Monessa pk-yrityksessä on jo käytössä laadunhallintajärjestelmä tai ainakin ISO 9001:een pohjautuvia toimintatapoja, mutta tietoturvan hallintajärjestelmä rakennetaan silti erillisenä kokonaisuutena. Lopputulos on tuttu: kaksi vuosikelloa, kaksi sisäistä auditointia, kaksi riskilistaa ja sama johto käy samoja asioita läpi eri dokumenteissa.
Hyvä uutinen on, että näin ei tarvitse toimia. ISO 27001 ja ISO 9001 on mahdollista yhdistää samaan johtamisen rakenteeseen niin, että työ vähenee ja ohjaus paranee. Tässä artikkelissa käymme läpi, mitä yhteistä standardeilla on, mitä kannattaa pitää erillään ja miten rakennat käytännössä yhden toimivan kokonaisuuden.
Miksi ISO 27001 ja ISO 9001 kannattaa yhdistää?
Kun johtamisjärjestelmiä hoidetaan erikseen, päällekkäinen työ näkyy nopeasti arjessa. Sama organisaation kuvaus kirjoitetaan kahteen paikkaan, poikkeamia käsitellään eri prosesseissa ja johdon katselmukset pidetään eri kalentereissa.
Yhdistäminen kannattaa erityisesti silloin, jos yrityksessä on 20–250 työntekijää, rajalliset resurssit ja tarve osoittaa asiakkaille sekä laatu että tietoturva hallitusti. Käytännössä hyöty näkyy ainakin näissä asioissa:
- yksi yhteinen johtamisen malli koko organisaatiolle
- vähemmän päällekkäisiä dokumentteja ja kokouksia
- selkeämpi vastuunjako johdolle, IT:lle ja prosessinomistajille
- helpompi sisäinen auditointi, kun samoja periaatteita tarkastellaan yhdessä
- parempi näkyvyys siihen, miten laatuongelmat ja tietoturvariskit vaikuttavat liiketoimintaan
Ajattele asiaa näin: jos asiakasreklamaatio johtuu väärästä käyttöoikeudesta tai puutteellisesta muutoksenhallinnasta, onko kyse laadusta vai tietoturvasta? Usein molemmista. Siksi myös ohjauksen kannattaa olla yhteistä.
Huomio
ISO 27001 ja ISO 9001 perustuvat pitkälti samaan johtamislogiikkaan: määritä tavoitteet, tunnista riskit, ohjaa toimintaa, mittaa tuloksia ja paranna jatkuvasti. Juuri tämä tekee yhdistämisestä käytännöllistä.
Mitä standardeilla on yhteistä käytännössä?
Sekä ISO 27001 että ISO 9001 ovat johtamisjärjestelmästandardeja. Se tarkoittaa, että ne eivät ole vain lista vaatimuksia, vaan tapa johtaa toimintaa systemaattisesti. Molemmissa korostuvat samat peruskysymykset: mitä tavoitellaan, kuka vastaa, miten toiminta dokumentoidaan ja miten parantaminen tehdään.
Yhteisiä rakenteita löytyy erityisesti seuraavista osa-alueista:
- organisaation toimintaympäristön ja sidosryhmien ymmärtäminen
- soveltamisalan määrittely eli mitä toimintoja järjestelmä kattaa
- johdon roolit, vastuut ja sitoutuminen
- riskien ja mahdollisuuksien arviointi
- tavoitteet, mittarit ja seuranta
- osaamisen varmistaminen ja henkilöstön tietoisuus
- dokumentoitu tieto, kuten ohjeet, politiikat ja tallenteet
- sisäiset auditoinnit
- johdon katselmukset
- poikkeamien käsittely ja jatkuva parantaminen
Alla oleva taulukko auttaa hahmottamaan, missä yhdistäminen on yleensä helpointa.
