Monessa pk-yrityksessä tietoturvaa kehitetään ensin omien järjestelmien, käyttäjien ja prosessien näkökulmasta. Silti merkittävä osa riskeistä syntyy organisaation ulkopuolella: pilvipalveluissa, IT-kumppaneilla, ohjelmistotoimittajilla, tilitoimistoissa ja muissa alihankkijoissa, jotka käsittelevät tietoa tai vaikuttavat palvelun jatkuvuuteen. Jos yksi lenkki pettää, vaikutus näkyy nopeasti myös omassa liiketoiminnassa.
Tässä artikkelissa käymme läpi, mitä toimitusketjun tietoturva tarkoittaa ISO 27001:n näkökulmasta, mitä toimittajilta kannattaa käytännössä vaatia ja miten rakennat hallitun etenemismallin ilman raskasta byrokratiaa. Saat myös konkreettisen tavan priorisoida toimittajat, määrittää vastuut ja seurata, että sovitut käytännöt toimivat arjessa.
Miksi toimitusketju on ISO 27001:ssa niin keskeinen?
ISO 27001 on standardi, jonka avulla organisaatio rakentaa tietoturvan hallintajärjestelmän eli systemaattisen tavan tunnistaa riskejä, sopia pelisäännöistä ja seurata, että tietoturva toimii käytännössä. Toimitusketjun näkökulmasta ajatus on yksinkertainen: jos ulkoinen toimija pääsee tietoihisi, järjestelmiisi tai kriittisiin palveluihisi, sen riskit ovat myös sinun riskejäsi.
Pk-yrityksessä tämä näkyy usein hyvin konkreettisesti. CRM voi olla SaaS-palvelu, varmuuskopiot ulkoistetulla kumppanilla, palkanlaskenta tilitoimistolla ja asiakasprojektien kehitys alihankkijalla. Kysymys kuuluu: tiedätkö, kuka käsittelee mitäkin tietoa, millä ehdoilla ja kuinka nopeasti poikkeamiin reagoidaan?
Toimitusketjun tietoturvaa kannattaa tarkastella ainakin näiden neljän kysymyksen kautta:
- Mitä tietoa toimittaja käsittelee: esimerkiksi henkilötietoja, asiakassopimuksia tai tuotekehityksen aineistoa
- Mihin toimittaja pääsee käsiksi: tiedostoihin, tuotantoympäristöön, integraatioihin tai hallintatunnuksiin
- Kuinka kriittinen toimittaja on liiketoiminnalle: pysähtyykö palvelu, jos toimittaja ei toimi 24 tunnin aikana
- Millä tavalla toimittajan toimintaa valvotaan: sopimuksilla, auditoinneilla, raporteilla tai säännöllisillä katselmuksilla
Huomio
ISO 27001 ei tarkoita, että jokainen toimittaja pitäisi auditoida samalla tarkkuudella. Standardin ydin on riskiperusteisuus: keskity ensin niihin kumppaneihin, joilla on suurin vaikutus tietoturvaan tai liiketoiminnan jatkuvuuteen.
Mitä toimitusketjun tietoturva käytännössä kattaa?
Toimitusketjuun liittyvä tietoturva ei ole vain hankintasopimuksen liite. Se kattaa koko toimittajan elinkaaren: valinnan, käyttöönoton, sopimuskauden seurannan ja yhteistyön päättämisen. Jos jokin näistä vaiheista jää hoitamatta, riski jää helposti pysyväksi.
