Jokainen yritys tekee riskienhallintaa ja turvaa tietojansa jo jollain tasolla – muutenhan toimitilojen ovia ei lukittaisi tai liikesalaisuuksia jaettaisiin suoraan kaikille yrityksen verkkosivuilla. Aina tietoturvallisuuden tavanomainen hallinta ei kuitenkaan ole kaikkia uhkia vastaan riittävää. Voi myös olla, että tietoturvaa ei kehitetä pitkäjänteisesti ja yhtä nopeasti kuin maailma ympärillä tai omat tarpeet muuttuvat.
Jotta organisaatio voi varmistua tietoturvallisuuden hallintansa systemaattisuudesta, se voi ottaa toimintansa tueksi ISO 27001 -standardin parhaat käytännöt, säännöt ja ohjeet. Käytännössä jokaisen organisaation kannattaa lähteä liikkeelle ihan aluksi standardin hankinnasta ja siihen tutustumisesta. Tietoturvan hallintaan liittyvän standardin virallinen nimi ja uusin suomenkielinen versio on SFS-EN ISO/IEC 27001:2023. ISO-standardeja voi ostaa suomeksi SFS:n verkkokaupasta. ISO 27001 –standardin lisäksi kannattaa ostaa ISO 27002 –standardi, joka opastaa tarkemmin liitteessä A vaadittavien hallintakeinojen haltuunottoon. Vain 27001-versio on velvoittava ja vain siihen voi sertifioitua. Molempien standardien oppeja voi ja kannattaa kuitenkin hyödyntää tietoturvan kehittämisessä, vaikkei olisi aikomustakaan sertifioitua.
Jos standardien vaatimukset eivät avaudu pelkästään standardeja lukemalla, kannattaa lisätuntemusta hankkia kouluttamalla henkilökuntaa aiheeseen. Ylimmän johdon tulee myös määritellä vastuuhenkilö(t) hallintajärjestelmän ylläpitämiseen, joten vähintään heillä on hyvä olla selkeä ymmärrys standardin vaatimuksista.
ISO 27001 -standardissa määritellään vaatimukset, jotka koskevat organisaation tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista.
Hallintajärjestelmä ei tarkoita mitään erillistä tietojärjestelmää, vaan yksinkertaisesti se on kokoelma erilaisia organisaation ohjeita, toimintatapoja sekä teknisiä ratkaisuja tiedon suojaamiseen ja toiminnan jatkuvaan kehittämiseen. Usein näitä ohjeita ja tietoturvaa tukevaa teknologiaa on yrityksillä jo paljonkin käytössä, mutta niitä ei ole vain koottu yhteen hallituksi kokonaisuudeksi, ja niitä ei välttämättä kehitetä systemaattisesti.
Tietoturvan hallintajärjestelmää voisi kuvailla eräänlaisena talona. Kuten me ihmisetkin olemme jo luola-ajoista asti etsineet turvapaikkaa ja yösijaa, on tietoturvan hallintajärjestelmä eräänlainen koti organisaation suojattaville kohteille. Suojattavia kohteita ovat erityisesti tieto, jonka emme halua päätyvän vääriin käsiin. Lisäksi haluamme suojata mm. henkilöstöä, tiloja, järjestelmiä ja verkkoja.
Talo kannattaa aina rakentaa hyvälle maaperälle eli tässä tapauksessa jatkuvan parantamisen kulttuurille. Tämä tarkoittaa muun muassa sitä, että tietoturvassa havaittuja epäkohtia nostetaan esille, ja niitä käsitellään sekä korjataan jatkuvasti.
Jos jatkuvan parantamisen kulttuuri ei aidosti toimi, hallintajärjestelmä ikään kuin homehtuu käyttämättömänä. Tällöin se ei myöskään vastaa enää jatkuvasti ympärillä muuttuvan maailman vaatimuksiin.
Lisäksi talo tulee rakentaa aina kunnon perustuksille. Tietoturvallisuuden hallinnan tapauksessa kivijalkana on toimiva riskienhallinta. Tämä määrittää myös talon koon ja muodon, sillä jokaisen organisaation tarpeet ovat erilaisia. ISO-standardit on suunniteltu kattamaan kaikenkokoisia organisaatioita kaikilta aloilta, joten soveltaminen organisaatiokohtaisesti on tärkeää. Soveltaminen tehdään juuri riskienhallinnan avulla sekä organisaation omien sidosryhmien vaatimusten pohjalta.
Katto pään päällä, sekä ovet ja ikkunat rakennetaan hyödyntäen ISO 27001 -standardin hallintakeinoja (liite A). Näiden avulla suojaudumme konkreettisesti uhkia eli esimerkiksi kyberhyökkäyksiä, tietämättömyyttä tai tulipaloa vastaan. ISO 27001 –standardin hallintakeinoissa huomioidaan myös ihmisten käyttäytyminen, eli kyse ei ole pelkästään teknologisista ratkaisuista vaan esim. henkilöstön kouluttamisesta ja politiikkojen noudattamisesta. Pelkät lukot ei kotiovissakaan auta, jos niitä ei muisteta lukita.
Lisäksi tarvitsemme vielä seinät, joilla talo rakentuu tarvittavaan harjakorkeuteen (tavoitteet), ja jotka tukevat kattoa paikallaan (oman suorituskyvyn arviointi). Tavoitteisiin vaikuttavat oman liiketoiminnan lisäksi sidosryhmien, kuten asiakkaiden ja viranomaisten, vaatimukset. Sen vuoksi on hyvin tärkeää, että omaa toimintaa arvioidaan säännöllisesti muun muassa sisäisillä auditoinneilla.
