Moni pk-yritys huomaa saman tilanteen: asiakas kysyy ISO 27001 -sertifioinnista, tarjouskilpailu edellyttää tietoturvan hallintaa tai johto haluaa saada tietoturvariskit paremmin hallintaan. Silloin eteen tulee nopeasti käytännön kysymys: kannattaako tehdä työ itse vai ottaa mukaan ulkopuolinen asiantuntija, ja jos kannattaa, miten valita oikea kumppani?
Hyvä ISO 27001 -konsultti ei vain toimita valmiita dokumenttipohjia, vaan auttaa rakentamaan yritykselle toimivan tietoturvan hallintajärjestelmän. Tässä artikkelissa käymme läpi, mitä konsultilta kannattaa vaatia, miten eri vaihtoehtoja vertaillaan ja millä käytännön askelilla löydät yrityksellesi sopivan ratkaisun ilman turhaa ylityötä tai konsulttiriippuvuutta.
Mitä ISO 27001 -konsultilta oikeasti kannattaa odottaa?
Kun puhutaan ISO 27001:stä, kyse ei ole vain auditointia varten kirjoitetuista dokumenteista. Standardi ohjaa rakentamaan systemaattisen tavan tunnistaa riskejä, määrittää vastuita, hallita käyttöoikeuksia, käsitellä poikkeamia ja parantaa toimintaa jatkuvasti.
Siksi hyvä konsultti auttaa vähintään näissä asioissa:
- määrittämään soveltamisalan, eli mitä liiketoiminnan osia, palveluita ja järjestelmiä hallintajärjestelmä kattaa
- tekemään riskiarvioinnin, jossa tunnistetaan tyypillisesti 3–10 keskeistä riskiä alkuvaiheessa
- valitsemaan tarkoituksenmukaiset kontrollit eikä vain kopioimaan koko standardin liitettä käyttöön
- rakentamaan käytännöt, jotka yritys pystyy oikeasti ylläpitämään esimerkiksi kvartaaleittain tai kuukausittain
- valmistelemaan organisaation sisäiseen auditointiin ja sertifiointiauditointiin
Kysy siis itseltäsi: tarvitsetteko vain projektin maaliin, vai kumppanin, joka auttaa tekemään tietoturvasta osan arkea? Pk-yritykselle jälkimmäinen on yleensä arvokkaampi vaihtoehto.
Huomio
ISO 27001 ei tarkoita, että kaikki pitää rakentaa alusta asti itse. Hyvä konsultti hyödyntää valmiita malleja, mutta sovittaa ne yrityksesi toimintaan niin, että ne kestävät myös auditoinnin ja arjen käytön.
Milloin konsultti on järkevä valinta?
Kaikki yritykset eivät tarvitse raskasta konsultointiprojektia. Jos organisaatiossa on kokenut tietoturva- tai laatupäällikkö, ISO 27001 voidaan viedä pitkälle myös sisäisesti. Silti ulkopuolinen asiantuntija nopeuttaa työtä usein merkittävästi.
Konsultti on yleensä perusteltu valinta, jos jokin seuraavista täyttyy:
- tavoitteenne on sertifiointi 6–12 kuukauden sisällä
- oma tiimi ei ole aiemmin toteuttanut ISO 27001 -projektia
- asiakkaat vaativat nopeasti näyttöä tietoturvan hallinnasta
- haluatte välttää tilanteen, jossa dokumentaatio tehdään kerran mutta käytännöt eivät jää elämään
- sisäisiä resursseja on käytettävissä vain 2–4 tuntia viikossa
Käytännön esimerkki: 40 hengen ohjelmistoyrityksessä CTO voi omistaa projektista vain yhden iltapäivän viikossa. Tällöin kokenut konsultti voi säästää helposti kymmeniä työtunteja kuukaudessa, kun eteneminen ei pysähdy tulkintakysymyksiin tai dokumenttien rakenteeseen.