Käytännössä sinun kannattaa jakaa toimittajahallinta viiteen osa-alueeseen:
- Toimittajaluokittelu: ketkä ovat kriittisiä, ketkä tavanomaisia
- Ennakkotarkastus: mitä varmistetaan ennen sopimusta
- Sopimusvaatimukset: mitä kirjataan mustaa valkoiselle
- Jatkuva seuranta: mitä mitataan ja kuinka usein
- Poistuminen: miten pääsyoikeudet, tiedot ja vastuut päätetään hallitusti
Hyvä käytännön esimerkki on IT-palvelukumppani, jolla on ylläpitäjätunnukset yrityksen Microsoft 365 -ympäristöön. Tällöin ei riitä, että kumppani on "luotettava". Tarvitset vähintään dokumentoidut käyttöoikeuskäytännöt, lokitiedot muutoksista, poikkeamien ilmoitusajan ja menettelyn, jolla tunnukset poistetaan yhteistyön päättyessä.
Alla oleva taulukko auttaa hahmottamaan, miten toimittajia voi luokitella käytännössä.
| Toimittajaluokka | Esimerkki | Käsiteltävä tieto / pääsy | Suositeltu tarkastustaso | Katselmointiväli |
|---|---|---|---|---|
| Kriittinen | IT-ulkoistuskumppani, pilvi-infran toimittaja | Pääsy tuotantoon tai luottamukselliseen tietoon | Laaja arviointi, sopimusvaatimukset, vuosittainen tarkistus | 12 kk |
| Merkittävä | CRM-, HR- tai taloushallinnon SaaS | Henkilötiedot tai liiketoimintadata | Perusarviointi, tietoturvaliite, dokumenttien tarkistus | 12–24 kk |
| Tavanomainen | Markkinointityökalu, koulutuspalvelu | Rajallinen tieto, ei kriittistä pääsyä | Kevyt arviointi ja perustason sopimusehdot | 24 kk |
| Matala riski | Toimistotarviketoimittaja | Ei tietojenkäsittelyä | Ei erillistä tietoturva-arviointia | Tarvittaessa |
Mitä toimittajalta kannattaa vaatia?
Moni yritys kysyy toimittajalta vain yhden asian: "Onko teillä ISO 27001 -sertifikaatti?" Se on hyödyllinen tieto, mutta yksinään liian kapea. Sertifikaatti kertoo, että toimittajalla on hallintamalli, mutta ei automaattisesti sitä, miten juuri sinun palvelusi, tietosi ja käyttötilanteesi on suojattu.
Parempi tapa on pyytää toimittajalta rajattu mutta vertailukelpoinen tietopaketti. Tavoite ei ole kerätä mapillista dokumentteja, vaan saada päätöksenteon kannalta olennaiset vastaukset.
Pyydä kriittisiltä tai merkittäviltä toimittajilta vähintään nämä tiedot:
- Kuvaus siitä, mitä tietoja toimittaja käsittelee ja missä ne sijaitsevat
- Tieto alihankkijoista, jotka osallistuvat palvelun tuottamiseen
- Kuvaus käyttöoikeuksien hallinnasta ja siitä, miten tunnukset poistetaan esimerkiksi 24 tunnin sisällä työsuhteen päättyessä
- Menettely tietoturvapoikkeamien ilmoittamiseen, esimerkiksi ilmoitus asiakkaalle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa havainnosta
- Tieto varmuuskopioista, palautustestauksesta ja palvelun jatkuvuudesta
- Näyttöä valvonnasta, kuten auditointiraportti, sertifikaatti tai täytetty tietoturvakysely
Jos toimittaja käsittelee henkilötietoja, varmista lisäksi ainakin nämä:
- Onko henkilötietojen käsittelysopimus ajan tasalla
- Missä maissa tietoja käsitellään
- Käytetäänkö EU/ETA-alueen ulkopuolisia alikäsittelijöitä
- Miten rekisteröityjen oikeudet ja poistopyynnöt toteutetaan
Varoitus
Yleinen virhe on hyväksyä toimittajan vakioehdot sellaisenaan ilman tietoturvaliitettä. Tällöin poikkeamien ilmoitusajat, auditointioikeudet ja vastuut jäävät usein epäselviksi juuri silloin, kun niitä eniten tarvitaan.
