ISO 27001 valvontakäynti jännittää monessa organisaatiossa, eikä syyttä. Jos dokumentaatio on hajallaan, vastuut epäselviä ja näyttö käytännön tekemisestä puutteellista, auditointipäivästä tulee helposti kiireinen ja kallis. Usein ongelma ei ole se, ettei asioita olisi tehty, vaan se, ettei niitä pystytä osoittamaan selkeästi.
Tässä artikkelissa käymme läpi, miten valmistaudut ISO 27001 -valvontakäyntiin niin, että tiedät mitä auditoija todennäköisesti kysyy, mitä näyttöä kannattaa kerätä etukäteen ja miten organisoit päivän ilman turhaa sähläystä. Saat sekä taustatiedon että konkreettisen etenemismallin, jota voit soveltaa heti omassa yrityksessäsi.
Mitä ISO 27001 valvontakäynti käytännössä tarkoittaa?
Valvontakäynti on sertifioinnin ylläpitoon liittyvä auditointi, jossa tarkastetaan, että organisaation tietoturvan hallintajärjestelmä toimii edelleen suunnitellusti. Kyse ei siis ole vain siitä, että dokumentit ovat olemassa, vaan siitä, että niitä käytetään, päivitetään ja seurataan arjessa.
Pk-yrityksessä tämä näkyy yleensä hyvin käytännöllisinä kysymyksinä. Auditoija voi pyytää nähtäväksi esimerkiksi riskienarvioinnin, poikkeamien käsittelyn, käyttöoikeuksien hallinnan tai johdon katselmuksen muistiot. Lisäksi hän haluaa usein nähdä, että sovitut käytännöt toteutuvat oikeasti.
Tyypillisesti valvontakäynnillä tarkastellaan ainakin seuraavia asioita:
- onko soveltamisala eli se, mitä ISO 27001 kattaa, edelleen ajantasainen
- onko riskienarviointi päivitetty esimerkiksi 12 kuukauden sisällä tai merkittävän muutoksen jälkeen
- onko sisäinen auditointi tehty suunnitelman mukaan
- onko johto käsitellyt tietoturvan tilaa vähintään 1 kerran vuodessa
- onko poikkeamat, havainnot ja korjaavat toimenpiteet dokumentoitu ja suljettu sovitussa ajassa
- onko valitut kontrollit perusteltu ja toteutettu käytännössä
Huomio
ISO 27001 valvontakäynti ei ole sama asia kuin ensisertifiointi. Auditoija olettaa, että perusrakenne on jo kunnossa ja keskittyy siihen, miten hallintajärjestelmä elää arjessa.
Missä yritykset yleensä kompastuvat?
Yleisin haaste ei ole yksittäinen puuttuva dokumentti, vaan kokonaisuuden epäjohdonmukaisuus. Riskirekisteri voi olla päivitetty, mutta siitä johdetut toimenpiteet eivät näy tehtävälistoissa. Käyttöoikeusprosessi voi olla kuvattu, mutta poistuneiden työntekijöiden tunnuksia ei ole poistettu 24 tunnin sisällä kuten oma ohje sanoo.
Toinen tyypillinen ongelma on se, että vastaukset ovat yhden henkilön varassa. Jos vain tietoturvavastaava osaa kertoa, miten asiat toimivat, auditoija saa helposti kuvan, ettei toimintamalli ole juurtunut organisaatioon.
Tarkista erityisesti nämä riskikohdat ennen auditointia:
- dokumentissa kuvattu prosessi ei vastaa nykyistä toimintaa
- mittarit on määritelty, mutta niitä ei seurata säännöllisesti
- sisäisen auditoinnin havainnot ovat auki ilman määräaikaa
- henkilöstön tietoturvakoulutuksista ei ole näyttöä viimeisen 12 kuukauden ajalta
- toimittajien arviointi on tehty kerran, mutta ei päivity sopimusmuutosten yhteydessä
- varmuuskopiointi on käytössä, mutta palautustestiä ei ole tehty esimerkiksi viimeisen 6–12 kuukauden aikana
Varoitus
Yleinen virhe on valmistella auditointia vain dokumenttien näkökulmasta. Jos käytännön näyttö puuttuu, kuten tiketit, hyväksynnät, lokit tai koulutusmerkinnät, hyväkin dokumentaatio jää vajaaksi.
Mitä näyttöä kannattaa kerätä valmiiksi?
Hyvä valmistautuminen tarkoittaa sitä, että keskeinen aineisto löytyy nopeasti yhdestä paikasta. Käytännössä tämä voi olla kansiorakenne, auditointia varten koottu työtila tai järjestelmä, kuten Tietoturvapankki, jossa dokumentit, tehtävät ja seuranta ovat samassa näkymässä.
Ajattele valmistautumista auditoijan näkökulmasta: jos hän kysyy asiasta, pystytkö näyttämään vastauksen 2–5 minuutissa? Jos et, aineisto on todennäköisesti liian hajallaan.
