Moni pk-yritys huomaa liian myöhään, ettei ISO 27001 -auditointiin valmistauduta viikkoa ennen auditoijan saapumista. Yleinen ongelma ei ole se, etteikö tietoturvaa tehtäisi, vaan se, ettei tekemistä ole kuvattu, vastuutettu ja todennettavissa. Auditoinnissa ratkaisee käytännössä yksi asia: pystyttekö näyttämään, miten tietoturvan hallintajärjestelmä toimii arjessa.
Tässä artikkelissa saat käytännöllisen tarkistuslistan siihen, onko yrityksesi valmis ISO 27001 -auditointiin. Käymme läpi, mitä auditoija yleensä tarkistaa, millaiset puutteet pysäyttävät etenemisen ja miten voit arvioida valmiutta jo ennen varsinaista auditointia. Lopussa saat myös konkreettisen etenemismallin, jos huomaat aukkoja.
Mitä auditointivalmius oikeasti tarkoittaa?
Auditointivalmius ei tarkoita täydellisyyttä. Se tarkoittaa, että yrityksellä on määritelty soveltamisala, tunnistetut keskeiset riskit, valitut kontrollit ja näyttöä siitä, että sovitut käytännöt myös toteutuvat.
Käytännössä auditoija etsii vastauksia esimerkiksi näihin kysymyksiin:
- Mitä liiketoiminnan osia hallintajärjestelmä kattaa?
- Mitkä ovat yrityksen 3–5 keskeisintä tietoturvariskiä?
- Mitä kontrollitoimia näihin riskeihin on valittu?
- Kuka vastaa seurannasta, poikkeamista ja parannuksista?
- Missä näkyy näyttö siitä, että käytännöt toimivat arjessa?
Jos jokin näistä jää epäselväksi, auditointi ei yleensä kaadu yhteen yksittäiseen dokumenttiin vaan kokonaiskuvaan. Onko teillä punainen lanka, joka yhdistää riskit, päätökset, ohjeet ja käytännön tekemisen?
Huomio
ISO 27001 ei arvioi vain dokumentteja. Auditoija tarkistaa myös, vastaavatko dokumentit todellista toimintaa. Siksi vanhentunut ohje on usein huonompi kuin lyhyt mutta ajantasainen ohje.
Ensimmäinen testi: löytyvätkö auditoinnin peruspalikat?
Hyvä lähtökohta on tarkistaa, ovatko perusasiat olemassa ja ajan tasalla. Jos näistä puuttuu useampi kuin yksi, auditointia kannattaa yleensä siirtää ja käyttää 2–6 viikkoa puutteiden korjaamiseen.
Alla oleva taulukko toimii nopeana itsearviointina:
| Tarkistettava asia | Mitä pitäisi löytyä | Valmis, jos... | Hälytysmerkki |
|---|---|---|---|
| Soveltamisala | Kuvaus siitä, mitä toimintoja, palveluita, tiimejä ja järjestelmiä ISO 27001 kattaa | Rajaus on kirjattu yhdelle sivulle ja johto hyväksynyt sen | Rajaus muuttuu keskustelun aikana tai sitä ei ole dokumentoitu |
| Tietoturvapolitiikka | Ylätason linjaus tavoitteista ja vastuista | Politiikka on hyväksytty ja viestitty henkilöstölle 12 kk sisällä | Dokumentti on vanha tai kukaan ei tunne sitä |
| Riskiarviointi | Menetelmä, riskit, pisteytys ja käsittelypäätökset | Keskeiset riskit on arvioitu ja päivitetty vähintään vuosittain | Riskilista on geneerinen tai ilman omistajia |
| SoA / soveltuvuuslausunto | Luettelo valituista kontrolleista ja perusteluista | Jokaiselle poikkeamalle on perustelu | Kontrollit on kopioitu ilman perusteluja |
| Tavoitteet ja mittarit | Tietoturvatavoitteet ja seuranta | Mittareita seurataan esimerkiksi kvartaaleittain | Tavoitteita ei mitata lainkaan |
| Sisäinen auditointi | Toteutettu sisäinen tarkastus ennen sertifiointia | Havainnot on kirjattu ja korjaukset käynnissä | Sisäistä auditointia ei ole tehty |
| Johdon katselmus | Johdon arvio hallintajärjestelmän toimivuudesta | Katselmus on pidetty ja päätökset dokumentoitu | Johto ei ole käsitellyt aihetta yhdessä |
Jos taulukosta kertyy 2 tai enemmän hälytysmerkkiä, ette todennäköisesti ole vielä valmiita varsinaiseen auditointiin. Hyvä uutinen on, että nämä puutteet ovat yleensä korjattavissa nopeasti, kun vastuut ovat selvät.
Dokumentit eivät yksin riitä — tarvitset näyttöä arjesta
Moni yritys ajattelee olevansa valmis, kun kansioissa on politiikat, ohjeet ja riskitaulukot. Auditoinnissa seuraava kysymys kuuluu kuitenkin lähes aina: miten tämä näkyy käytännössä?