Miten mittaat, että toimitusketjun tietoturva toimii?
Toimitusketjun hallinta epäonnistuu usein siksi, että sitä tehdään vain hankinnan hetkellä. ISO 27001:n näkökulmasta olennaista on jatkuva seuranta: onko toimittajarekisteri ajan tasalla, onko kriittiset toimittajat arvioitu ja reagoidaanko poikkeamiin sovitusti?
Hyvä uutinen on, että pk-yritykselle riittää aluksi muutama selkeä mittari. Et tarvitse kymmeniä KPI-lukuja, jos kolme tai neljä kertoo tilanteen riittävän hyvin.
Seuraa esimerkiksi näitä mittareita kuukausittain tai neljännesvuosittain:
| Mittari | Tavoitetaso | Miksi tämä on hyödyllinen |
|---|---|---|
| Kriittisistä toimittajista arvioitu | 100 % | Näet heti, onko suurimmat riskit käsitelty |
| Toimittajista, joilla on voimassa oleva tietoturvaliite | 90–100 % kriittisistä ja merkittävistä | Sopimusohjaus pysyy kunnossa |
| Käyttöoikeuksien poistonopeus yhteistyön päättyessä | 24 h | Vähentää tarpeettomia pääsyjä |
| Poikkeamien ilmoitusaika toimittajilta | Sovitun SLA:n mukainen, esim. 24–72 h | Kertoo, toimiiko reagointimalli |
| Katselmoidut kriittiset toimittajat vuodessa | 100 % | Varmistaa jatkuvan seurannan |
Konkreettinen käytäntö on pitää yksi keskitetty toimittajarekisteri. Siihen kirjataan vähintään omistaja, riskiluokka, käsiteltävä tieto, sopimusten tila, viimeisin arviointi ja seuraava tarkistuspäivä. Kun tieto on yhdessä paikassa, et ole yhden henkilön muistin varassa.
Näin etenet käytännössä ISO 27001:n mukaisesti
Listaa toimittajat, joilla on tietoturvavaikutus
Kerää 1–2 viikon aikana lista kaikista toimittajista, joilla on pääsy tietoihin, järjestelmiin tai kriittisiin palveluihin. Rajaa mukaan ainakin IT-kumppanit, SaaS-palvelut, taloushallinto, HR-järjestelmät ja alihankkijat, jotka käsittelevät asiakasdataa.
Luokittele toimittajat riskin perusteella
Arvioi jokaisesta toimittajasta kolme asiaa: käsiteltävän tiedon luottamuksellisuus, pääsyn laajuus ja liiketoimintavaikutus häiriötilanteessa. Käytä yksinkertaista asteikkoa 1–3 ja nosta tarkempaan käsittelyyn ne toimittajat, joiden yhteispisteet ovat esimerkiksi 7–9.
Määritä vähimmäisvaatimukset sopimuksiin
Laadi kriittisille ja merkittäville toimittajille vakioitu tietoturvaliite. Sisällytä siihen vähintään poikkeamien ilmoitusajat, käyttöoikeuksien hallinta, alihankkijoiden käyttö, tietojen palautus tai poisto sopimuksen päättyessä sekä oikeus pyytää näyttöä sovituista käytännöistä.
Ota käyttöön vuosikello seurantaa varten
Sovi, kuka tarkistaa kriittiset toimittajat ja milloin. Käytännössä toimiva malli on katselmoida kriittiset toimittajat 12 kuukauden välein ja merkittävät toimittajat 12–24 kuukauden välein sekä aina merkittävän muutoksen jälkeen.
Harjoittele myös toimittajan aiheuttama poikkeama
Valitse yksi realistinen skenaario, kuten pilvipalvelun käyttökatko tai kumppanin tunnuksen väärinkäyttö, ja käy läpi toimintamalli 30–60 minuutin pöytäharjoituksena. Näin huomaat nopeasti, puuttuuko yhteystietoja, vastuita tai päätöksentekopolkuja.