Kaikilla organisaatioilla on jo olemassa jonkinlainen tietoturvanhallintajärjestelmä. Jos sitä ei kuitenkaan ole rakennettu järjestelmällisesti tai sitä ei kehitetä jatkuvasti, se voi suojata uhilta tällä hetkellä kuin luola, teltta tai hutera lautamökki.
ISO 27001 -standardi on siis kuin arkkitehtipiirrokset ja yksityiskohtaiset työohjeet, jotka auttavat rakentamaan suojattavien kohteiden turvaksi jykevän kivitalon. Useimmiten organisaatioilla on jo hyvin paljon rakennusmateriaalia eli ohjeistuksia, käytäntöjä ja turvateknologiaa valmiina, joten hallintajärjestelmän rakentaminen ei ole suinkaan niin raskasta kuin monesti luullaan.
Standardi opastaa myös talon jatkuvassa huoltamisessa eli hallintajärjestelmän jatkuvassa kehittämisessä. Jatkuva parantaminen on erittäin tärkeää, jottei rakennusprojektin hyödyt katoa ajansaatossa. Tämän vuoksi sertifiointikaan ei ole kertaluontoinen, vaan jatkuva prosessi.
Jos organisaatio haluaa osoittaa muille, että sen tietoturvallisuuden hallinta on standardin vaatimusten mukaista, se voi hakea ulkopuolisen ja puolueettoman tahon myöntämää ISO 27001 -sertifikaattia. Usein sertifiointiin on liiketoiminnan kannalta jopa pakottava tarve ryhtyä, sillä pelkkä tarjouskilpailuun osallistuminen voi edellyttää toimittajalta ISO 27001 –sertifikaattia. Aina sertifikaattia ei vaadita, mutta silloin myyntiorganisaatio voi joutua vastaamaan potentiaalisten asiakkaiden tietoturva-aiheisiin kysymyksiin – ja kysymyksiä voi olla useita satoja.
Sen lisäksi, että sertifiointi edesauttaa omaa tietoturvan hallinnan kehittymistä, siitä voi olla paljon kaupallista etua ja ajansäästöä myynnissä.
Sertifikaattia varten organisaation tulee noudattaa kaikkia standardin vaatimuksia (yksittäisiä kohtia voi jättää pois, mutta vain jos niihin on selkeät perusteet) ja todistaa tämä sertifiointiarviointiprosessin aikana. Prosessissa on ensimmäisen vuoden aikana kaksi ulkoista auditointia eli esiarviointi ja pääarviointi. Arvioinnin kesto riippuu organisaation henkilöstömäärästä ja hallintajärjestelmän laajuudesta, ja se sisältää sekä haastatteluja että dokumentoidun tiedon läpikäyntiä.
Jos sertifikaatti myönnetään, tämän jälkeen tehdään kahden seuraavan vuoden aikana hieman suppeammat seuranta-arvioinnit.
Kolmantena vuonna sertifikaatti uusitaan jälleen vähän laajemmalla arvioinnilla, minkä jälkeen prosessi toistuu säännöllisesti kolmen vuoden sykleissä.
Jatkuvat ulkoiset tarkastelut auttavat pitämään hallintajärjestelmää koko ajan toiminnassa. Kun hallintaan rakennetaan alusta asti järkevät tavat ja kytketään ne mahdollisimman hyvin yrityksen liiketoimintaan, myös ylläpito ja sertifikaatin säilyttäminen on jatkossa helpompaa.
Tätä tekstiä kirjoitettaessa (5/2024):
SFS-EN ISO/IEC 27001:2023 standardi 90,10 € alv. 0
SFS-EN ISO/IEC 27002:2022 standardi – hallintakeinojen käyttöönotto-opas 191,60 € alv. 0
Tietoturvan hallintajärjestelmän rakentaminen kestää usein n. 6-12 kk, joten siihen on varattava resursseja: yrityksen omat palkkakulut, koulutuskustannukset sekä mahdollisesti tarvittavat teknologiahankinnat ja ulkopuolisten asiantuntijoiden kulut.
Suomessa FINAS akkreditoi sertifiointitoimijoita, joilta voi tilata varsinaisen sertifioinnin. Erilaisia toimijoita voi hakea FINAS:in verkkosivuilta, ja heiltä kannattaa pyytää tarjouksia sertifioinnista jo projektin alkuvaiheessa.
Sertifioivat tahot laskevat arvioinnille hinnan kohdeorganisaation ja soveltuvuusalan henkilöstömäärän mukaan. Tarvittava määrä päiviä kerrotaan päivähinnalla, joka vaihtelee toimijakohtaisesti. Lisäksi hintoihin saattaa tulla muita kuluja, joten kilpailutuksessa on hyvä olla tarkkana.
Esimerkiksi noin 20 hengen organisaation kolmen ensimmäisen vuoden arviointikulut ovat hyvin karkeasti arvioituna n. 15 000 euroa (alv 0%).
Artikkelin on kirjoittanut yrittäjä Piitu Vidgren HITHA Oy:stä.
Hän on toiminut vuodesta 2010 alkaen ISO 27001 – standardin kouluttajana, konsulttina, auditoijana ja projektipäällikkönä.
Pysy ajan tasalla – tilaa kyberturvan uutiskirje. Ei spämmiä!
Kyberasema Kymenlaakso kokoaa yhteen kymenlaaksolaisille yrityksille suunnatut, Xamkin tuottamat kyber- ja tietoturvapalvelut, sisällöt, koulutukset ja tapahtumat Kuten Kybertuska-päivä.
Ota yhteyttä: kyberkymi@xamk.fi