Sisältöön

Tietoturvasertifiointi - SecMeter

Ohita valikko
Ohita valikko

Tietoturvasertifiointi

Yritysturvallisuus > Tietoturvallisuus
Ohita valikko
Käytännön askeleet tietoturvasertifiointiin



Yleisimmin sertifiointi perustuu kansainväliseen standardiin ISO/IEC 27001, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle (ISMS, Information Security Management System). Suomessa sertifioinnin myöntää akkreditoitu sertifiointielin, jonka pätevyyden vahvistaa FINAS (Finnish Accreditation Service).

Tietoturvasertifiointi ei ole pelkkä muodollisuus, vaan systemaattinen kehitysprosessi, joka vaatii johdon sitoutumista, riskiperusteista ajattelua ja jatkuvaa parantamista. ISO/IEC 27001 -sertifiointi rakentuu selkeistä vaiheista, kuten johdon tuesta, soveltamisalan määrittelystä, riskienhallinnasta, dokumentoinnista, käyttöönotosta ja auditoinneista.

Onnistunut sertifiointi syntyy, kun tietoturva integroidaan osaksi organisaation arkea, ei erilliseksi projektiksi, vaan pysyväksi toimintatavaksi.

Seuraavassa tarkastellaan kattavasti sertifiointiprosessin vaiheet, keskeiset vaatimukset sekä onnistumisen edellytykset käytännön näkökulmasta.
Tehtävälista auditointiin valmistautumiseen (ISO/IEC 27001)
Vahvista perusasiat (8–12 viikkoa ennen auditointia)

  1. Varmista, että soveltamisala (scope) on ajantasainen
  2. Tarkista, että tietoturvapolitiikka on johdon hyväksymä
  3. Varmista, että johdon katselmus on tehty viimeisen 12 kk aikana
  4. Tarkista, että riskien hyväksyntä on dokumentoitu

Päivitä riskienhallinta

  1. Päivitä riskirekisteri
  2. Varmista, että riskien arviointimenetelmä on dokumentoitu
  3. Tarkista, että hallintakeinot perustuvat riskeihin
  4. Päivitä Statement of Applicability (SoA)
  5. Varmista, että SoA ja riskirekisteri ovat linjassa

Suorita sisäinen auditointi

  1. Toteuta sisäinen auditointi koko soveltamisalan osalta
  2. Dokumentoi havainnot (myös pienet puutteet)
  3. Määritä korjaavat toimenpiteet
  4. Sulje havaitut poikkeamat ennen ulkoista auditointia

Tarkista operatiiviset kontrollit (4–6 viikkoa ennen auditointia)

  1. Käyttöoikeuksien myöntö- ja poistoprosessi toimii
  2. Käyttöoikeuksien katselmointi on tehty
  3. Lokien seurannasta on dokumentoitu näyttö
  4. Poikkeamienhallinta on aktiivista
  5. Varmuuskopiot testattu
  6. Jatkuvuussuunnitelma testattu tai harjoiteltu

Kerää konkreettinen todentava näyttö

  1. raportit
  2. lokit
  3. pöytäkirjat
  4. testausdokumentit

Tarkista dokumentaatio

  1. Kaikilla dokumenteilla on versiotiedot
  2. Vanhentuneet dokumentit poistettu käytöstä
  3. Politiikat ovat henkilöstön saatavilla
  4. Toimittajasopimuksissa tietoturvavaatimukset mukana
  5. Mittarit määritelty ja tulokset analysoitu

Valmistele henkilöstö (2–3 viikkoa ennen auditointia)

  1. Kerro auditoinnin aikataulu ja tarkoitus
  2. Varmista, että avainhenkilöt ovat paikalla
  3. Käy läpi roolit ja vastuut
  4. Harjoittele tyypillisiä auditointikysymyksiä

Valmistele auditointimateriaali (laadi valmis kansiorakenne fyysinen tai digitaalinen):

  1. Soveltamisalan dokumentti
  2. Tietoturvapolitiikka
  3. Riskirekisteri
  4. SoA
  5. Sisäisen auditoinnin raportti
  6. Johdon katselmuksen pöytäkirja
  7. Mittariraportit
  8. Poikkeamarekisteri

Käytännön järjestelyt (auditointipäivänä)

  1. Tilat varattu
  2. Pääsy tarvittaviin järjestelmiin
  3. Nimetty auditointivastaava
  4. Yhteyshenkilöt tavoitettavissa