Seuraava taulukko auttaa hahmottamaan, mitä kannattaa kerätä valmiiksi:
| Tarkastettava alue | Esimerkkinäyttö | Suositeltu ajanjakso | Vastuuhenkilö |
|---|---|---|---|
| Riskienhallinta | riskirekisteri, käsittelysuunnitelma, hyväksynnät | viimeisin versio + muutokset 12 kk ajalta | tietoturvavastaava |
| Sisäinen auditointi | auditointisuunnitelma, raportti, korjaavat toimet | viimeisin auditointikierros | laatu- tai tietoturvavastaava |
| Johdon katselmus | muistio, päätökset, mittarit, resurssipäätökset | vähintään 1/vuosi | johto |
| Käyttöoikeuksien hallinta | avaus- ja poistopyynnöt, hyväksynnät, tarkistuslista | otanta viimeisen 3–6 kk ajalta | IT |
| Poikkeamien hallinta | poikkeamaloki, juurisyy, korjaavat toimet | viimeiset 12 kk | prosessin omistaja |
| Koulutus ja osaaminen | osallistujalistat, koulutusmateriaalit, kuittaukset | viimeiset 12 kk | HR / esihenkilöt |
| Toimittajahallinta | arvioinnit, sopimukset, tietoturvavaatimukset | aktiiviset toimittajat | hankinta / IT |
Miten organisoit auditointipäivän sujuvasti?
Valvontakäynti onnistuu paremmin, kun päivä on käsikirjoitettu etukäteen. Tämä ei tarkoita vastauksien harjoittelua ulkoa, vaan sitä, että oikeat ihmiset ovat paikalla oikeaan aikaan ja aineisto löytyy ilman viivettä.
Hyvä käytäntö on nimetä yksi pääkoordinaattori ja 2–4 avainhenkilöä, jotka vastaavat omista osa-alueistaan. Pk-yrityksessä nämä roolit ovat usein johto, IT, tietoturvasta vastaava henkilö sekä tarvittaessa HR tai asiakaspalvelu.
Suunnittele vähintään nämä asiat etukäteen:
- auditoinnin aikataulu tuntitasolla
- ketkä osallistuvat avauspalaveriin ja loppupalaveriin
- kuka näyttää dokumentit ja mistä ne löytyvät
- kuka vastaa teknisiin kysymyksiin, kuten lokituksesta tai varmuuskopioista
- miten mahdolliset lisäpyynnöt käsitellään päivän aikana
- missä kirjataan auditoijan havainnot ja jatkotoimet heti ylös
Vinkki
Pidä 30 minuutin sisäinen kenraaliharjoitus noin viikko ennen valvontakäyntiä. Käykää läpi kolme kysymystä: mitä auditoija todennäköisesti kysyy, kuka vastaa ja mistä näyttö löytyy.
Tee 2–4 viikon auditointikatselmus
Kokoa keskeiset vastuuhenkilöt yhteen ja käy läpi viimeisen 12 kuukauden muutokset: uudet järjestelmät, organisaatiomuutokset, poikkeamat ja avoimet toimenpiteet. Tavoite on tunnistaa 3–5 keskeistä riskiä tai puutetta, jotka pitää sulkea ennen valvontakäyntiä.
Päivitä kriittiset dokumentit ja varmista yhtenäisyys
Tarkista, että riskienarviointi, soveltamisala, soveltuvuuslausunto, sisäisen auditoinnin tulokset ja johdon katselmus ovat ajan tasalla. Varmista erityisesti, että dokumenteissa kuvatut käytännöt vastaavat nykyistä toimintaa eikä vanhoja järjestelmiä tai rooleja ole enää mukana.
Kerää käytännön näyttö valmiiksi auditointikansioon
Luo yksi selkeä näkymä tai kansiorakenne, josta löydät pyydetyt aineistot 2–5 minuutissa. Lisää mukaan esimerkiksi käyttöoikeuspyyntöjä, poistettujen tunnusten esimerkkejä, koulutuskuittauksia, poikkeamien käsittelyä ja palautustestin tuloksia.
Valmenna avainhenkilöt vastaamaan omasta työstään
Käy jokaisen osallistujan kanssa läpi hänen vastuunsa, viimeisimmät muutokset ja todennäköiset kysymykset. Riittää, että henkilö osaa kertoa selkeästi mitä tehdään, millä aikataululla ja miten toiminta todennetaan.
Sovi auditointipäivän pelisäännöt ja jälkitoimet
Nimeä yksi henkilö kirjaamaan havainnot, lisäpyynnöt ja määräajat reaaliajassa. Jos auditoija nostaa esiin poikkeaman, sopikaa jo saman päivän aikana omistaja ja tavoiteaika, esimerkiksi korjaava toimenpide käyntiin 5 työpäivän sisällä.
