikeasti hallinnassa.
Vinkki
Valitse jokaisesta auditointikohteesta yksi pieni otos, esimerkiksi 3 poikkeamaa, 5 käyttäjää tai 2 toimittajaa. Pieni mutta todennettava otanta paljastaa yleensä enemmän kuin yleisluontoinen keskustelu.
Rajaa auditoinnin kohde ja tavoite
Määritä ensin, mitä auditoit ja miksi. Pienessä organisaatiossa toimiva rajaus on esimerkiksi “käyttöoikeuksien hallinta ja poistoprosessi” tai “tietoturvapoikkeamien käsittely viimeisen 12 kuukauden ajalta”. Kirjaa samalla auditointikriteerit: ISO 27001:n vaatimukset, omat ohjeenne ja mahdolliset asiakasvaatimukset.
Valmistele tarkistuslista standardin ja oman toiminnan pohjalta
Rakenna käytännön tarkistuslista, jossa jokainen kysymys johtaa todennettavaan näyttöön. Esimerkiksi: onko riskiarviointi päivitetty viimeisen 12 kuukauden aikana, onko käyttöoikeuksille hyväksyjä nimetty ja onko poistot tehty sovitussa ajassa. Pidä lista lyhyenä: 10–20 kysymystä per auditointikohde riittää useimmille pk-yrityksille.
Haastattele vastuuhenkilöt ja tarkista näytöt
Käy auditointi läpi niiden henkilöiden kanssa, jotka oikeasti tekevät työn. Haastattele esimerkiksi IT:tä, HR:ää, palveluomistajaa ja tarvittaessa johtoa. Tarkista samalla dokumentit, lokit ja pistokokeet, jotta et jää pelkkien kuvausten varaan.
Kirjaa havainnot selkeästi ja luokittele ne
Jaa havainnot vähintään kolmeen luokkaan: poikkeama, kehityskohde ja vahvuus. Hyvä kirjaus kertoo, mitä havaittiin, mihin vaatimus perustuu, mikä riski asiasta seuraa ja mitä pitäisi tehdä. Esimerkiksi: “Kahdessa viidestä tarkistetusta tapauksesta käyttäjätunnus poistettiin yli 72 tunnin kuluttua työsuhteen päättymisestä, vaikka tavoite on 24 tuntia.”
Sovi korjaavat toimet, omistajat ja määräajat
Auditointi tuottaa arvoa vasta, kun havainnot johtavat muutoksiin. Määritä jokaiselle poikkeamalle vastuuhenkilö, toimenpide ja määräaika, esimerkiksi 30 päivää pienille korjauksille ja 60–90 päivää laajemmille muutoksille. Tarkista sulkeminen myöhemmin uudella näytöllä, ei pelkällä ilmoituksella.
Esimerkki auditoinnin aikataulusta pk-yrityksessä
Kun auditointi pilkotaan selkeisiin vaiheisiin, se ei kuormita organisaatiota kohtuuttomasti. Alla oleva malli toimii hyvin yrityksessä, jossa on 20–250 työntekijää ja rajattu ISO 27001 -soveltamisala.
| Viikko | Tehtävä | Vastuu | Tavoite |
|---|---|---|---|
| 1 | Kohteen rajaus ja aikataulutus | Auditoinnin vetäjä | Päätetty kohde ja osallistujat |
| 1 | Tarkistuslistan valmistelu | Auditoinnin vetäjä | 10–20 auditointikysymystä |
| 2 | Dokumenttien keruu | Kohdealueen omistajat | Tarvittava näyttö koottu |
| 2 | Haastattelut ja pistokokeet | Auditoija | Havainnot kirjattu |
| 3 | Raportointi ja luokittelu | Auditoija | Poikkeamat ja kehityskohteet näkyviin |
| 4 | Korjaavien toimien sopiminen | Johto + omistajat | Vastuut ja määräajat päätetty |
| 8–12 | Seurantatarkistus | Auditoinnin vetäjä | Korjaukset suljettu tai eskaloitu |
Jos resursseja on vähän, tee mieluummin 4 pientä auditointia vuodessa kuin yksi liian laaja. Näin löydökset ehtivät myös korjaantua ennen seuraavaa kierrosta.
Yleisimmät virheet auditoinnissa
Moni auditointi epäonnistuu samoista syistä. Tunnistatko näistä jonkin omasta arjestanne?
- Auditointi tehdään vain sertifiointia varten, ei johtamisen työkaluksi.
- Tarkistetaan dokumentit, mutta ei käytännön toteutusta.
- Havainnot kirjataan liian ympäripyöreästi ilman määräaikaa tai omistajaa.
- Auditoija tarkastaa oman työnsä ilman riippumatonta näkökulmaa.
- Koko standardi yritetään käydä läpi kerralla, vaikka tärkeimmät riskit jäisivät pinnalle.