| Osa-alue | ISO 9001 näkökulma | ISO 27001 näkökulma | Yhdistämistapa |
|---|---|---|---|
| Toimintaympäristö | Asiakasvaatimukset, prosessit, laatu | Tietovarannot, uhkat, vaatimustenmukaisuus | Tee yksi yhteinen toimintaympäristökuvaus |
| Riskienhallinta | Laaturiskit ja prosessiriskit | Tietoturvariskit | Käytä yhtä riskimenetelmää, mutta eri arviointikriteerejä tarvittaessa |
| Dokumentointi | Prosessikuvaukset, ohjeet, tallenteet | Politiikat, menettelyt, lokit, rekisterit | Hallitse kaikki samassa dokumenttirakenteessa |
| Sisäinen auditointi | Prosessien toimivuus | Kontrollien ja vaatimusten toteutuminen | Tee yksi auditointiohjelma vuodessa |
| Johdon katselmus | Tavoitteet, poikkeamat, asiakaspalaute | Riskit, poikkeamat, tietoturvan suorituskyky | Pidä yksi yhteinen katselmus 2–4 kertaa vuodessa |
| Parantaminen | Korjaavat toimenpiteet | Poikkeamien käsittely ja parannukset | Käytä yhtä CAPA-prosessia eli korjaavien toimenpiteiden mallia |
Käytännössä suurin hyöty syntyy siitä, että rakennat yhden rungon ja liität standardikohtaiset vaatimukset sen alle. Näin henkilöstön ei tarvitse opetella kahta eri johtamisjärjestelmää.
Mitä ei kannata väkisin yhdistää?
Vaikka yhteistä on paljon, kaikkea ei pidä sulauttaa yhdeksi massaksi. ISO 27001 sisältää tietoturvaan liittyviä erityisvaatimuksia, joita ISO 9001 ei kata samalla tarkkuudella. Jos nämä hukkuvat yleiseen laatukieleen, järjestelmä näyttää siistiltä mutta ei ohjaa oikeaa tekemistä.
Pidä ainakin nämä osa-alueet selkeästi tunnistettavina, vaikka ne olisivat samassa järjestelmässä:
- tietoturvariskien arviointi ja hyväksymiskriteerit
- soveltuvuuslausunto eli Statement of Applicability, jossa perustellaan valitut kontrollit
- käyttöoikeuksien hallinta
- tietoturvapoikkeamien käsittely
- toimittajien tietoturvavaatimukset
- varautuminen, palautuminen ja lokien hallinta
Hyvä nyrkkisääntö on tämä: yhdistä johtamisen rakenne, mutta älä häivytä tietoturvan erityisvaatimuksia. Jos esimerkiksi käyttöoikeuksien poistaminen pitää tehdä 24 tunnin sisällä työsuhteen päättymisestä, tämä kannattaa kuvata omana selkeänä kontrollinaan eikä vain yleisenä prosessihuomiona.
Varoitus
Yleinen virhe on rakentaa yksi yhteinen riskilista, jossa laaturiskit, tietoturvariskit, työturvallisuus ja projektiriskit ovat samassa taulukossa ilman luokittelua. Tällöin tärkeät tietoturvariskit hukkuvat helposti muiden asioiden joukkoon.
Yksi järjestelmä, monta näkökulmaa
Toimiva yhdistelmä ei tarkoita yhtä jättimäistä käsikirjaa. Parempi ratkaisu on rakentaa yksi hallintajärjestelmä, jossa on yhteiset johtamisen käytännöt ja standardikohtaiset osiot siellä, missä niitä tarvitaan.
