ISO 27001 vaatimukset selkokielellä aloittelijalle
ISO 27001 kiinnostaa monessa pk-yrityksessä vasta silloin, kun asiakas kysyy sertifikaatista, tarjouspyyntö vaatii tietoturvan hallintaa tai oma toiminta on kasvanut siihen pisteeseen, että henkilötiedot, asiakasdata ja käyttöoikeudet eivät enää pysy hallinnassa muistilappujen varassa. Ongelma ei yleensä ole haluttomuus tehdä asioita oikein, vaan se, että standardin vaatimukset näyttävät ensi silmäyksellä vaikeilta ja byrokraattisilta.
Tässä artikkelissa avaan, mitä ISO 27001 käytännössä vaatii selkokielellä. Saat ymmärrettävän kuvan siitä, mikä on pakollista, mitä yrityksessä pitää oikeasti tehdä ja miten voit lähteä liikkeelle ilman, että projekti paisuu heti 6–12 kuukauden jättihankkeeksi.
Mitä ISO 27001 oikeastaan vaatii?
ISO 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle. Hallintajärjestelmä tarkoittaa käytännössä yhteisiä pelisääntöjä, vastuita, dokumentteja ja seurantaa, joilla yritys suojaa tietoa suunnitelmallisesti eikä sattumalta.
Tärkeä oivallus aloittelijalle on tämä: ISO 27001 ei vaadi täydellistä tietoturvaa. Se vaatii, että tunnistat riskit, päätät miten hallitset niitä, toteutat sovitut toimet ja seuraat, toimivatko ne. Eli fokus ei ole paperissa vaan johdetussa tekemisessä.
ISO 27001:n ydinvaatimukset voi tiivistää viiteen kohtaan:
- määritä mitä toimintaa ja tietoja soveltamisala kattaa
- tunnista 3–5 keskeistä riskiä vähintään aloitusvaiheessa
- valitse riskien perusteella sopivat tietoturvakontrollit
- dokumentoi tärkeimmät käytännöt, vastuut ja päätökset
- seuraa säännöllisesti, että sovitut asiat myös toteutuvat
Jos mietit, kuulostaako tämä tutulta laadunhallinnasta, et ole väärässä. Sama ajattelutapa löytyy myös standardeista kuten ISO 9001: ensin määritellään toimintatapa, sitten toimitaan sen mukaan, lopuksi mitataan ja parannetaan.
Huomio
ISO 27001 ei tarkoita automaattisesti sertifiointia. Moni pk-yritys rakentaa ensin toimivan hallintajärjestelmän ja hakee sertifioinnin vasta myöhemmin, kun liiketoiminnan tarve sitä vaatii.
Keskeiset termit, jotka aloittelijan kannattaa ymmärtää
Standardi tuntuu vaikealta usein siksi, että siinä käytetään termejä, joita ei arjessa muuten käytetä. Kun nämä muutamat käsitteet ovat hallussa, kokonaisuus selkeytyy nopeasti.
Soveltamisala kertoo, mitä osaa yrityksestä ISO 27001 koskee. Se voi kattaa koko yrityksen tai esimerkiksi vain SaaS-palvelun tuotannon, asiakastuen ja siihen liittyvät tietojärjestelmät. Pk-yrityksessä on usein järkevää rajata alkuun selkeä kokonaisuus, jotta työ pysyy hallittavana.
Riskiarviointi tarkoittaa sitä, että arvioitte, mikä voi mennä pieleen, kuinka todennäköistä se on ja mikä vaikutus sillä olisi liiketoimintaan. Esimerkiksi yhden kriittisen pilvipalvelun käyttökatko voi pysäyttää myynnin, asiakastyön tai toimitukset useaksi tunniksi.
Kontrolli on käytännön keino hallita riskiä. Kontrolli voi olla tekninen, kuten monivaiheinen tunnistautuminen, tai hallinnollinen, kuten ohje siitä, että poistuvien työntekijöiden käyttöoikeudet suljetaan 24 tunnin sisällä.