Näillä kriteereillä vertailet konsultteja
Kaikki ISO 27001 -konsultit eivät tarjoa samaa asiaa, vaikka myyntipuhe kuulostaisi samalta. Yksi keskittyy sertifiointiprojektin läpivientiin, toinen tuo mukaan jatkuvan ylläpidon mallin, kolmas myy lähinnä asiantuntijapäiviä.
Vertailu kannattaa tehdä vähintään seuraavien kriteerien perusteella:
| Kriteeri | Mitä kysyä | Hyvä merkki | Riskimerkki |
|---|---|---|---|
| Kokemus | Kuinka monta ISO 27001 -projektia olette tehneet? | Selkeä määrä, toimialakohtaisia esimerkkejä | Vastaukset jäävät yleiselle tasolle |
| Toimintamalli | Mitä teette käytännössä ensimmäisten 30 päivän aikana? | Konkreettinen vaiheistus ja vastuut | Epämääräinen "aloitetaan kartoituksella" |
| Dokumentaatio | Saammeko muokattavat dokumentit omaan käyttöön? | Kyllä, omistajuus jää asiakkaalle | Materiaali jää konsultin järjestelmään |
| Resurssitarve | Kuinka paljon aikaa tarvitsette meiltä viikossa? | Realistinen arvio, esim. 2–3 h/viikko | Ei osata arvioida |
| Auditointivalmius | Valmennatteko sisäiseen auditointiin ja sertifiointiin? | Kyllä, sisältää harjoittelun ja tarkistuslistat | Tuki loppuu dokumenttien valmistumiseen |
| Jatkuva ylläpito | Miten hallintajärjestelmää ylläpidetään projektin jälkeen? | Selkeä vuosikello ja seurantamalli | Ei mallia jatkuvaan tekemiseen |
| Hinnoittelu | Mitä kiinteä hinta sisältää, mitä ei? | Rajaukset ja lisätyöt kuvattu selvästi | Päivähinta ilman kokonaisarviota |
Pyydä tarjoukset aina samassa muodossa. Jos yksi toimittaja tarjoaa kiinteän projektin ja toinen vain tuntityötä ilman laajuutta, niitä ei voi verrata reilusti.
Halpa vai hyvä? Näin arvioit hintaa oikein
ISO 27001 -konsultoinnin hinta voi vaihdella paljon. Pk-yrityksessä puhutaan usein muutamasta tuhannesta eurosta aina 15 000–30 000 euroon riippuen laajuudesta, lähtötilanteesta ja siitä, sisältyykö mukaan ohjelmisto, koulutus tai auditointituki.
Pelkkä alin hinta ei kuitenkaan kerro kokonaiskustannusta. Halpa projekti voi tulla kalliiksi, jos:
- sisäinen tiimi käyttää ylimääräiset 50–100 tuntia puuttuvien asioiden paikkaamiseen
- dokumentit eivät vastaa yrityksen todellista toimintaa
- sertifiointiauditoinnissa tulee paljon poikkeamia
- ylläpito jää projektin jälkeen kokonaan teidän ratkaistavaksi
Tarkastele hintaa näiden kolmen kysymyksen kautta:
- mitä saamme valmiiksi tämän projektin lopussa?
- kuinka paljon omaa työaikaa projekti vaatii?
- jääkö meille toimiva malli myös seuraaville 12 kuukaudelle?
Varoitus
Yleinen virhe on valita konsultti, joka lupaa sertifiointivalmiuden poikkeuksellisen nopeasti ilman kunnollista riskiarviointia ja käytäntöjen jalkautusta. Auditoinnissa tämä näkyy usein puutteina näytöissä, vastuissa ja seurannassa.
Ohjelmisto vai perinteinen konsultointi?
Moni yritys vertailee nykyään kahta mallia: perinteistä konsulttia tai yhdistelmää, jossa käytössä on ohjelmisto ja asiantuntijatuki. Tämä on tärkeä ero, koska ISO 27001 ei pääty sertifiointiin, vaan hallintajärjestelmää pitää myös ylläpitää.