Auditoinnin aikana

  1. Vastaa kysymyksiin rehellisesti
  2. Näytä konkreettinen näyttö
  3. Älä arvaile, tarkista tarvittaessa
  4. Älä peittele pieniä puutteita

Auditoinnin jälkeen (jos poikkeamia havaitaan)

  1. Analysoi juurisyy
  2. Määritä korjaavat toimenpiteet
  3. Aikatauluta toteutus
  4. Dokumentoi kaikki toimet

Varmista erityisesti:

  1. Riskirekisteri on ajan tasalla
  2. SoA vastaa todellisuutta
  3. Johdon katselmus on tehty
  4. Sisäinen auditointi on toteutettu
  5. Jatkuvuussuunnitelmaa on testattu
  6. Hallintakeinoista on konkreettinen näyttö
Asia Sudenkuopat Riskienhallinta Liite A kontrollit
Tietoturvasertifioinnin toteuttaminen ja keskeiset vaatimukset
Tietoturvasertifiointi perustuu useimmiten kansainväliseen ISO/IEC 27001 -standardiin, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle (Information Security Management System, ISMS). Standardin tarkoituksena on varmistaa, että organisaatio hallitsee tietoturvariskejä systemaattisesti ja jatkuvan parantamisen periaatteiden mukaisesti. Suomessa sertifikaatin myöntää akkreditoitu sertifiointielin, jonka akkreditoinnin vahvistaa FINAS, Suomen kansallinen akkreditointipalvelu.

Tietoturvasertifiointi ei ole pelkkä muodollinen tarkastusmenettely, vaan organisaation toiminnan kehittämisprosessi. Sertifiointi edellyttää johdon sitoutumista, riskiperusteista ajattelua sekä jatkuvaa parantamista. ISO/IEC 27001 -standardin mukainen sertifiointi rakentuu useista toisiinsa liittyvistä vaiheista, joiden tavoitteena on integroida tietoturva osaksi organisaation päivittäistä toimintaa.

Johdon sitoutuminen ja resurssien varmistaminen
Tietoturvan hallintajärjestelmän rakentaminen alkaa ylimmän johdon päätöksestä ja strategisesta linjauksesta. Standardi korostaa johdon vastuuta erityisesti riskienhallinnan ohjaamisessa sekä hallintajärjestelmän jatkuvassa kehittämisessä. Johdon keskeisiä tehtäviä ovat:

  • tietoturvan tavoitteiden määrittely,
  • vastuiden ja roolien nimeäminen,
  • riittävien resurssien varmistaminen,
  • tietoturvakulttuurin edistäminen organisaatiossa.

Ilman johdon aktiivista osallistumista tietoturvan hallintajärjestelmä jää helposti irralliseksi hallinnolliseksi kokonaisuudeksi.

Soveltamisalan määrittely
Soveltamisala määrittelee, mitä organisaation toimintoja, palveluja, sijainteja ja tietojärjestelmiä sertifiointi koskee. Soveltamisalan määrittely on kriittinen vaihe, sillä se rajaa hallintajärjestelmän laajuuden ja vaikuttaa merkittävästi projektin toteutettavuuteen. Soveltamisalassa kuvataan muun muassa:

  • fyysiset sijainnit,
  • tietojärjestelmät ja tietovarannot,
  • prosessit,
  • liiketoimintayksiköt,
  • ulkoistetut palvelut.

Soveltamisalan tulee olla dokumentoitu, selkeästi rajattu ja liiketoiminnallisesti perusteltu.

Nykytilan arviointi ja gap-analyysi
Nykytilan arvioinnissa analysoidaan organisaation olemassa olevat tietoturvakäytännöt suhteessa standardin vaatimuksiin. Tätä kutsutaan usein gap-analyysiksi. Arvioinnin kohteena voivat olla esimerkiksi:

  • riskienhallintaprosessin olemassaolo ja toimivuus,
  • tietoturvapolitiikan dokumentointi,
  • pääsynhallintamenettelyt,
  • lokien seuranta ja valvonta.

Gap-analyysin tuloksena muodostuu kehittämissuunnitelma, jonka avulla tunnistetut puutteet voidaan korjata ennen varsinaista sertifiointiauditointia.

