Moni pk-yritys huomaa saman tilanteen juuri tarjousvaiheessa: asiakas ei enää tyydy yleiseen lupaukseen hyvästä tietoturvasta, vaan pyytää näyttöä. Kysymys kuuluu käytännössä näin: miten voitte todentaa, että ISO 27001 -vaatimukset on huomioitu ja että tietoturvaa johdetaan systemaattisesti? Jos vastaus jää yksittäisten dokumenttien, irrallisten käytäntöjen tai henkilösidonnaisen tiedon varaan, luottamus heikkenee nopeasti.
Tässä artikkelissa käymme läpi, mitä ISO 27001 vaatimustenmukaisuus tarkoittaa asiakkaan näkökulmasta, mitä näyttöä kannattaa esittää ja miten rakennat uskottavan todentamismallin ilman turhaa paperityötä. Saat myös konkreettisen etenemispolun, jolla voit valmistautua asiakaskyselyihin, auditointeihin ja myynnin tueksi tarvittaviin tietoturvavastauksiin.
Mitä asiakas oikeasti haluaa nähdä?
Kun asiakas pyytää näyttöä vaatimustenmukaisuudesta, hän ei yleensä etsi täydellistä standarditulkintaa. Hän haluaa varmistua siitä, että yritykselläsi on toimiva hallintajärjestelmä, eli käytännön malli, jolla tietoturvaa suunnitellaan, toteutetaan, seurataan ja parannetaan.
Useimmiten asiakas arvioi kolmea asiaa yhtä aikaa:
- onko tietoturva johdon ohjaamaa vai vain IT:n vastuulla
- onko keskeiset riskit tunnistettu ja käsitelty
- pystyttekö näyttämään todisteita, ei vain kertomaan periaatteista
Käytännössä tämä tarkoittaa, että asiakkaalle kannattaa valmistella selkeä näyttöpaketti. Sen ei tarvitse olla raskas, mutta sen pitää olla johdonmukainen. Hyvä peruspaketti sisältää esimerkiksi seuraavat asiat:
| Näyttö | Mitä se kertoo asiakkaalle | Kuinka usein päivitetään |
|---|---|---|
| Tietoturvapolitiikka | Johto on linjannut tavoitteet ja vastuut | 12 kk välein |
| Riskiarviointi | Keskeiset riskit on tunnistettu ja priorisoitu | 6–12 kk välein |
| Soveltamislausunto | Mitkä kontrollit ovat käytössä ja miksi | Muutosten yhteydessä |
| Koulutusrekisteri | Henkilöstöä ohjeistetaan systemaattisesti | kvartaaleittain |
| Poikkeamien käsittely | Tapahtumat tutkitaan ja korjataan | Jatkuvasti |
| Sisäisen auditoinnin tulokset | Toimivuutta tarkastetaan riippumattomasti | 1 kerta vuodessa |
Huomio
ISO 27001 ei tarkoita asiakkaan silmissä pelkkää sertifikaattia. Jos sertifiointia ei vielä ole, voit silti osoittaa uskottavaa vaatimustenmukaisuutta näyttämällä, että hallintajärjestelmä on rakennettu, käytössä ja mitattavissa.
Vaatimustenmukaisuus ei ole sama asia kuin yksittäinen dokumentti
Yksi yleisimmistä väärinkäsityksistä on, että asiakas vakuuttuu, kun lähetät tietoturvapolitiikan PDF:n. Todellisuudessa yksittäinen dokumentti on vain lähtökohta. Asiakas haluaa nähdä, että dokumentti näkyy arjessa: käyttöoikeuksissa, toimittajahallinnassa, varmuuskopioissa, koulutuksessa ja poikkeamien käsittelyssä.
Siksi näyttö kannattaa rakentaa ketjuna: linjaus, toteutus, seuranta ja parannus. Jos esimerkiksi kerrotte, että käyttöoikeudet poistetaan työsuhteen päättyessä, asiakkaan luottamus kasvaa vasta silloin, kun pystytte osoittamaan prosessin, vastuun ja toteutuneen aikarajan, kuten että tunnukset poistetaan 24 tunnin sisällä.
Hyvä tapa jäsentää näyttö on tämä nelikenttä:
- Linjaus: mitä on päätetty
- Toteutus: mitä tehdään käytännössä
- Todiste: mitä merkintää tai lokia jää talteen
- Seuranta: miten varmistetaan, että käytäntö toimii jatkossakin
Esimerkki käyttöoikeuksista:
| Osa-alue | Esimerkki |
|---|---|
| Linjaus | Käyttöoikeudet myönnetään roolipohjaisesti |
| Toteutus | Esihenkilö hyväksyy pyynnön, IT toteuttaa |
| Todiste | Tiketti, hyväksyntämerkintä ja järjestelmäloki |
| Seuranta | Kuukausittainen tarkistus, jossa käydään läpi aktiiviset tunnukset |
Kun rakennat vastaukset tällä tavalla, asiakas näkee nopeasti, että tietoturva ei ole sattumanvaraista. Samalla myynti ja asiakasvastuulliset henkilöt saavat käyttöönsä yhtenäisen tavan vastata kyselyihin.