Perinteisessä mallissa saat usein asiantuntijan ajan ja dokumentit. Ohjelmistopohjaisessa mallissa saat lisäksi rakenteen, johon riskit, kontrollit, poikkeamat, auditoinnit ja vuosikello jäävät elämään.
| Malli | Sopii parhaiten | Etu | Haaste |
|---|---|---|---|
| Perinteinen konsultointi | Yritykselle, jolla on vahva sisäinen omistaja | Joustava asiantuntijatyö | Ylläpito voi jäädä hajanaiseksi |
| Ohjelmisto + asiantuntijatuki | Pk-yritykselle, joka haluaa jatkuvan mallin | Tekeminen pysyy yhdessä paikassa | Vaatii sitoutumisen yhteiseen toimintatapaan |
| Täysin sisäinen toteutus | Organisaatiolle, jolla on ISO-osaamista valmiiksi | Alhaisempi ulkoinen kustannus | Hitaampi eteneminen ja suurempi tulkintariski |
Tietoturvapankki on rakennettu juuri tähän väliin: saat käyttöösi sovelluksen ja asiantuntijatuen, jolloin työ ei jää irrallisiksi tiedostoiksi tai yksittäisen konsultin muistin varaan. Sama ajattelutapa näkyy myös Softapankki Oy:n ja QMClouds Oy:n ratkaisuissa sekä Laatupankki-tuotemerkissä laadunhallinnan puolella, jossa esimerkiksi ISO 9001 -järjestelmiä viedään käytäntöön hallitusti.
Kysy nämä 10 kysymystä ennen päätöstä
Hyvä tarjouspalaveri ei ole myyntiesitys vaan tarkentava keskustelu. Mitä paremmin kysyt, sitä helpompi on erottaa kokenut kumppani geneerisestä toimittajasta.
Käy läpi ainakin nämä kysymykset:
- Mitä konkreettista tapahtuu projektin ensimmäisten 2 viikon aikana?
- Kuka tekee työn käytännössä, seniorikonsultti vai junioritiimi?
- Kuinka monta vastaavaa pk-yrityksen projektia olette tehneet viimeisen 24 kuukauden aikana?
- Miten riskiarviointi toteutetaan käytännössä?
- Mitä dokumentteja ja näyttöjä meidän pitää itse tuottaa?
- Kuinka paljon aikaa meidän johdolta tarvitaan kuukaudessa?
- Miten käyttöoikeuksien hallinta, toimittajariskit ja poikkeamien käsittely huomioidaan?
- Sisältyykö sisäinen auditointi tai sen valmistelu hintaan?
- Miten tuette meitä sertifiointiauditoinnin havaintojen korjaamisessa?
- Mitä tapahtuu projektin jälkeen seuraavan 12 kuukauden aikana?
Jos vastaukset ovat ympäripyöreitä, se on jo itsessään signaali. Hyvä konsultti pystyy kuvaamaan työnsä vaihe vaiheelta.
Määritä oma tavoite ennen toimittajien vertailua
Kirjaa ensin, miksi haette ISO 27001 -tukea: onko tavoitteena sertifiointi, asiakasvaatimus, riskienhallinnan parantaminen vai kaikki nämä. Rajaa samalla alustava soveltamisala ja tavoiteaikataulu, esimerkiksi sertifiointivalmius 9 kuukaudessa. Näin saat vertailukelpoisia tarjouksia etkä osta liian laajaa tai liian kevyttä palvelua.
Pyydä 3–4 toimittajalta tarjous samalla kysymysrungolla
Lähetä kaikille sama taustakuvaus: henkilöstömäärä, toimiala, nykyiset käytännöt, tavoite ja toivottu aikataulu. Pyydä mukaan vähintään projektin vaiheistus, arvioitu työmäärä, vastuunjako, kokonaishinta ja tieto siitä, mitä ei sisälly tarjoukseen. Kun rakenne on sama, erot näkyvät heti.