Vinkki
Aloita 3–5 keskeisestä riskitoimittajasta. Kun malli toimii heidän kanssaan, sen laajentaminen muihin toimittajiin on huomattavasti helpompaa kuin yrittää arvioida koko toimittajakanta kerralla.
Yleisimmät virheet pk-yrityksissä
Useimmat ongelmat eivät johdu siitä, ettei mitään tehtäisi, vaan siitä, että tekeminen on hajallaan. Hankinta tarkistaa sopimuksen, IT arvioi tekniset riskit ja liiketoiminta käyttää palvelua, mutta kokonaisomistaja puuttuu.
Tunnistatko omasta organisaatiostasi jonkin näistä?
- Toimittajista ei ole yhtä ajantasaista rekisteriä
- Kriittisiä toimittajia ei ole eroteltu matalan riskin toimittajista
- Sopimuksissa ei ole sovittuja poikkeamien ilmoitusaikoja
- Yhteistyön päättyessä tunnusten poisto jää manuaalisen muistamisen varaan
- Alihankkijaketju jää näkyvyyden ulkopuolelle
- Toimittajia arvioidaan vain kerran, eikä muutoksia seurata
Korjausliike on usein yllättävän pieni. Nimeä yksi omistaja, ota käyttöön yhteinen rekisteri ja sovi kvartaaleittain 30 minuutin katselmus, jossa käydään läpi uudet toimittajat, avoimet riskit ja tulevat tarkistukset.
Toimitusketjun tietoturva osaksi hallintajärjestelmää
Kun toimitusketjun tietoturva sidotaan osaksi hallintajärjestelmää, se ei jää irralliseksi tarkistuslistaksi. Se kytkeytyy riskiarviointiin, poikkeamien hallintaan, johdon katselmointiin ja jatkuvaan parantamiseen. Juuri tämä tekee ISO 27001:stä hyödyllisen myös pk-yritykselle: se tuo rakenteen, jonka avulla toimittajariskit pysyvät hallinnassa ilman, että kaikki riippuu yksittäisten henkilöiden kokemuksesta.
Jos organisaatiossasi on käytössä myös ISO 9001, saat lisähyötyä yhdistämällä toimittajahallinnan käytännöt. Laadunhallinnan puolella toimittajia arvioidaan usein toimitusvarmuuden ja laadun näkökulmasta, kun taas ISO 27001 tuo mukaan tietoturvan, jatkuvuuden ja tiedonkäsittelyn vaatimukset. Yhdessä nämä antavat huomattavasti realistisemman kuvan toimittajan kokonaisriskistä.
Softapankki Oy:n tuotteisiin kuuluva Tietoturvapankki auttaa rakentamaan tämän kokonaisuuden käytännössä. Jos organisaatiossa hyödynnetään myös Laatupankki-palvelua, jota kehittää QMClouds Oy, toimittajahallinnan prosesseja voidaan yhtenäistää laadun ja tietoturvan välillä ilman päällekkäistä työtä.
Yhteenveto
- Toimitusketjun tietoturva on osa ISO 27001:n riskienhallintaa, ei erillinen liite hankintasopimuksessa.
- Kaikkia toimittajia ei tarvitse arvioida samalla tavalla: priorisoi ensin 3–5 kriittisintä kumppania.
- Vähimmäisvaatimuksiin kannattaa sisällyttää käyttöoikeudet, poikkeamien ilmoitusajat, alihankkijat ja sopimuksen päättymisen menettelyt.
- Seuraa muutamaa selkeää mittaria, kuten arvioitujen kriittisten toimittajien osuutta ja tunnusten poistumista 24 tunnin sisällä.
- Kun toimittajahallinta liitetään osaksi hallintajärjestelmää, tietoturva pysyy hallinnassa myös muutostilanteissa.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.