Kun asiakas kysyy, onko yrityksellänne ISO 27001, taustalla ei yleensä ole pelkkä muodollisuus. Kysymys liittyy siihen, miten hyvin hallitsette tietoturvariskejä, suojaatte asiakastietoja ja varmistatte toiminnan jatkuvuuden myös häiriötilanteissa. Monessa pk-yrityksessä haaste ei ole halun puute, vaan se, että standardi tuntuu paperiselta, laajalta ja vaikeasti hahmotettavalta.
Tässä artikkelissa käymme läpi, mitä ISO 27001 oikeasti tarkoittaa, mitä tietoturvan hallintajärjestelmä on, mitä sertifiointi vaatii ja miten prosessi etenee käytännössä. Saat myös konkreettisen etenemispolun, aikatauluarvion ja listan yleisimmistä virheistä, jotta tiedät, mitä kannattaa tehdä ensin ja mitä ei.
Mitä ISO 27001 tarkoittaa käytännössä?
ISO 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle. Hallintajärjestelmä tarkoittaa käytännössä yrityksen yhteistä tapaa tunnistaa tietoturvariskit, päättää suojaustoimista, seurata niiden toimivuutta ja parantaa tekemistä jatkuvasti.
Kyse ei siis ole vain palomuureista, salasanoista tai yhdestä tietoturvapolitiikasta. Standardi ohjaa rakentamaan kokonaisuuden, jossa ihmiset, prosessit ja teknologia toimivat yhdessä. Pk-yritykselle tämä näkyy usein siinä, että vastuut selkiytyvät, dokumentaatio yhtenäistyy ja asiakkaille voidaan osoittaa, miten tietoturvaa johdetaan.
ISO 27001:n ydin voidaan tiivistää neljään käytännön kysymykseen:
- Mitä tietoa ja palveluita pitää suojata?
- Mitkä ovat 3–5 keskeistä riskiä liiketoiminnallenne?
- Mitä kontrollit eli suojaustoimet näiden riskien hallintaan ovat?
- Miten varmistatte, että sovitut käytännöt myös toteutuvat arjessa?
Esimerkiksi ohjelmistoyrityksessä keskeisiä suojattavia kohteita voivat olla:
- asiakasdata
- lähdekoodi
- pilviympäristöt
- henkilöstön käyttäjätunnukset
- varmuuskopiot
Huomio
ISO 27001 ei ole pelkkä IT-standardI. Se koskee myös henkilöstöprosesseja, toimittajahallintaa, johtamista ja poikkeamien käsittelyä. Siksi sertifiointi ei onnistu vain IT-osaston projektina.
Mitä sertifiointi tarkoittaa?
Sertifiointi tarkoittaa, että riippumaton auditoija arvioi, täyttääkö yrityksenne ISO 27001 -standardin vaatimukset. Arvioinnissa ei katsota vain sitä, onko dokumentteja olemassa, vaan myös sitä, toimivatko käytännöt oikeasti.
Tyypillisesti sertifiointi etenee kahdessa auditointivaiheessa. Ensin tarkastellaan dokumentaatiota ja valmiustasoa, sitten käytännön toteutusta. Jos puutteet ovat hallittavissa ja ne korjataan sovitussa ajassa, yritys saa sertifikaatin. Sen jälkeen järjestelmää seurataan vuosittaisilla valvonta-auditoinneilla.
Alla on yksinkertaistettu näkymä sertifiointiprosessiin:
| Vaihe | Mitä tapahtuu | Tyypillinen kesto |
|---|---|---|
| Valmistelu | Soveltamisala, riskit, dokumentaatio, kontrollit | 2–6 kuukautta |
| Sisäinen auditointi | Oma tarkastus ennen sertifiointia | 1–2 viikkoa |
| Johdon katselmus | Johto arvioi toimivuuden ja päättää parannuksista | 1 päivä |
| Stage 1 -auditointi | Dokumentaation ja valmiuden arviointi | 1–3 päivää |
| Stage 2 -auditointi | Käytännön toteutuksen arviointi | 2–5 päivää |
| Korjaavat toimet | Havaintojen korjaus | 2–8 viikkoa |
Mitä tämä tarkoittaa pk-yritykselle? Usein sitä, että sertifiointi on realistinen projekti, kun sille nimetään omistaja, rajataan soveltamisala järkevästi ja varataan kalenterista aikaa esimerkiksi 2–4 tuntia viikossa avainhenkilöiltä.
Mitä ISO 27001 vaatii yritykseltä?
Standardi ei määrää yhtä ainoaa mallia, mutta se vaatii tietyt perusasiat. Yrityksen pitää määritellä, mitä toimintoja hallintajärjestelmä koskee, arvioida riskit, valita sopivat kontrollit ja osoittaa, että niitä johdetaan järjestelmällisesti.