Esimerkiksi dokumenttirakenne voi näyttää tältä:
- yhteinen politiikkataso: johtamisperiaatteet, vastuut, tavoitteet
- yhteiset prosessit: riskienhallinta, poikkeamien käsittely, auditoinnit, johdon katselmus
- standardikohtaiset menettelyt: tietoturvakontrollit, laatupoikkeamien käsittely, toimittaja-arvioinnit
- tallenteet ja mittarit: auditointiraportit, riskirekisterit, koulutusmerkinnät, poikkeamalokit
Jos käytössä on jo ISO 9001, sinun ei tarvitse aloittaa tyhjästä. Usein kannattaa tarkistaa ensin nämä 3–5 keskeistä asiaa:
- onko nykyinen riskienhallinta riittävän tarkka tietoturvariskeille
- löytyykö johdon katselmuksesta jo tietoturvaa koskevat mittarit
- kattaako sisäinen auditointi myös tietoturvan kontrollit
- onko vastuunjako IT:n, HR:n ja liiketoiminnan välillä kirjattu
- hallitaanko dokumentteja keskitetysti vai hajallaan eri kansioissa
Näin etenet käytännössä
Tunnista nykyiset yhteiset rakenteet
Käy läpi nykyinen ISO 9001- tai muu johtamisjärjestelmä ja listaa, mitä voit hyödyntää sellaisenaan. Aloita vähintään näistä: riskienhallinta, poikkeamien käsittely, sisäinen auditointi, johdon katselmus ja dokumentinhallinta. Tähän kartoitukseen riittää usein 1–2 työpajaa ja yhteensä 2–4 tuntia.
Määritä yhteinen runko ja erilliset tietoturvaosiot
Päätä, mitkä osat ovat kaikille standardeille yhteisiä ja mitkä jäävät ISO 27001:n omiksi menettelyiksi. Käytännössä tee yksi prosessikartta ja merkitse siihen, missä kohdissa tarvitaan tietoturvan tarkempia kontrollikuvauksia, kuten käyttöoikeudet, varmuuskopiot ja toimittajavaatimukset.
Yhdistä mittarit ja vuosikello
Rakenna yksi vuosikello, jossa auditoinnit, riskikatselmukset, koulutukset ja johdon katselmukset rytmitetään samaan malliin. Esimerkiksi riskikatsaus voidaan tehdä kvartaaleittain, sisäinen auditointi 1–2 kertaa vuodessa ja johdon katselmus vähintään kerran vuodessa, mutta mieluiten useammin.
Nimeä omistajat ja aikarajat
Yhdistetty järjestelmä toimii vain, jos vastuut ovat selkeät. Määritä jokaiselle prosessille omistaja, varahenkilö ja tavoiteaika: esimerkiksi poikkeama kirjataan 48 tunnin sisällä, korjaava toimenpide päätetään 14 päivän kuluessa ja käyttöoikeusmuutokset toteutetaan 24 tunnin sisällä.
Testaa toimivuus sisäisellä auditoinnilla
Ennen sertifiointia tai ulkoista arviointia tarkista, toimiiko yhdistetty malli oikeasti. Tee sisäinen auditointi, jossa katsotaan samasta prosessista sekä laatu- että tietoturvanäkökulma, esimerkiksi asiakastoimitus, käyttäjähallinta tai toimittajan onboarding. Näin löydät puutteet ennen kuin ne näkyvät asiakkaalle tai auditoijalle.
Mittarit, joilla yhdistetty järjestelmä pysyy elävänä
Yksi yleinen ongelma on, että yhdistäminen tehdään dokumenteissa, mutta arki ei muutu. Siksi tarvitset yhteiset mittarit, joita johto seuraa säännöllisesti. Mittareiden ei tarvitse olla monimutkaisia, kunhan ne ohjaavat toimintaa.
Toimiva pk-yrityksen mittaristo voi sisältää esimerkiksi seuraavat kohdat:
| Mittari | Tavoitetaso | Seurantaväli | Miksi tämä toimii |
|---|---|---|---|
| Tietoturva- ja laatupoikkeamien määrä | laskeva trendi tai hallittu taso | kuukausittain | Näyttää, syntyykö ongelmia enemmän vai vähemmän |
| Korjaavien toimenpiteiden läpimenoaika | alle 30 päivää | kuukausittain | Kertoo, korjataanko havaitut puutteet oikeasti |
| Käyttöoikeuksien poistonopeus | 24 h sisällä | kuukausittain | Vähentää tarpeettomia käyttöoikeusriskejä |
| Pakollisten koulutusten suoritusaste | 95–100 % | kvartaaleittain | Varmistaa osaamisen ja tietoisuuden |
| Sisäisten auditointihavaintojen sulkeminen | 90 % ajallaan | kvartaaleittain | Pitää parantamisen liikkeessä |
| Asiakaspoikkeamat, joissa tietoturva tai prosessi vaikutti | seurataan tapausmäärää | kvartaaleittain | Yhdistää laadun ja tietoturvan liiketoimintavaikutukseen |
Kysy itseltäsi: näkeekö johto yhdellä silmäyksellä, missä mennään? Jos ei näe, mittaristoa kannattaa yksinkertaistaa.