Näyttö voi olla hyvin arkista. Auditoijaa kiinnostaa esimerkiksi, poistetaanko käyttöoikeudet lähtijöiltä 24 tunnin sisällä, tehdäänkö varmuuskopioiden palautustestejä 2–4 kertaa vuodessa ja käsitelläänkö poikkeamat sovitulla tavalla.
Käytännön näyttöä voivat olla esimerkiksi:
- käyttöoikeuspyynnöt ja poistotiketit
- lokit tai raportit monivaiheisen tunnistautumisen käytöstä
- varmuuskopioiden testipalautusten pöytäkirjat
- tietoturvapoikkeamien käsittelymuistiot
- henkilöstön perehdytys- tai koulutusmerkinnät
- toimittaja-arvioinnit ja hyväksyntäpäätökset
Kysy itseltäsi suoraan: jos auditoija pyytäisi huomenna kolme esimerkkiä toteutuneesta kontrollista, saisitteko ne esiin 15 minuutissa? Jos vastaus on ei, ongelma ei välttämättä ole tekemisen puute vaan todistusaineiston hajanaisuus.
Vinkki
Valitse heti yksi yhteinen paikka auditointinäytöille. Jo pelkkä kansiorakenne, jossa on osiot riskeille, kontrolleille, poikkeamille ja johdon katselmuksille, säästää usein useita tunteja auditointiviikolla.
Henkilöstö paljastaa nopeasti, onko järjestelmä oikeasti käytössä
ISO 27001 -auditointi ei ole vain tietoturvavastaavan tai IT-päällikön koe. Auditoija voi kysyä myös työntekijältä, miten epäilyttävä sähköposti ilmoitetaan, missä ohjeet löytyvät tai miten asiakastietoja käsitellään etätyössä.
Siksi hyvä valmiustesti on tehdä pieni pistokoe ennen auditointia. Haastatelkaa 3–5 henkilöä eri rooleista ja kysykää samat peruskysymykset.
Esimerkkikysymyksiä henkilöstölle:
- Miten toimit, jos epäilet tietojenkalastelua?
- Kenelle ilmoitat tietoturvapoikkeamasta?
- Miten käsittelet luottamuksellista asiakastietoa kotitoimistolla?
- Mitä teet, jos tarvitset pääsyn uuteen järjestelmään?
- Tiedätkö, mistä yrityksen tietoturvaohjeet löytyvät?
Jos yli 20 % vastauksista jää epävarmoiksi tai ristiriitaisiksi, auditointivalmiudessa on selvä riski. Tällöin nopein korjaus ei ole uuden politiikan kirjoittaminen vaan kohdennettu 30–45 minuutin kertauskoulutus niille tiimeille, joilla puutteita on.
Yleisimmät puutteet ennen auditointia
Samat ongelmat toistuvat yrityksestä toiseen. Usein ne eivät ole isoja teknisiä puutteita vaan hallinnan epäselvyyksiä.
Tyypillisimpiä puutteita ovat:
- riskienhallinta on tehty kerran, mutta sitä ei ole päivitetty liiketoiminnan muuttuessa
- kontrollit on valittu, mutta niiden omistajia ei ole nimetty
- poikkeamien käsittelyä ei ole dokumentoitu
- sisäinen auditointi on tekemättä tai liian pintapuolinen
- johdon katselmus puuttuu tai on pelkkä muodollisuus
- toimittajien tietoturvaa ei arvioida järjestelmällisesti
- mittarit ovat olemassa, mutta niitä ei seurata säännöllisesti
Näistä erityisen yleinen virhe on kopioida kontrollit mallipohjasta ilman yhteyttä omaan toimintaan. Auditoija huomaa tämän nopeasti, jos esimerkiksi pilvipalveluyrityksen kontrollit näyttävät samalta kuin valmistavan teollisuuden organisaatiolla ilman perusteluja.
Varoitus
Yleinen sudenkuoppa on valmistella auditointia vain dokumenttien näkökulmasta viimeisten 1–2 viikon aikana. Jos sisäinen auditointi, johdon katselmus ja korjaavat toimet puuttuvat, aikataulu on käytännössä liian tiukka.
Käytännön tarkistuslista: näin arvioit valmiuden
Pelkkä teoria ei vielä kerro, missä kunnossa olette. Alla oleva etenemismalli auttaa tekemään nopean mutta realistisen arvion.
Tarkista pakolliset dokumentit ja päätökset
Käy läpi soveltamisala, tietoturvapolitiikka, riskiarviointi, soveltuvuuslausunto, tavoitteet, sisäisen auditoinnin tulokset ja johdon katselmus. Merkitse jokainen kohtaan: valmis, keskeneräinen tai puuttuu. Jos puuttuvia on yli 2, siirrä auditointia ja tee korjaussuunnitelma.