Alla yksinkertainen tapa hahmottaa termit:
| Termi | Mitä se tarkoittaa käytännössä? | Esimerkki |
|---|---|---|
| Soveltamisala | Mitä toimintaa ISO 27001 koskee | Asiakastietoja käsittelevä SaaS-palvelu |
| Riskiarviointi | Arvio siitä, mikä uhkaa tietoa tai toimintaa | Väärä henkilö saa pääsyn asiakasdataan |
| Kontrolli | Keino pienentää riskiä | MFA, lokitus, käyttöoikeuksien hyväksyntä |
| Poikkeama | Sovittu asia ei toteudu käytännössä | Tunnuksia ei poistettu ajallaan |
| Sisäinen auditointi | Oma tarkistus siitä, toimiiko järjestelmä | Käydään läpi 10 käyttäjätiliä ja poistoprosessi |
Kun nämä termit ovat selviä, ISO 27001 ei enää näytä irralliselta standardilta vaan johtamisen mallilta.
Mitä dokumentteja ja päätöksiä yleensä tarvitaan?
Aloittelija ajattelee usein, että ISO 27001 tarkoittaa valtavaa määrää dokumentteja. Todellisuudessa pk-yrityksessä kannattaa aloittaa pienestä, kunhan perusasiat ovat kunnossa ja päätökset voidaan näyttää toteen.
Tyypillisesti tarvitset ainakin seuraavat asiat:
- kuvauksen soveltamisalasta
- tietoturvapolitiikan tai vastaavan linjauksen
- riskienarvioinnin ja riskien käsittelysuunnitelman
- luettelon valituista kontrolleista ja perustelut valinnoille
- määritellyt roolit ja vastuut
- näytöt seurannasta, kuten katselmuksista, auditoinneista ja korjaavista toimenpiteistä
Käytännössä tämä voi tarkoittaa yllättävän kompaktia kokonaisuutta. Monessa pk-yrityksessä alkuun pääsee 8–15 keskeisellä dokumentilla, kunhan ne ovat oikeasti käytössä eikä vain tallennettu kansioon auditointia varten.
Hyvä nyrkkisääntö on tämä: jokaisesta tärkeästä tietoturva-asiasta pitäisi löytyä vastaus kolmeen kysymykseen.
- mitä on päätetty
- kuka vastaa
- milloin asia tarkistetaan seuraavan kerran
Vinkki
Jos aloitatte tyhjästä, laatikaa ensin yksi sivu per aihe. Esimerkiksi käyttöoikeuksista riittää alkuun lyhyt ohje: kuka hyväksyy, kuka toteuttaa ja missä ajassa oikeudet poistetaan, esimerkiksi 24 tunnin sisällä työsuhteen päättymisestä.
Millaisia käytännön vaatimuksia ISO 27001 tuo arkeen?
Standardin vaatimukset näkyvät arjessa ennen kaikkea rutiineina. Jos tietoturva riippuu yhden IT-asiantuntijan muistista, ISO 27001 ei vielä toteudu kovin vahvasti. Jos taas prosessit ovat sovittuja ja toistettavia, olette jo pitkällä.
Käytännön tasolla yrityksessä kannattaa vähintään varmistaa nämä asiat:
- uudet käyttäjät saavat vain työtehtävän mukaiset oikeudet
- käyttöoikeudet tarkistetaan esimerkiksi 2 kertaa vuodessa
- poistuvien työntekijöiden tunnukset suljetaan 24 tunnin sisällä
- kriittisistä järjestelmistä otetaan varmuuskopiot vähintään päivittäin
- palautuksen toimivuus testataan vähintään 1–2 kertaa vuodessa
- tietoturvapoikkeamat kirjataan samaan paikkaan ja käsitellään sovitussa aikataulussa
- henkilöstö saa tietoturvaohjeistuksen perehdytyksessä ja kertauksen vähintään vuosittain
Moni yllättyy siitä, että ISO 27001 ei määrää yhtä ainoaa oikeaa teknistä ratkaisua. Se ei esimerkiksi sano, mitä palomuuria tai pilvipalvelua on käytettävä. Sen sijaan se vaatii, että valitut ratkaisut perustuvat riskeihin ja että niiden toimivuutta seurataan.