Vinkki
Pidä johdon katselmuksessa yksi yhteinen dashboard eli koontinäkymä, jossa on enintään 8 mittaria. Kun mittareita on liikaa, keskustelu hajoaa eikä päätöksiä synny.
Tyypilliset virheet pk-yrityksissä
Yhdistäminen epäonnistuu harvoin siksi, että standardit olisivat ristiriidassa. Useammin syy on käytännön toteutuksessa. Tunnistatko näistä jonkin omasta organisaatiostasi?
- järjestelmä rakennetaan standardien, ei arjen prosessien ympärille
- dokumentteja yhdistetään, mutta vastuita ei yhdistetä
- tietoturva jätetään yksin IT:n vastuulle, vaikka mukana pitäisi olla myös HR, johto ja liiketoiminta
- auditoinnit tehdään checklistana ilman prosessien toimivuuden arviointia
- tavoitteita asetetaan liikaa, eikä niille nimetä omistajia
Korjaus on yleensä yksinkertainen. Aloita yhdestä yhteisestä prosessista, kuten poikkeamien hallinnasta tai johdon katselmuksesta, ja laajenna vasta sen jälkeen. Usein jo 30–60 päivän aikana saadaan näkyvä parannus siihen, miten järjestelmä toimii arjessa.
Missä työkalu auttaa eniten?
Kun ISO 27001 yhdistetään ISO 9001:een, suurin haaste ei yleensä ole vaatimusten ymmärtäminen vaan kokonaisuuden hallinta. Missä ovat riskit, kuka omistaa toimenpiteet, mitä on auditoitu ja mikä odottaa johdon päätöstä? Jos tieto on sähköposteissa, Excel-taulukoissa ja eri kansioissa, yhdistetty järjestelmä alkaa nopeasti hajota.
Tässä kohtaa keskitetty ratkaisu helpottaa työtä. Tietoturvapankki auttaa rakentamaan ISO 27001:n käytännön toteutusta niin, että riskit, kontrollit, vastuut ja seuranta pysyvät yhdessä paikassa. Jos organisaatiossa on jo käytössä laadunhallinnan ratkaisuja, kuten Laatupankki, yhteisten johtamiskäytäntöjen rakentaminen on huomattavasti suoraviivaisempaa.
Softapankki Oy ja QMClouds Oy ovat kehittäneet ratkaisuja siihen, että pk-yrityksen ei tarvitse rakentaa johtamisjärjestelmää pelkkien mallipohjien varaan. Tavoite ei ole tehdä lisää dokumentteja, vaan saada aikaan toimintamalli, joka kestää auditoinnin ja toimii myös kiireisessä arjessa.
Yhteenveto
- ISO 27001 ja ISO 9001 kannattaa yhdistää erityisesti yhteisten johtamiskäytäntöjen osalta: riskit, auditoinnit, johdon katselmukset ja poikkeamien käsittely.
- Älä yhdistä kaikkea väkisin: tietoturvan erityisvaatimukset, kuten kontrollit ja soveltuvuuslausunto, pitää pitää selkeästi tunnistettavina.
- Toimiva malli rakentuu yhdestä hallintajärjestelmästä, yhdestä vuosikellosta ja selkeästä vastuunjaosta.
- Käytä konkreettisia mittareita, kuten 24 h käyttöoikeusmuutoksille ja alle 30 päivää korjaaville toimenpiteille.
- Aloita nykytilan kartoituksesta ja testaa yhdistetty malli sisäisellä auditoinnilla ennen ulkoista arviointia.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.