Käytännössä tämä tarkoittaa yleensä ainakin seuraavia kokonaisuuksia:
- soveltamisala: mitä liiketoiminnan osia, palveluita tai tiimejä sertifiointi koskee
- tietoturvapolitiikka ja tavoitteet
- riskien arviointi ja käsittelysuunnitelma
- roolit ja vastuut
- henkilöstön perehdytys ja koulutus
- poikkeamien käsittely
- toimittajien hallinta
- käyttöoikeuksien hallinta
- varmuuskopiointi ja palautuksen testaus
- sisäinen auditointi ja johdon katselmus
Moni yllättyy siitä, että ISO 27001 ei vaadi kaikkea kaikille. Oleellista on perustella valinnat riskien kautta. Jos esimerkiksi yrityksellänne ei ole omaa palvelinsalia, fyysisen konesalin kontrollit eivät ole samalla tavalla keskiössä kuin pilvipalveluiden hallinta, pääsynhallinta ja toimittajasopimukset.
Hyvä nyrkkisääntö on tämä: jos ette pysty näyttämään, kuka vastaa mistäkin, millä aikataululla asia tehdään ja miten toteutuminen todennetaan, auditoinnissa tulee todennäköisesti kysymyksiä.
Mitä hyötyä ISO 27001:stä on pk-yritykselle?
Sertifiointi mielletään joskus vain myynnin tukimateriaaliksi, mutta käytännön hyödyt näkyvät usein jo ennen auditointia. Kun tietoturvan tekeminen muuttuu satunnaisista toimenpiteistä johdetuksi kokonaisuudeksi, arki helpottuu.
Tyypillisiä hyötyjä ovat esimerkiksi:
- nopeampi vastaaminen asiakaskyselyihin ja tarjouspyyntöihin
- selkeämpi vastuunjako IT:n, johdon ja liiketoiminnan välillä
- pienempi riski käyttöoikeusvirheille ja tietovuodoille
- parempi valmius käsitellä poikkeamia ja häiriöitä
- helpompi yhdistää tietoturva muihin johtamisjärjestelmiin, kuten ISO 9001
Alla oleva taulukko auttaa hahmottamaan, missä hyöty näkyy käytännössä:
| Tilanne ennen ISO 27001 -työtä | Tilanne hallintajärjestelmän jälkeen |
|---|---|
| Käyttöoikeuksia poistetaan satunnaisesti | Tunnukset poistetaan 24 tunnin sisällä työsuhteen päättymisestä |
| Toimittajariskit arvioidaan tapauskohtaisesti | Toimittajat luokitellaan riskitason mukaan ennen sopimusta |
| Varmuuskopioista ei ole palautustestiä | Palautus testataan esimerkiksi 2 kertaa vuodessa |
| Poikkeamat jäävät sähköposteihin | Poikkeamat kirjataan, tutkitaan ja suljetaan määräajassa |
| Asiakaskyselyihin vastataan käsin joka kerta | Vastaukset perustuvat dokumentoituihin käytäntöihin |
Vinkki
Jos tavoitteena on sertifiointi 6 kuukaudessa, rajaa ensimmäinen soveltamisala yhteen palveluun, liiketoimintayksikköön tai asiakasympäristöön. Liian laaja aloitus on yksi yleisimmistä syistä aikataulun venymiseen.
Mitä ISO 27001 ei ole?
Yksi yleisimmistä väärinkäsityksistä on, että ISO 27001 olisi valmis lista teknisiä asetuksia. Näin ei ole. Standardi ei kerro, mikä palomuuri pitää ostaa tai mikä ohjelmisto ratkaisee kaiken.
Se ei myöskään tarkoita, että yritys olisi sertifikaatin jälkeen “täysin turvallinen”. Tietoturva ei ole valmis tila, vaan jatkuva johtamisen malli. Auditoinnissa katsotaan ennen kaikkea, tunnistatteko riskit, reagoitteko poikkeamiin ja parannatteko toimintaa systemaattisesti.
Tämä on hyvä pitää mielessä erityisesti johdon näkökulmasta. Sertifikaatti ei korvaa päätöksentekoa, vaan tekee siitä näkyvämpää ja perustellumpaa.
Näin etenet kohti ISO 27001 -sertifiointia
Rajaa soveltamisala liiketoiminnan kannalta järkevästi
Valitse ensin, mitä palvelua, tiimiä tai toimintoa sertifiointi koskee. Hyvä ensimmäinen rajaus on sellainen, jossa on selkeä asiakastarve ja hallittava määrä prosesseja. Pk-yrityksessä tämä voi tarkoittaa esimerkiksi yhtä SaaS-palvelua tai koko ohjelmistokehityksen ja asiakastuen kokonaisuutta.
Tee riskien arviointi ja tunnista tärkeimmät puutteet
Listaa suojattavat tiedot, järjestelmät, toimittajat ja avainprosessit. Arvioi niiden osalta todennäköisyys ja vaikutus asteikolla 1–5, ja nosta käsittelyyn ensin 3–5 korkeinta riskiä. Näin työ kohdistuu oikeisiin asioihin eikä dokumenttien kirjoittamiseen dokumenttien vuoksi.