Kerää näyttö kolmesta keskeisestä kontrollista
Valitse 3 kontrollia, jotka ovat liiketoimintanne kannalta olennaisimmat, kuten käyttöoikeuksien hallinta, varmuuskopiointi ja poikkeamien käsittely. Kerää jokaisesta vähintään 2 konkreettista näyttöä, esimerkiksi tiketti, loki, pöytäkirja tai hyväksyntä. Näin näet nopeasti, onko tekeminen todennettavissa.
Tee henkilöstölle nopea auditointiharjoitus
Haastattele 3–5 työntekijää eri rooleista ja käy läpi peruskysymykset tietoturvakäytännöistä. Kirjaa epäselvät vastaukset ja järjestä tarvittaessa 30 minuutin täsmäkoulutus. Tämä on yksi tehokkaimmista tavoista löytää käytännön aukot ennen auditoijaa.
Arvioi korjaavien toimien tila realistisesti
Listaa kaikki havaitut puutteet ja anna niille omistaja, määräaika ja prioriteetti. Hyvä käytäntö on, että kriittiset puutteet suljetaan 2 viikon sisällä ja keskisuuret 30 päivän sisällä. Auditointiin kannattaa mennä vasta, kun kriittiset kohdat on oikeasti suljettu, ei vain suunniteltu.
Milloin yritys on oikeasti valmis?
Yritys on yleensä valmis ISO 27001 -auditointiin, kun kokonaisuus täyttää kolme ehtoa yhtä aikaa:
| Valmiuden osa-alue | Kysymys | Hyvä taso |
|---|---|---|
| Dokumentointi | Onko vaaditut asiat kuvattu ja hyväksytty? | Kaikki ydindokumentit ajan tasalla ja löydettävissä alle 5 minuutissa |
| Toteutus | Toimivatko sovitut käytännöt arjessa? | Keskeisistä kontrolleista löytyy ajantasainen näyttö |
| Johtaminen | Seurataanko ja parannetaanko toimintaa? | Sisäinen auditointi, johdon katselmus ja korjaavat toimet tehty |
Jos yksikin näistä ontuu pahasti, auditointi muuttuu helposti oppimiskokemukseksi väärässä kohdassa prosessia. Parempi vaihtoehto on tehdä ensin rehellinen esiauditointi tai sisäinen tarkistus.
Pk-yritykselle hyvä nyrkkisääntö on tämä: jos pystytte kuvaamaan 10 minuutissa mitä hallintajärjestelmä kattaa, mitkä ovat tärkeimmät riskit, mitä kontrolleja käytätte ja miten seuraatte niiden toimivuutta, olette jo pitkällä. Jos keskustelu hajoaa eri suuntiin, valmistelu kaipaa vielä jäsentämistä.
Miten Tietoturvapankki helpottaa auditointivalmiutta?
Monessa yrityksessä haaste ei ole osaamisen puute vaan ajan ja rakenteen puute. Dokumentit ovat yhdessä paikassa, riskit toisessa ja todisteet kolmannessa. Silloin auditointiin valmistautuminen vie helposti enemmän aikaa kuin itse hallintajärjestelmän ylläpito.
Tietoturvapankki on rakennettu juuri tähän ongelmaan. Se yhdistää sovelluksen ja asiantuntijatuen niin, että ISO 27001 -vaatimukset, riskienhallinta, dokumentointi ja seuranta pysyvät samassa kokonaisuudessa. Softapankki Oy:n ja QMClouds Oy:n tausta näkyy siinä, että ratkaisu on tehty pk-yrityksille käytännölliseksi, ei raskasta byrokratiaa varten. Jos käytössänne on jo Laatupankki, ajattelutapa on tuttu myös laadunhallinnan puolelta.
Hyöty näkyy erityisesti näissä tilanteissa:
- haluatte nähdä yhdestä paikasta, mitä vielä puuttuu ennen auditointia
- tarvitsette mallin riskien, kontrollien ja näyttöjen yhdistämiseen
- haluatte varmistaa, että johdon katselmukset ja sisäiset auditoinnit eivät jää viime tinkaan
- tarvitsette asiantuntijan sparrausta siihen, mikä on auditoijan näkökulmasta riittävä taso
Yhteenveto
- ISO 27001 -auditointivalmius tarkoittaa dokumenttien lisäksi näyttöä siitä, että käytännöt toimivat arjessa.
- Tarkista ensin perusasiat: soveltamisala, riskiarviointi, soveltuvuuslausunto, sisäinen auditointi ja johdon katselmus.
- Kerää vähintään kolmesta keskeisestä kontrollista konkreettinen näyttö, joka löytyy nopeasti auditointitilanteessa.
- Testaa henkilöstön valmius etukäteen haastattelemalla 3–5 henkilöä eri rooleista.
- Jos kriittisiä puutteita on useita, käytä ensin 2–6 viikkoa korjaaviin toimiin ennen varsinaista auditointia.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.