Mitkä dokumentit kannattaa pitää aina valmiina?
Kaikkea ei tarvitse lähettää jokaiselle asiakkaalle. Fiksumpi tapa on ylläpitää valmista aineistoa, josta voit jakaa tilanteeseen sopivan osan. Näin säästät aikaa ja vähennät riskiä, että eri asiakkaille lähtee ristiriitaista tietoa.
Useimmille pk-yrityksille riittää, että seuraavat 5–8 dokumenttia ovat ajan tasalla ja helposti löydettävissä:
- tietoturvapolitiikka
- soveltamisala, eli mitä toimintoja, palveluita ja yksiköitä hallintajärjestelmä kattaa
- riskiarvioinnin yhteenveto, jossa näkyy 3–5 keskeistä riskiä ja niiden käsittely
- soveltamislausunto, jossa kuvataan valitut kontrollit
- henkilöstön koulutus- ja perehdytyskäytännöt
- poikkeamienhallinnan prosessi ja esimerkki korjaavista toimenpiteistä
- toimittajien arviointikäytäntö
- sisäisen auditoinnin ja johdon katselmuksen yhteenveto
Jos asiakas on erityisen tarkka, hän voi pyytää myös tarkempia todisteita. Silloin kannattaa varautua esimerkiksi näihin:
- anonymisoitu lokinäyte
- varmuuskopioinnin testausraportti
- käyttöoikeuksien katselmointiraportti
- tietoturvakoulutuksen osallistumisprosentti
- toimittajasopimusten tietoturvaliitteet
Vinkki
Rakenna myynnille ja asiakasvastaaville valmis "asiakkaan tietoturvapakkaus", jonka päivitätte kvartaaleittain. Kun aineisto on yhdessä paikassa, vastaukset lähtevät nopeammin ja laatu pysyy tasaisena.
Miten paljon asiakkaalle kannattaa näyttää?
Tässä kohtaa moni epäröi: pitäisikö asiakkaalle antaa kaikki dokumentit vai vain tiivistelmä? Oikea vastaus on yleensä kerroksittainen malli. Aloita tiiviillä yhteenvedolla ja syvennä vasta tarvittaessa.
Hyvä käytäntö on jakaa aineisto kolmeen tasoon:
| Taso | Sisältö | Milloin käytetään |
|---|---|---|
| Taso 1 | Yhteenveto tietoturvasta, politiikka, sertifikaatti tai status | Tarjousvaiheessa |
| Taso 2 | Riskiarvioinnin yhteenveto, soveltamislausunto, prosessikuvaukset | Due diligence -vaiheessa |
| Taso 3 | Tarkemmat todisteet, lokit, auditointihavainnot, testiraportit | Sopimusneuvotteluissa tai auditoinnissa |
Tämä suojaa myös omaa tietoturvaasi. Kaikkea ei pidä jakaa avoimesti, koska liian yksityiskohtainen tekninen tieto voi itsessään lisätä riskiä. Asiakkaalle kannattaa näyttää riittävä näyttö, mutta ei tarpeettoman tarkkaa kuvaa ympäristöstäsi.
Näin etenet käytännössä asiakkaalle todennettavaan malliin
Määritä, mitä väitätte asiakkaalle
Kirjaa ensin selkeästi, mitä organisaationne sanoo tietoturvastaan tarjousmateriaaleissa, verkkosivuilla ja asiakaskyselyissä. Rajaa väitteet konkreettisiksi, kuten "teemme vuosittaisen sisäisen auditoinnin" tai "poistamme käyttöoikeudet 24 tunnin sisällä työsuhteen päättymisestä". Vain sellaiset lupaukset kannattaa jättää näkyviin, joille löytyy todennettava näyttö.
Kokoa väitteille todisteet yhteen paikkaan
Tee taulukko, jossa jokaiselle väitteelle on omistaja, dokumentti, viimeisin päivityspäivä ja seuraava tarkistus. Käytännössä jo 10–15 rivin näyttörekisteri riittää useimmille pk-yrityksille alkuun. Tärkeintä on, että myynti, IT ja johto löytävät saman tiedon ilman sähköpostiketjujen kaivelua.
Tarkista, että näyttö kattaa asiakkaan yleisimmät kysymykset
Käy läpi viimeisen 6–12 kuukauden aikana saadut tietoturvakyselyt ja listaa toistuvat teemat. Tyypillisiä aiheita ovat käyttöoikeudet, varmuuskopiointi, alihankkijat, henkilöstön koulutus ja poikkeamienhallinta. Jos johonkin kysymykseen ei löydy vastausta alle 15 minuutissa, aineisto ei ole vielä riittävän valmis.