Määritä kontrollit, vastuut ja mitattavat käytännöt
Päätä jokaiselle keskeiselle riskille konkreettinen hallintakeino, vastuuhenkilö ja mittari. Esimerkiksi käyttöoikeuksille voidaan sopia, että uudet oikeudet hyväksyy esihenkilö ja poistot tehdään 24 tunnin sisällä työsuhteen päättymisestä. Auditoinnissa juuri tällaiset todennettavat käytännöt ovat arvokkaita.
Dokumentoi vain se, mitä oikeasti johdatte ja toteutatte
Kirjaa politiikat, menettelyt ja rekisterit niin, että ne tukevat arjen tekemistä. Vältä mallipohjien kopiointia sellaisenaan. Jos dokumentti ei ohjaa toimintaa tai sitä ei päivitetä, siitä tulee auditoinnissa nopeasti rasite eikä hyöty.
Testaa toimivuus ennen sertifiointia
Tee sisäinen auditointi, käsitelkää havainnot ja pitäkää johdon katselmus ennen ulkoista auditointia. Tarkista erityisesti, löytyykö näyttöä koulutuksista, riskikäsittelystä, poikkeamien käsittelystä ja kontrollien toteutumisesta vähintään 3–6 kuukauden ajalta. Mitä vähemmän yllätyksiä Stage 2 -auditoinnissa, sitä sujuvampi sertifiointi.
Yleisimmät virheet, jotka hidastavat sertifiointia
Samat kompastuskivet toistuvat yrityksestä toiseen. Tunnistatko näistä omanne?
- soveltamisala rajataan liian laajaksi heti alussa
- riskien arviointi tehdään kerran, mutta sitä ei käytetä päätöksenteossa
- kontrollit kopioidaan mallista ilman yhteyttä todellisiin riskeihin
- vastuut jäävät yleiselle tasolle, kuten “IT hoitaa”
- näyttöä toteutuksesta ei kerätä auditointia varten
- johto osallistuu vasta auditointiviikolla
Varoitus
Yleisin virhe on rakentaa ISO 27001 -dokumentaatio irrallaan arjen prosesseista. Jos käyttöoikeudet, toimittaja-arvioinnit tai poikkeamien käsittely tehdään eri tavalla kuin dokumenteissa lukee, auditoinnissa syntyy nopeasti poikkeamia.
Voit välttää nämä virheet yksinkertaisella tarkistuslistalla:
| Tarkistettava asia | Hyvä tavoitetaso |
|---|---|
| Soveltamisala | Rajattu yhteen selkeään kokonaisuuteen |
| Riskien arviointi | Päivitetty vähintään 1 kerran vuodessa tai muutosten yhteydessä |
| Käyttöoikeuksien poistot | Toteutuvat 24 tunnin sisällä |
| Tietoturvakoulutus | Kaikille työntekijöille vähintään 1 kerran vuodessa |
| Sisäinen auditointi | Tehty ennen sertifiointia |
| Johdon katselmus | Dokumentoitu vähintään 1 kerran vuodessa |
Kannattaako ISO 27001 tehdä itse vai kumppanin kanssa?
Tämä riippuu ennen kaikkea lähtötasosta, käytettävissä olevasta ajasta ja siitä, onko organisaatiossa kokemusta johtamisjärjestelmistä. Jos yrityksessä on jo valmiiksi prosessimainen toimintatapa tai esimerkiksi ISO 9001 käytössä, osa rakenteista on helpompi rakentaa myös tietoturvan puolelle.
Monessa pk-yrityksessä suurin pullonkaula ei kuitenkaan ole ymmärrys siitä, miksi ISO 27001 tarvitaan, vaan aika. Dokumentaation hallinta, riskien seuranta, auditointivalmistelu ja näyttöjen kokoaminen vievät helposti kymmeniä tunteja. Siksi yhdistelmä, jossa käytössä on selkeä työkalu ja asiantuntijatuki, on usein nopein tapa päästä maaliin ilman turhaa säätöä.
Tietoturvapankki on rakennettu juuri tähän tarpeeseen. Se yhdistää sovelluksen ja asiantuntijatuen ISO 27001 -tietoturvan hallintajärjestelmän toteuttamiseen, jolloin yrityksen ei tarvitse rakentaa kaikkea alusta Excelillä, Wordilla ja hajanaisilla muistilistoilla. Jos organisaatiossanne käytetään myös Laatupankki-ratkaisuja, yhteensopivuus muun johtamisjärjestelmän kanssa helpottaa kokonaisuuden hallintaa. Tietoturvapankin taustalla toimivat Softapankki Oy ja QMClouds Oy.
Yhteenveto
- ISO 27001 on standardi, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle.
- Sertifiointi perustuu siihen, että riskit, kontrollit, vastuut ja seuranta on määritelty ja toteutettu käytännössä.
- Pk-yritykselle realistinen valmisteluaika on usein 2–6 kuukautta, kun soveltamisala rajataan järkevästi.
- Yleisimmät virheet liittyvät liian laajaan aloitukseen, mallipohjien kopiointiin ja puutteelliseen näyttöön toteutuksesta.
- Hyvä työkalu ja asiantuntijatuki nopeuttavat sertifiointia ja vähentävät manuaalista työtä merkittävästi.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.