Kysymykset, joihin kannattaa valmistella vastaukset etukäteen
Auditoija ei yleensä etsi täydellisiä vastauksia, vaan johdonmukaista näyttöä siitä, että organisaatio hallitsee tietoturvaansa. Siksi kannattaa valmistella valmiiksi lyhyet, käytännönläheiset vastaukset yleisimpiin kysymyksiin.
Voitte vaikka testata nämä sisäisesti ennen auditointia:
- Miten tunnistatte ja arvioitte tietoturvariskit?
- Milloin riskienarviointi on viimeksi päivitetty?
- Miten varmistatte, että poistuvan työntekijän käyttöoikeudet suljetaan 24 tunnin sisällä?
- Miten henkilöstö koulutetaan tietoturva-asioihin ja missä siitä on näyttö?
- Mitä tapahtuu, kun tietoturvapoikkeama havaitaan?
- Miten johto seuraa tietoturvan tavoitteita ja mittareita?
- Miten arvioitte kriittisiä toimittajia?
- Milloin varmuuskopioiden palautus on viimeksi testattu?
Hyvä vastaus on usein lyhyt ja todennettava. Esimerkiksi: “Poistuvan työntekijän esihenkilö tekee palvelupyynnön, IT sulkee tunnukset saman työpäivän aikana ja kuittaus jää tikettijärjestelmään.” Tämä on paljon vahvempi kuin yleinen toteamus siitä, että “meillä on prosessi”.
Yleisimmät viime hetken korjaukset ennen valvontakäyntiä
Viimeisellä viikolla ei kannata rakentaa koko hallintajärjestelmää uusiksi. Sen sijaan kannattaa keskittyä puutteisiin, jotka vaikuttavat eniten auditoinnin sujuvuuteen ja löydösten määrään.
Tässä käytännöllinen priorisointimalli:
| Prioriteetti | Korjattava asia | Miksi juuri tämä? | Tavoiteaika |
|---|---|---|---|
| 1 | avoimet poikkeamat ilman omistajaa | näyttää hallinnan puutetta | nimeä omistaja heti |
| 2 | puuttuva johdon katselmus tai sisäinen auditointi | keskeinen ISO 27001 -vaatimus | järjestä ennen käyntiä |
| 3 | ristiriita dokumentin ja käytännön välillä | aiheuttaa lisäkysymyksiä | päivitä dokumentti 1 viikon sisällä |
| 4 | koulutusnäytön puutteet | helppo tarkastettava auditoijalle | kerää kuittaukset 3–5 päivässä |
| 5 | hajallaan oleva näyttö | hidastaa auditointia | kokoa kansio ennen käyntiä |
Jos kaikkea ei ehdi korjata, ole avoin. Auditoija arvostaa yleensä enemmän realistista tilannekuvaa ja selkeää korjaussuunnitelmaa kuin kiireessä tehtyä pintaremonttia.
Miten Tietoturvapankki helpottaa valmistautumista?
Monessa pk-yrityksessä suurin haaste ei ole ymmärryksen puute, vaan ajan puute. Kun dokumentit, tehtävät, vastuut ja seuranta ovat eri paikoissa, valvontakäyntiin valmistautuminen vie helposti useita työpäiviä. Silloin myös riski unohtaa jotain olennaista kasvaa.
Tietoturvapankki on rakennettu juuri tähän ongelmaan. Se yhdistää sovelluksen ja asiantuntijatuen niin, että ISO 27001 -hallintajärjestelmän ylläpito ei jää yksittäisten Excelien tai muistilappujen varaan. Kun riskit, toimenpiteet, dokumentit ja auditointinäyttö ovat hallitusti yhdessä paikassa, valvontakäyntiin valmistautuminen muuttuu projektista rutiiniksi.
Jos organisaatiossasi käytetään myös ISO 9001 -mukaista laadunhallintaa, sama ajattelutapa tukee molempia järjestelmiä. Tietoturvapankin taustalla toimivat Softapankki Oy ja QMClouds Oy, ja samaan konserniin kuuluu myös Laatupankki, joka on konsernin laadunhallinnan tuotemerkki.
Yhteenveto
- ISO 27001 valvontakäynti onnistuu parhaiten, kun dokumentit, näyttö ja vastuut ovat valmiina ennen auditointipäivää.
- Tarkista erityisesti riskienhallinta, sisäinen auditointi, johdon katselmus, käyttöoikeudet ja poikkeamien käsittely viimeisen 12 kuukauden ajalta.
- Hyvä tavoite on löytää pyydetty aineisto 2–5 minuutissa ja pystyä osoittamaan, miten käytäntö toimii arjessa.
- Valmenna 2–4 avainhenkilöä vastaamaan omista prosesseistaan selkeästi ja näyttöön perustuen.
- Älä tee viime hetkellä pintaremonttia, vaan priorisoi kriittiset puutteet ja dokumentoi korjaavat toimet realistisesti.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.