Harjoittele asiakasviestintä valmiiksi
Laadi valmiit vastauspohjat kolmeen tilanteeseen: tarjousvaihe, syventävä arviointi ja auditointi. Pidä vastaukset lyhyinä, mutta lisää mukaan linkki tai viittaus tarkempaan näyttöön. Näin asiakas saa nopeasti luottamusta herättävän vastauksen, eikä asiantuntijoiden aikaa kulu joka kerta uuden tekstin kirjoittamiseen.
Päivitä näyttö säännöllisesti, älä vasta pyynnön tullessa
Sovi omistajuus ja rytmi: esimerkiksi politiikat 12 kuukauden välein, riskit 6 kuukauden välein ja koulutusluvut kvartaaleittain. Kun aineistoa ylläpidetään jatkuvasti, asiakaskyselyihin vastaaminen muuttuu reaktiivisesta työstä osaksi normaalia johtamista.
Yleisimmät virheet, jotka heikentävät uskottavuutta
Asiakkaat huomaavat nopeasti, jos tietoturvavastaukset ovat rakennettu kiireessä. Erityisen ongelmallista on, jos eri dokumentit kertovat eri asioita tai jos vastuu on vain yhden henkilön päässä.
Vältä erityisesti näitä virheitä:
- lähetätte vanhentuneita dokumentteja, joiden päiväys on yli 12 kuukautta vanha
- kerrotte kontrollista, mutta ette pysty näyttämään toteutunutta todistetta
- käytätte mallipohjia, joita ei ole sovitettu omaan toimintaan
- asiakas saa eri henkilöiltä ristiriitaisia vastauksia
- riskiarviointi on tehty kerran, mutta sitä ei ole päivitetty muutosten jälkeen
Varoitus
Yleisin virhe on kopioida ISO 27001 -dokumentaatio mallista ja olettaa, että se riittää asiakkaalle. Jos käytäntö ei näy arjen tekemisessä, kokenut asiakas tai auditoija huomaa ristiriidan yleensä muutamalla tarkentavalla kysymyksellä.
Miten Tietoturvapankki helpottaa todentamista?
Pk-yrityksessä haaste ei yleensä ole se, etteikö tietoturvaa tehtäisi. Haaste on se, että näyttö on hajallaan: osa löytyy SharePointista, osa tikettijärjestelmästä, osa yhden asiantuntijan muistista. Silloin asiakkaalle todentaminen vie liikaa aikaa ja lopputulos näyttää helposti epäkypsältä.
Tietoturvapankki auttaa kokoamaan ISO 27001 -hallintajärjestelmän yhteen paikkaan niin, että vaatimukset, dokumentit, vastuut ja seuranta muodostavat selkeän kokonaisuuden. Kun mukana on myös asiantuntijatuki, yrityksen ei tarvitse arvailla, mikä näyttö on asiakkaalle olennaista ja miten sitä kannattaa esittää. Jos organisaatiossasi on käytössä myös ISO 9001, sama toimintamalli tukee hyvin johtamisjärjestelmän yhtenäistämistä. Tietoturvapankki on osa Softapankki Oy:n tarjoomaa, johon kuuluu myös Laatupankki — Konsernin laadunhallinnan tuotemerkki, sekä QMClouds Oy:n ratkaisuja eri johtamisjärjestelmien tueksi.
Käytännön hyöty näkyy usein nopeasti:
| Tilanne | Ilman yhtenäistä mallia | Yhtenäisellä mallilla |
|---|---|---|
| Asiakaskyselyyn vastaaminen | Tietoa etsitään useasta paikasta | Vastaukset löytyvät keskitetysti |
| Auditointiin valmistautuminen | Valmistelu vie päiviä | Valmistelu onnistuu usein tunneissa |
| Vastuiden hallinta | Tekeminen henkilöityy | Omistajat ja määräajat näkyvät selkeästi |
| Näytön ajantasaisuus | Päivitykset unohtuvat | Tarkistusrytmi voidaan vakioida |
Yhteenveto
- Asiakas haluaa nähdä muutakin kuin politiikan: linjauksen, toteutuksen, todisteet ja seurannan.
- ISO 27001 vaatimustenmukaisuus kannattaa todentaa kerroksittain, ensin tiivistelmä ja sitten tarkempi näyttö tarpeen mukaan.
- Pidä valmiina vähintään 5–8 keskeistä dokumenttia ja päivitä ne sovitulla rytmillä.
- Rakenna näyttörekisteri, jossa jokaiselle väitteelle on omistaja, todiste ja seuraava tarkistuspäivä.
- Uskottavuus syntyy siitä, että asiakaskysymyksiin pystyy vastaamaan nopeasti, johdonmukaisesti ja todennettavasti.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.