Tässä on yksinkertainen esimerkki riskin ja kontrollin yhteydestä:
| Riski | Vaikutus | Kontrolli | Mittari |
|---|---|---|---|
| Poistuneen työntekijän tunnus jää voimaan | Luvaton pääsy tietoihin | Lähtölistan tarkistus ja tunnusten poisto | 100 % tunnuksista poistettu 24 h sisällä |
| Tiedosto poistuu vahingossa | Työn keskeytyminen tai tiedon menetys | Päivittäinen varmuuskopiointi | Palautustesti onnistuu 2/2 kertaa vuodessa |
| Kalasteluviesti johtaa tunnusten vuotoon | Tilikaappaus | MFA ja henkilöstön koulutus | Koulutuksen suoritusaste 95 % |
Mikä on johdon rooli, ja miksi se on ratkaiseva?
ISO 27001 ei ole pelkkä IT-projekti. Standardi edellyttää, että johto osallistuu, tekee päätöksiä ja seuraa tuloksia. Tämä on monessa yrityksessä kohta, jossa työ joko lähtee etenemään tai jää puolitiehen.
Johdon ei tarvitse osata kaikkea teknistä. Johdon tehtävä on varmistaa, että tavoitteet, resurssit ja vastuut ovat selvät. Käytännössä toimitusjohtajan, liiketoimintajohtajan tai muun vastuullisen henkilön pitäisi pystyä vastaamaan ainakin näihin kysymyksiin:
- mitä tietoja suojaamme ja miksi
- mitkä ovat suurimmat tietoturvariskimme juuri nyt
- kuka omistaa riskienhallinnan ja kuka toteuttaa käytännön toimet
- miten seuraamme kehitystä esimerkiksi kvartaaleittain
Johdon katselmus kuulostaa raskaalta termiltä, mutta käytännössä se voi olla 30–60 minuutin palaveri 2–4 kertaa vuodessa. Siinä käydään läpi esimerkiksi poikkeamat, riskit, auditointihavainnot ja päätökset seuraavista toimenpiteistä.
Varoitus
Yleinen virhe on nimetä tietoturvavastaava, mutta jättää päätösvalta ja resurssit epäselviksi. Tällöin henkilö kyllä kerää tehtäviä, mutta ei saa muutoksia läpi arjessa.
Näin pääset alkuun käytännössä
Kun peruskäsitteet ovat selvillä, seuraava kysymys kuuluu: mitä pitäisi tehdä ensimmäisenä? Alla on etenemismalli, joka toimii useimmille pk-yrityksille.
Rajaa soveltamisala realistisesti
Valitse alkuun selkeä kokonaisuus, kuten yksi palvelu, liiketoimintayksikkö tai asiakasdatan käsittelyyn liittyvä prosessi. Liian laaja rajaus kasvattaa työmäärää heti, kun taas rajattu kokonaisuus on mahdollista saada hallintaan 2–3 kuukaudessa.
Tunnista 3–5 merkittävintä riskiä
Kokoa pieni ryhmä, esimerkiksi liiketoiminnan vastuuhenkilö, IT ja tietosuojasta vastaava henkilö, ja listatkaa suurimmat uhat. Arvioikaa jokaisesta riskistä todennäköisyys, vaikutus ja nykyiset suojaukset, jotta näette nopeasti, missä on suurin aukko.
Päätä tärkeimmät kontrollit ja vastuut
Valitkaa jokaiselle merkittävälle riskille konkreettinen toimenpide, omistaja ja määräaika. Esimerkiksi MFA käyttöön 30 päivän kuluessa, käyttöoikeuksien puolivuosittainen tarkistus ja poistuvien työntekijöiden tunnusten sulku 24 tunnissa.