Erityisen yleinen virhe on kopioida tarkistuslista suoraan mallipohjasta. Silloin auditointi ei huomioi omaa ympäristöä, kuten pilvipalveluita, alihankkijoita tai etätyötä. ISO 27001 toimii parhaiten silloin, kun auditointi sidotaan omaan riskiarviointiin ja liiketoiminnan todellisuuteen.
Varoitus
Yleinen sudenkuoppa on kirjata havainto muodossa “prosessia tulee kehittää”. Tällainen kirjaus ei johda tekemiseen. Kirjaa aina mitä puuttuu, missä se näkyi, kuinka monessa tapauksessa ja mihin päivään mennessä korjaus tehdään.
Kannattaako auditointi tehdä itse vai ulkopuolisen avulla?
Sisäinen auditointi voidaan tehdä omalla tiimillä, kunhan riippumattomuus toteutuu riittävästi. Käytännössä tämä tarkoittaa, että esimerkiksi IT-päällikkö ei mielellään auditoi yksin omaa käyttöoikeusprosessiaan, vaan mukana on toinen henkilö, kuten laatupäällikkö, tietoturvavastaava tai ulkopuolinen asiantuntija.
Alla yksinkertainen vertailu auttaa valitsemaan sopivan mallin:
| Vaihtoehto | Sopii tilanteeseen | Hyödyt | Rajoitteet |
|---|---|---|---|
| Oma sisäinen auditointi | Perusprosessi on jo olemassa | Edullinen, nopea, opettaa organisaatiota | Sokeat pisteet ja riippumattomuushaaste |
| Ulkopuolinen auditointi | Ensimmäinen kierros tai valmistautuminen sertifiointiin | Objektiivinen näkemys, vertailukokemus | Korkeampi kustannus |
| Yhdistelmämalli | Pk-yritys, joka haluaa jatkuvuutta | Oma tiimi oppii, asiantuntija sparraa | Vaatii koordinointia |
Monelle pk-yritykselle toimivin ratkaisu on yhdistelmämalli: sisäiset tarkistukset tehdään säännöllisesti, ja ulkopuolinen asiantuntija käy läpi kokonaisuuden esimerkiksi 1 kerran vuodessa. Tällöin auditointi pysyy kevyenä, mutta laatu ei jää oman näkemyksen varaan.
Tietoturvapankin kaltaisessa ratkaisussa etu on se, että auditoinnin vaatima aineisto, vastuut ja toimenpiteet pysyvät samassa paikassa. Se vähentää aikaa, joka muuten kuluu dokumenttien etsimiseen eri kansioista, sähköposteista ja tikettijärjestelmistä.
Miten auditoinnista tehdään jatkuva käytäntö?
Paras auditointi ei ole vuosittainen paniikkiharjoitus, vaan osa normaalia johtamista. Kun rytmi on selkeä, auditointi ei tunnu erilliseltä projektilta.
Käytännössä tämä onnistuu näin:
- tee vuosikello, jossa on 4–6 tarkistuspistettä vuodessa
- seuraa vähintään 3 mittaria, kuten avoimet poikkeamat, myöhästyneet käyttöoikeuspoistot ja toteutuneet koulutukset
- vie havainnot johdon katselmukseen vähintään 1–2 kertaa vuodessa
- tarkista, että korjaavat toimet suljetaan näytöllä, ei oletuksella
Esimerkiksi pieni mutta toimiva mittaristo voi näyttää tältä:
| Mittari | Tavoite | Seurantatiheys |
|---|---|---|
| Käyttöoikeuksien poistot määräajassa | 95 % 24 tunnin sisällä | Kuukausittain |
| Korkean riskin poikkeamien käsittely | 100 % 7 päivän sisällä | Kuukausittain |
| Pakollisen tietoturvakoulutuksen suoritusaste | 98 % 30 päivän sisällä | Kvartaaleittain |
| Avoimet auditointipoikkeamat | 0 kriittistä, muut sovitussa aikataulussa | Kuukausittain |
Kun mittarit ovat näkyvissä, auditointi muuttuu jälkikäteisestä tarkastuksesta ennakoivaksi ohjaukseksi. Se on juuri se kohta, jossa ISO 27001 alkaa tuottaa liiketoimintahyötyä.
Yhteenveto
- ISO 27001 -auditointi vertailee vaatimuksia, omia käytäntöjä ja arjen toteutusta toisiinsa.
- Aloita 3–5 tärkeimmästä riskialueesta, kuten käyttöoikeuksista, poikkeamista ja varmuuskopioista.
- Kerää aina todennettavaa näyttöä: dokumenttien lisäksi lokit, tiketit, haastattelut ja pistokokeet.
- Kirjaa havainnot täsmällisesti ja määritä jokaiselle korjaavalle toimelle omistaja sekä määräaika, esimerkiksi 30–90 päivää.
- Tee auditoinnista jatkuva käytäntö vuosikellon ja selkeiden mittareiden avulla, ei vain sertifioinnin vuoksi.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.