Arvioi demossa toimintatapa, ei vain asiantuntemusta
Varaa 45–60 minuutin tapaaminen, jossa toimittaja näyttää, miten projekti etenee käytännössä. Pyydä esimerkki riskirekisteristä, toimenpidelistasta, johdon katselmuksesta ja auditointivalmistelusta. Jos demo jää puheeksi ilman konkreettista mallia, arjen toteutus voi olla yhtä epäselvä.
Tarkista omistajuus ja jatkuvuus ennen sopimusta
Varmista, että dokumentit, riskitiedot ja hallintajärjestelmän sisältö jäävät yrityksesi hallintaan myös yhteistyön päättyessä. Sopikaa samalla ylläpidon rytmi: esimerkiksi riskikatsaus kvartaaleittain, johdon katselmus 1–2 kertaa vuodessa ja käyttöoikeuksien poistot 24 tunnin sisällä työsuhteen päättymisestä. Näin projekti muuttuu pysyväksi toimintatavaksi.
Yleisimmät virheet konsultin valinnassa
Useimmat epäonnistumiset eivät johdu siitä, että konsultti olisi täysin osaamaton. Ne johtuvat siitä, että odotukset, vastuut ja käytännön tekeminen jäävät epäselviksi.
Vältä erityisesti nämä virheet:
- valitaan toimittaja pelkän hinnan perusteella
- oletetaan, että konsultti hoitaa kaiken ilman johdon osallistumista
- jätetään projektin jälkeinen ylläpito sopimatta
- hyväksytään geneeriset dokumentit ilman yrityskohtaista sovitusta
- unohdetaan tarkistaa, kuka työn oikeasti tekee
Käytännön nyrkkisääntö: jos toimittaja ei pysty kertomaan ensimmäisen 90 päivän suunnitelmaa, hän ei todennäköisesti pysty johtamaan projektia hallitusti loppuun asti.
Mistä tunnistat hyvän kumppanin nopeasti?
Hyvä ISO 27001 -konsultti tekee monimutkaisesta asiasta selkeän. Hän ei piiloudu standardin taakse, vaan osaa kertoa, mitä teidän pitää tehdä ensi viikolla, ensi kuussa ja ennen auditointia.
Tunnistat hyvän kumppanin usein näistä merkeistä:
- hän puhuu liiketoiminnan tavoitteista, ei vain standardin kohdista
- hän osaa rajata tekemistä eikä ehdota kaikkea kaikille
- hän kertoo realistisesti, mitä teidän pitää tehdä itse
- hän näyttää mallin jatkuvaan ylläpitoon
- hän uskaltaa sanoa myös, mitä ei kannata tehdä vielä
Vinkki
Pyydä toimittajaa kuvaamaan yhdellä sivulla projektin eteneminen viikoille 1–12. Saat nopeasti näkyviin, onko kyseessä oikea toteutusmalli vai vain yleinen konsultointilupaus.
Yhteenveto
- Valitse ISO 27001 -konsultti sen perusteella, miten hyvin hän auttaa rakentamaan toimivan hallintajärjestelmän, ei vain auditointidokumentit.
- Vertaa toimittajia samalla kysymysrungolla ja pyydä näkyviin vaiheistus, vastuut, työmäärä ja kokonaishinta.
- Tarkista aina, miten riskiarviointi, sisäinen auditointi ja projektin jälkeinen ylläpito toteutetaan käytännössä.
- Halvin vaihtoehto ei ole edullisin, jos oma tiimi käyttää paljon lisäaikaa tai auditoinnissa tulee poikkeamia.
- Paras kumppani tekee tietoturvatyöstä jatkuvaa ja yrityksellesi sopivaa, ei konsultista riippuvaista.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.