Dokumentoi vain se, mitä oikeasti aiotte noudattaa
Kirjoita lyhyet, käytännölliset ohjeet ja päätökset niin, että ne voi näyttää henkilöstölle ja tarvittaessa auditoijalle. Jos ohje on liian monimutkainen toteutettavaksi arjessa, se kannattaa yksinkertaistaa ennen hyväksymistä.
Sovi seurantarytmi heti alussa
Merkitkää kalenteriin valmiiksi vähintään sisäinen tarkistus kvartaaleittain ja johdon katselmus 2 kertaa vuodessa. Ilman säännöllistä seurantaa hallintajärjestelmä jää helposti kertaprojektiksi, vaikka ISO 27001 perustuu jatkuvaan parantamiseen.
Yleisimmät virheet aloittelijalla
Sama kompastuskivi toistuu yrityksestä toiseen. Kun tunnistat nämä etukäteen, säästät aikaa ja vältät turhaa dokumentointia.
Yleisimmät virheet ovat:
- aloitetaan mallipohjista ilman omaa riskiarviointia
- kirjoitetaan ohjeita, joita kukaan ei ehdi tai osaa noudattaa
- rajataan soveltamisala epäselvästi, jolloin kukaan ei tiedä mikä kuuluu mukaan
- unohdetaan johdon päätökset ja seuranta
- keskitytään vain teknisiin työkaluihin, vaikka ongelma on prosessissa tai vastuissa
Hyvä tapa testata omaa tilannetta on kysyä kolme kysymystä yhdestä käytännön aiheesta, kuten käyttöoikeuksista:
- kuka hyväksyy oikeudet
- missä ajassa oikeudet poistetaan
- mistä näytätte toteen, että näin tapahtui
Jos ette pysty vastaamaan näihin nopeasti, juuri siinä on todennäköisesti ensimmäinen kehityskohde.
Miten työ helpottuu oikeilla työkaluilla ja asiantuntijatuella?
Moni pk-yritys pystyy ymmärtämään ISO 27001:n vaatimukset itse, mutta käytännön toteutus hidastuu, kun dokumentit, tehtävät, vastuuhenkilöt ja seuranta ovat hajallaan. Silloin aikaa kuluu enemmän järjestelmän rakentamiseen kuin itse tietoturvan parantamiseen.
Siksi moni valitsee tueksi palvelun, joka yhdistää sovelluksen ja asiantuntija-avun. Esimerkiksi Tietoturvapankki on rakennettu juuri siihen, että ISO 27001:n vaatimukset saadaan tuotua arkeen hallittavina tehtävinä, dokumentteina ja seurantana. Taustalla toimivat Softapankki Oy ja QMClouds Oy, ja samaan konserniin kuuluu myös Laatupankki — Konsernin laadunhallinnan tuotemerkki.
Käytännön hyötyjä pk-yritykselle ovat usein nämä:
- vähemmän aikaa mallipohjien muokkaamiseen
- selkeä näkymä vastuisiin ja määräaikoihin
- valmiimpi rakenne auditointia varten
- asiantuntijatuki silloin, kun standardin tulkinta mietityttää
Yhteenveto
- ISO 27001 vaatii ennen kaikkea johdettua tekemistä: riskien tunnistamista, kontrollien valintaa, dokumentointia ja seurantaa.
- Aloittelijan kannattaa ymmärtää ensin neljä peruskäsitettä: soveltamisala, riskiarviointi, kontrolli ja seuranta.
- Pk-yrityksessä alkuun pääsee usein rajatulla kokonaisuudella, 3–5 keskeisellä riskillä ja 8–15 käytännöllisellä dokumentilla.
- Tärkeimmät mittarit ovat konkreettisia, kuten tunnusten poisto 24 tunnin sisällä, käyttöoikeuksien tarkistus 2 kertaa vuodessa ja johdon katselmus 2–4 kertaa vuodessa.
- Suurin virhe on tehdä ISO 27001:stä paperiharjoitus. Standardi toimii vasta, kun sovitut käytännöt näkyvät arjessa.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.