Riskien arviointi ja käsittely
Riskienhallinta muodostaa standardin keskeisen perustan. Organisaation tulee tunnistaa tietovaransa, arvioida niihin kohdistuvat uhat ja haavoittuvuudet sekä määrittää riskien todennäköisyys ja vaikutus. Riskien käsittelyvaihtoehtoja ovat:

  • riskin välttäminen,
  • riskin pienentäminen,
  • riskin siirtäminen,
  • riskin hyväksyminen.

Riskien arvioinnin tuloksena syntyy riskirekisteri sekä riskienkäsittelysuunnitelma. Hallintakeinojen valinnan tulee perustua tunnistettuihin riskeihin, ei pelkästään standardin liitteessä esitettyihin suosituksiin.

Dokumentointi ja soveltuvuuslausunto (SoA)
ISO/IEC 27001 edellyttää dokumentoitua hallintajärjestelmää. Dokumentaatioon kuuluvat muun muassa:

  • tietoturvapolitiikka,
  • riskienhallintamenettely,
  • pääsynhallintaohjeet,
  • jatkuvuussuunnitelmat,
  • poikkeamienhallintaprosessi.

Keskeinen asiakirja on Statement of Applicability (SoA), eli soveltuvuuslausunto. SoA:ssa:

  • luetellaan standardin hallintakeinot,
  • määritellään, mitkä hallintakeinot otetaan käyttöön,
  • perustellaan mahdolliset poissulkemiset.
  • SoA toimii keskeisenä linkkinä riskienhallinnan ja toteutettujen hallintakeinojen välillä.

Koulutus ja käyttöönotto
Hallintajärjestelmän toimivuus edellyttää, että dokumentoidut menettelyt jalkautetaan käytäntöön. Henkilöstön koulutus on olennainen osa tätä vaihetta. Käyttöönottoon kuuluu esimerkiksi:

  • käyttöoikeusprosessien toteuttaminen,
  • lokien seurannan aktivointi,
  • poikkeamien raportointimenettelyn käyttöönotto.

Tietoturvakulttuurin kehittyminen on keskeinen tekijä järjestelmän pitkäaikaisessa toimivuudessa.

Sisäinen auditointi
Ennen ulkoista sertifiointia organisaation tulee suorittaa sisäinen auditointi. Sisäisen auditoinnin tarkoituksena on arvioida hallintajärjestelmän toimivuutta, tunnistaa puutteet ja varmistaa dokumentaation ja käytännön toteutuksen välinen vastaavuus. Sisäinen auditointi toimii valmistavana vaiheena ulkoiselle auditoinnille ja tukee jatkuvan parantamisen periaatetta.

Ulkoinen sertifiointiauditointi
Sertifiointiauditoinnin suorittaa akkreditoitu sertifiointielin. Auditointi etenee tyypillisesti kahdessa vaiheessa:

  • Vaihe 1 Dokumentaation ja valmiuden arviointi.
  • Vaihe 2 Käytännön toteutuksen arviointi, johon sisältyvät haastattelut, näytöt hallintakeinojen toimivuudesta sekä prosessien tarkastelu.

Mahdolliset merkittävät poikkeamat on korjattava ennen sertifikaatin myöntämistä. Vähäisistä poikkeamista edellytetään yleensä hyväksyttyä korjaussuunnitelmaa.

Keskeiset vaatimukset sertifikaatin saavuttamiseksi
Sertifikaatin saavuttaminen edellyttää:

  • Järjestelmällistä riskienhallintaa, joka on dokumentoitu ja toistettava.
  • Dokumentoitua hallintajärjestelmää, joka sisältää politiikat, menettelyt, vastuut ja prosessikuvaukset.
  • Jatkuvaa seurantaa ja parantamista, johon sisältyvät mittarit, johdon katselmukset ja säännölliset auditoinnit.

Standardi perustuu PDCA-malliin (Plan–Do–Check–Act), jonka mukaisesti hallintajärjestelmää suunnitellaan, toteutetaan, arvioidaan ja kehitetään systemaattisesti.

Sertifioinnin hyödyt
Tietoturvasertifiointi tukee organisaation riskienhallintaa, parantaa prosessien läpinäkyvyyttä ja vahvistaa sidosryhmien luottamusta. Lisäksi se voi tuottaa kilpailuetua erityisesti tilanteissa, joissa asiakkaat edellyttävät todennettua tietoturvan hallintaa.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön