Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

10 yleisintä poikkeamaa ISO 27001 -auditoinneissa

ISO 27001
10 yleisintä poikkeamaa ISO 27001 -auditoinneissa
NIS2
10 yleisintä poikkeamaa ISO 27001 -auditoinneissa
Artikkelit
10 yleisintä poikkeamaa ISO 27001 -auditoinneissa

Auditoinnit ja havaitut poikkeamat ovat olennainen osa tietoturvan hallintaa. Auditoinnit ja poikkeamat ohjaavat organisaatioita jatkuvaan parantamiseen ja tekevät tietoturvasta elävän ja kehittyvän prosessin eikä pelkkää rasti ruutuun -tehtävää.

Auditoinnit auttavat tunnistamaan heikkoudet ennen kuin niistä tulee häiriöitä ja seuraamaan tietoturvan edistymistä ajan mittaan. Poikkeamat tarjoavat tilaisuuden oppimiseen ja kasvuun ja edistävät vastuullisuuden kulttuuria. Organisaatiot, jotka hyväksyvät auditoinnit, näkevät ne pikemminkin välineenä parantamiseen kuin rangaistuksena.

Tutustu myös muihin ISO 27001 -standardiin liittyviin blogikirjoituksiin ISO 27001 - kokoelmassamme

Mitä ovat tietoturva- tai ISO 27001 -auditoinnit?

Tietoturva-auditoinnit ovat organisaation tietoturvan järjestelmällisiä arviointeja. Auditoinnilla pyritään varmistamaan, että organisaatio todella toimii asetettujen vaatimusten tai valittujen parhaiden käytäntöjen mukaisesti suojatakseen tietovaransa.

Tietoturva-auditoinnin tavoitteita ovat yleensä seuraavat:

  1. vaatimustenmukaisuuden arviointi: Varmistaa, että organisaatio noudattaa todellisuudessa asetettuja tai sisäisiä käytäntöjä tai valittuja vaatimuskehikkoja (esim. ISO 27001, NIS2, GDPR, HIPAA).
  2. Poikkeamien tunnistaminen: Havaitaan sellaisia käytäntöjen osa-alueita, joita ei ole pantu asianmukaisesti täytäntöön, tai järjestelmien tai sovellusten teknisempiä haavoittuvuuksia, joita uhat voivat hyödyntää.
  3. Kontrollien arviointi: Analysoidaan, ovatko määritellyt kontrollit tehokkaita tietovarantojen suojaamisessa, ja etsitään alat, joilla parantaminen on kaikkein kriittisintä.
  4. Vastuun osoittaminen: Todistetaan, että ISMS:n hallinnoinnissa ja riskienhallinnassa noudatetaan asianmukaista huolellisuutta.

Mitä eroa on sisäisellä ja ulkoisella auditoinnilla?

Auditoinnit voidaan suorittaa sisäisesti toimivaltaisten ja asianmukaiset valtuudet omaavien työntekijöiden toimesta (sisäinen auditointi) tai ulkoisesti riippumattomien kumppaneiden toimesta (ulkoinen auditointi).

Jotkin auditoinnit tehdään pääasiassa vaatimustenmukaisuuden näkökulmasta (vaatimustenmukaisuuden auditoinnit) ja jotkin enemmän teknisestä näkökulmasta (tekniset auditoinnit), jolloin keskitytään esimerkiksi tiettyihin tietojärjestelmiin tai aiheisiin (esim. verkkoturvallisuus, sovellusturvallisuus).

Ovatko poikkeamat sama kuin auditoinnin epäonnistuminen?

" Epäonnistuminen" tietoturva-auditoinnissa voi periaatteessa tarkoittaa sitä, että organisaatio ei täyttänyt kaikkia standardin vaatimuksia auditointihetkellä, ja näin ollen joitakin poikkeamia havaittiin.

Tämän jälkeen organisaatiolla on mahdollisuus korjata poikkeamat korjaavilla toimilla. Tämä tarkoittaa korjaustoimien suunnitelmien laatimista ja näiden parannusten toteuttamista. Sertifiointiauditoinneissa auditoijan on varmennettava merkittävien poikkeamien korjaukset. Vähäisten poikkeamien osalta riittää, että ainoastaan korjaussuunnitelma tarkastetaan.

On tärkeää ymmärtää, ettei auditointiprosessissa ole oikeastaan mitään epäonnistumisia. Auditoija auttaa sinua tunnistamaan poikkeamat ja muut kehittämismahdollisuudet. Vaikka poikkeamia havaittaisiinkin (mikä on aivan normaalia), saat selkeän tehtäväluettelon tietoturvan parantamiseksi.

10 yleisintä poikkeamaa ISO 27001 -auditoinneissa

1. Selvästi määritelty yleinen riskinhallintaprosessi puuttuu

📌 Liittyvä ISO 27001 -standardin kohta: 6.1.2 - Tietoturvariskien arviointi.

🔍 Mitä puuttuu?: Organisaatiot saattavat laiminlyödä selkeästi määritellyn riskienhallintamenettelyn toimittamisen, jonka mukaan tietoturvariskien hallinta toteutetaan. Tähän olisi sisällyttävä esimerkiksi käytetyt riskien arviointikriteerit ja se, miten hoitotoimet määritellään ja miten niitä seurataan. Menettelyssä olisi myös selvitettävä, kuinka usein ja missä riskienhallinta toteutetaan.

💡 Miten se korjataan?: Ota käyttöön jäsennelty riskienhallintaprosessi (usein ISMS-sovelluksen tukemana). Pidä saatavilla keskeinen ”Riskienhallintamenettelyn” raportti, jossa selitetään kaikki keskeiset vaiheet ja jota päivitetään hallitusti. Varmista tietoturvariskien hallintaa koskevat säännölliset katselmukset ja työpajat, vähintään neljännesvuosittain tai silloin, kun tapahtuu merkittäviä muutoksia tai ilmenee tarvetta.

2. Heikot todisteet riskinhallinnasta

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: 6.1.3 - Tietoturvariskien käsittely

🔍 Mitä puuttuu?: Organisaatio on tunnistanut riskejä, mutta sillä ei ole riittävää näyttöä siitä, miten näitä riskejä pyritään lieventämään. Riskien käsittelysuunnitelmat ovat epämääräisiä, ja niistä puuttuvat konkreettiset toimet, aikataulut tai vastuuhenkilöt, mikä vaikeuttaa edistymisen seuraamista. Organisaatiot luottavat suullisiin vakuutuksiin tai vanhentuneisiin asiakirjoihin sen sijaan, että ne säilyttäisivät todennettavissa olevia tietoja riskien käsittelystä.

💡 Miten korjata?: Riskien, jotka on priorisoitu käsiteltäviksi, pitäisi saada selkeä riskienkäsittelysuunnitelma, johon sisältyy valittu käsittelyvaihtoehto (hyväksyminen, lieventäminen, siirtäminen tai välttäminen), erityiset suojatoimet riskin lieventämiseksi (tarvittaessa ISO 27001:n liitteen A mukaisesti), vastuuhenkilöt ja määräajat. Toteutuksesta olisi saatava näyttöä ISMS-järjestelmään.

Bonus: Käytä integroitua ISMS-työkalua sen varmistamiseksi, että riskien arvioinnit ja käsittely tehdään ja niitä seurataan samassa paikassa kuin kaikkia tietoturvatoimenpiteitä, jotta riskien käsittelyn edistyminen on näkyvissä.

Ota hallittu määrä riskejä käsittelyyn ja tarkista säännöllisissä riskienhallintakatselmoinneissa, että päätetyt toimet etenevät.

3. Sisäisiä auditointeja tai johdon katselmuksia ei ole järjestetty

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: 9.2 - Sisäinen auditointi ja 9.3 - Johdon katselmus.

🔍 Mitä puuttuu?: Sisäistä auditointia ei ole toteutettu viimeisten 12 kuukauden aikana, tai toteutetuista auditoinneista puuttuu selkeä kirjaus havainnoista. Ylin johto ei ole osallistunut johdon katselmukseen viimeisten 12 kuukauden aikana, tai katselmuksen tuloksia ei ole esitelty.

💡 Miten korjata?: Suunnittele vuosittaiset sisäiset auditoinnit ja ylläpidä raportteja havainnoista ja korjauksista. Suorita johdon katselmuksia ISMS:n tehokkuuden arvioimiseksi ja ylläpidä raportteja tuloksista.

4. Puuttuva tai puutteellisesti määritelty soveltuvuuslausunto (Statement of Applicability).

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: 6.1.3 (d) - Soveltuvuuslausunto.

🔍 Mitä puuttuu?:  Soveltuvuuslausunto (Statement of Applicability, SoA) on epätäydellinen, vanhentunut tai huonosti dokumentoitu, mikä vaikeuttaa ISO 27001 -standardin vaatimusten noudattamisen osoittamista. Organisaatio ei ehkä pysty perustelemaan, miksi tietyt liitteen A mukaiset kontrollit on sisällytetty tai jätetty pois. Kontrollien toteuttamista ei ole selitetty selkeästi ja niitä ei ole yhdistetty riskeihin. Dokumenttia ei tarkisteta säännöllisesti, minkä vuoksi se ei vastaa esimerkiksi organisaatiomuutoksia tai uusia turvallisuusuhkia.

💡 Miten korjata?: Varmistetaan, että SoA:ssa luetellaan selkeästi kaikki liitteen A mukaiset valvontatoimet ja että suurin osa niistä on sovellettavissa ja loput ovat soveltumattomia perusteluineen. Varmista, että SoA:ssa selitetään sovellettavien valvontatoimien toteuttaminen selkeästi todisteiden kera. Tarkista ja päivitä SoA säännöllisesti ja pidä yllä ristiviittauksia SoA:n, riskienkäsittelysuunnitelman ja kaikkien muiden ISMS:n osien välillä, jotta voidaan osoittaa, että ISMS on yhtenäinen. Varmista, että SoA on auditoijien ja asianomaisten sidosryhmien saatavilla ja että se on hyvin jäsennelty, jotta se on helposti ymmärrettävissä.

Bonus: Digiturvamallissa SoA luodaan ja sitä seurataan automaattisesti ISMS-tehtävien kautta, jotka on linkitetty ISO 27001:n / ISO 27002:n asiaankuuluviin vaatimuksiin.

Digiturvamallissa SoA on aina ajan tasalla sovelluksessa tekemiesi toimien perusteella.

5. ISMS:n toiminnan mittareita ei ole määritelty

📌 Asiaan liittyvä ISO 27001 -standardin kohta: 9.1 - Seuranta, mittaaminen, analysointi ja arviointi.

🔍 Mitä puuttuu?:  Ei määriteltyjä keskeisiä mittareita (eli KPI:itä) ISMS:n tehokkuuden mittaamiseksi. Tässä tilanteessa tietoturvan suorituskykyä ei mitata määrällisesti, minkä vuoksi johdon on vaikea arvioida tietoturvan tilannetta tai tunnistaa suuntauksia. Organisaatiot luottavat aavistuksiin ilman reaaliaikaista tietoturvaseurantaa tai häiriöiden trendianalyysiä. Tämä heikentää yleensä myös ISMS:n suorituskyvyn säännöllistä raportointia ylimmälle johdolle (esim. johdon katselmuksissa), mikä aiheuttaa näkyvyyden ja sitoutumisen puutetta.

💡 Miten korjata?: Määrittele mitattavissa olevat tietoturvatavoitteet ja -mittarit. Näitä voivat olla esimerkiksi häiriöt vuosineljännestä kohden, ISMS:n vaatimustenmukaisuuspisteet, turvallisuustietoisuutta lisäävän koulutuksen suorittaneiden työntekijöiden prosenttiosuus, tietyssä ajassa ratkaistujen poikkeamien määrä, määritellyt viitearvot ylittävien korjaamattomien haavoittuvuuksien määrä. Suoritetaan säännöllisiä ISMS:n suorituskyvyn arviointeja (esim. neljännesvuosittain), joihin ylempi johto osallistuu. Kohdista tietoturvamittarit liiketoiminnallisiin tavoitteisiin, kuten verkkotapahtumista aiheutuvien taloudellisten tappioiden vähentämiseen tai sääntelyn noudattamisen parantamiseen.

Bonus: Ota käyttöön automatisoidut tietoturvamittarit, jotka seuraavat suorituskyvyn mittareita reaaliajassa. Käytä trendianalyysiä puuttuaksesi ennakoivasti heikkouksiin ennen kuin niistä tulee kriittisiä ongelmia.

6. Heikko häiriöiden hallintaprosessi

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: A.5.24 - Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu

🔍 Mitä puuttuu?:  Ei virallista prosessia häiriöihin vastaamiseksi, mikä johtaa epäjohdonmukaiseen, viivästyneeseen ja epäselvään käsittelyyn. Työntekijät eivät tiedä, miten ilmoittaa tietoturvapoikkeamista, mikä lisää huomaamattomien tietomurtojen riskiä. Aiempien häiriöiden dokumentointia ei ylläpidetä asianmukaisesti, mikä vaikeuttaa niiden analysoimista ja reagointistrategioiden parantamista. Ei selkeitä vastuualueita tai eskalaatioprosessia, mikä aiheuttaa sekaannusta vaaratilanteiden käsittelyn aikana.

💡 Miten korjata?: Perustetaan keskitetty raportointijärjestelmä, jolla varmistetaan, että työntekijät voivat helposti ilmoittaa häiriöistä (esim. tietojenkalastelusta, haittaohjelmista, luvattomasta pääsystä). Ylläpidetään dokumentaatiota aiemmista häiriöistä, erityisesti toimista, joita on toteutettu vastaavien häiriöiden lieventämiseksi tulevaisuudessa. Määritä roolit, joilla on selkeät vastuualueet (esim. häiriötilanteiden hallinnoija, tekninen johtaja, viestintäjohtaja), ja laadi selkeät häiriöiden torjuntasuunnitelmat yleisesti odotettavissa olevia tai erittäin epäsuotuisia häiriöitä varten. Toteutetaan eskalaatioprosessi, jolla varmistetaan, että vakavista häiriötilanteista ilmoitetaan viipymättä johdolle ja tarvittaessa ulkopuolisille sääntelyviranomaisille.

Bonus: Suorita säännöllisiä harjoituksia, mukaan luettuina käytännön harjoituksia ja reaalimaailman simulaatioita, kuten phishing-testejä.

7. Heikko pääsynvalvonta tai käytön tarkastelu

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: A.8.2 & A.8.3 - Ylläpito-oikeudet ja pääsyn rajoittaminen

🔍 Mitä puuttuu?: Työntekijöillä on enemmän pääsyä tietoihin ja järjestelmiin kuin on tarpeen, mikä lisää sisäpiirin uhkien ja tietomurtojen riskiä. Käyttöoikeuksia ei tarkisteta säännöllisesti, mikä johtaa siihen, että esimerkiksi entisillä työntekijöillä on edelleen pääsy arkaluonteisiin järjestelmiin, joita he eivät tarvitse. Tietojen käyttöoikeudet myönnetään epäjohdonmukaisesti sen sijaan, että käytettäisiin standardoituja rooleja ja vähiten etuoikeuksia koskevia periaatteita. Ei virallista prosessia käyttöoikeuksien hyväksymiselle, muuttamiselle tai peruuttamiselle, minkä vuoksi on epäselvää, kuka voi antaa luvan muutoksiin. Käyttöoikeuksien kirjaaminen ja seuranta on heikkoa tai sitä ei ole lainkaan, minkä vuoksi luvattoman käytön tai mahdollisten tietoturvahäiriöiden havaitseminen on vaikeaa.

💡 Miten korjata?: Ota käyttöön roolipohjainen pääsynvalvonta (RBAC) ja noudata pienimpien käyttöoikeuksien periaatetta varmistaaksesi, että käyttäjillä on vain työtehtäviensä edellyttämät minimikäyttöoikeudet. Viestitä näistä parhaista käytännöistä kaikille työntekijöille, jotta hekin voivat tunnistaa poikkeamat. Suorita säännöllisiä käyttöoikeuksien tarkistuksia (esim. neljännesvuosittain assettien omistajien toimesta) varmistaaksesi, että käyttöoikeudet vastaavat työtehtäviä ja että tarpeettomat käyttöoikeudet poistetaan. Ota käyttöön selkeä hyväksymis- ja kumoamisprosessi käyttöoikeuksien myöntämistä ja poistamista varten ja varmista, että johtajat ja tiimit valvovat muutoksia. Otetaan käyttöön monitekijätodennus (MFA) kaikissa kriittisissä järjestelmissä, mikä vähentää luvattoman käytön riskiä.

Bonus: Automatisoi käyttöoikeuksien hallinta IAM-ratkaisuilla (Identity and Access Management) ja tehosta käyttöönoton, seurannan ja käytöstä poistamisen tehostamista. Ylläpidä yksityiskohtaisia käyttöoikeuslokitietoja ja aseta hälytyksiä epäilyttävistä toiminnoista, kuten epäonnistuneista kirjautumisyrityksistä tai käyttöoikeuksien kasvattamisesta.

8. Toimittajien tietoturvan hallinnan puute

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: A.5.19 - Tietoturvallisuus toimittajasuhteissa

🔍 Mitä puuttuu?: Epäselvä toimittajien luokittelu prioriteettien ja vaaditun turvallisuuden varmistuksen perusteella (esim. sertifiointi, kyselylomake, auditointi, ei mitään). Ei virallisia turvallisuussopimuksia toimittajien kanssa, jolloin organisaatio on haavoittuvainen toimitusketjun hyökkäyksille. Ei sopimusvelvoitteita, joilla varmistetaan, että tärkeät toimittajat noudattavat ISO 27001-, CIS18- tai muita parhaita käytäntöjä. Toimittajasuhteita päätettäessä ei ole käytössä offboarding-prosessia, mikä aiheuttaa riskejä, kuten orvoksi jääviä tilejä, pysyviä käyttöoikeuksia tai hallinnoimattomia tiedonsiirtoja.

💡 Bonus?: Luokittele toimittajasi tärkeysjärjestykseen (esim. sen perusteella, miten ne liittyvät palveluihisi, miten arkaluonteisia tietoja ne käsittelevät ja miten korvattavissa ne ovat) ja neuvotteluvoiman mukaan.  Aseta tärkeille toimittajille selkeät turvallisuuden varmistuskriteerit ja vaadi esimerkiksi sertifiointeja, compliance-raportteja, riippumattomia auditointeja tai täytettyjä turvallisuuskyselyjä todisteeksi tietoturvasta. Sisällytä sopimuksiin tietoturvalausekkeita, joilla varmistetaan oikeudellisten ja sääntelyvaatimusten noudattaminen.

9. Henkilöstön huono tietoisuus ja ohjeistusohjelma

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: : A.6.3 - Tietoturvatietoisuus, -opastus ja -koulutus

🔍 Mitä puuttuu?: Työntekijöiden tieto- ja kyberturvallisuusvastuut ovat epäselviä. Työntekijät eivät saa järjestelmällisesti tietoturvatietoisuutta koskevaa koulutusta, minkä vuoksi he ovat alttiita tietojenkalasteluhyökkäyksille, heikoille salasanakäytännöille ja sosiaaliselle manipuloinnille. Strukturoitua koulutusohjelmaa ei ole, tai koulutus toteutetaan epäjohdonmukaisesti ilman, että työntekijöiden osallistumista seurataan. Organisaatiot eivät päivitä koulutussisältöä uusien uhkien, sääntelyn muutosten tai aiempien häiriöiden perusteella.

💡 Miten korjata?: Tee työntekijöiden tietoturvavastuut kristallinkirkkaiksi. Tämä voi tarkoittaa esimerkiksi sitä, että työntekijät hyväksyvät kirjalliset tietoturvaohjeensa säännöllisesti ja noudattavat niitä jokapäiväisessä työssään. Luo tietoturvatietoisuusohjelma, joka kattaa keskeiset aiheet, kuten tietojenkalastelun, salasanojen turvallisuuden, turvallisen etätyön ja häiriöistä raportoinnin. Seuraa sekä ohjeiden hyväksymistä että koulutuksiin osallistumista ja pidä niistä kirjaa. Järjestä säännöllisesti täydennyskoulutuksia ja päivitä sisältö uusimpien uhkien, vaatimustenmukaisuusvaatimusten ja todellisten häiriöiden perusteella.

Bonus: Käytä vuorovaikutteisia koulutusmenetelmiä, kuten tietojenkalastelusimulaatioita, pelillistettyä oppimista ja tietokilpailuja, sitoutumisen ja tiedon säilyttämisen varmistamiseksi.

10. Puuttuva tai huonosti ylläpidetty asset-luettelo

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: A.5.9 & A.8.1.1- Tietojen ja niihin liittyvien omaisuuserien luettelo

🔍 Mitä puuttuu?: Organisaatioilta puuttuu kattava ja ajantasainen luettelointi asseteista, mikä johtaa huonoon näkyvyyteen ja lisääntyneisiin tietoturvariskeihin. Ei selkeää omistajuuden määrittelyä, jolloin on epäselvää, kuka on vastuussa kunkin assetin hallinnoinnista, dokumentoinnista ja suojaamisesta. Asset-luetteloa ei tarkisteta säännöllisesti, mikä johtaa vanhentuneisiin tai virheellisiin tietoihin. Assetteja ei ole luokiteltu arkaluonteisuuden, kriittisyyden tai lainsäädännöllisten vaatimusten perusteella.

💡 Miten korjata?: Perustetaan keskitetty omaisuuden hallintajärjestelmä, joka kattaa ohjelmisto-omaisuuden, laitteisto-omaisuuden, tieto-omaisuuden (tiedot, tietokannat, asiakirjat), fyysisen omaisuuden ja henkilöresurssit. Määritä kullekin assetille omistaja, joka vastaa sen turvallisuudesta, ylläpidosta ja hävittämisestä. Luokittele assetit tärkeysjärjestykseen tai yksityiskohtaisemmin CIA:n kolmijaon mukaisesti. Suorita säännöllisiä tarkastuksia sen varmistamiseksi, että tiedot ovat tarkkoja ja ajantasaisia.

Bonus: Ota käyttöön automatisoitu asset discovery -työkalu, jolla voidaan havaita ja seurata uusia assetteja.

Extra: Lainsäädännön ja sopimusvaatimusten noudattamatta jättäminen

📌 Aiheeseen liittyvä ISO 27001 -standardin kohta: 5.31: Lainsäädäntöön, asetuksiin, viranomaismääräyksiin ja sopimuksiin sisältyvät vaatimukset

🔍 Mitä puuttuu?: Organisaatiot eivät pysty järjestelmällisesti tunnistamaan, dokumentoimaan ja noudattamaan lakeja, asetuksia ja sopimusvaatimuksia.

💡 Miten korjata?: Ylläpidetään lakisääteistä rekisteriä, jossa luetellaan asiaankuuluvat muut lakisääteiset tai sopimusperusteiset tietoturvavaatimukset. Päivitä tätä luetteloa säännöllisesti.

Tässä käytiin nyt läpi muutamia yleisiä ISO 27001 -auditoinnissa havaittuja poikkeamia. Nämä johtuvat usein puutteellisesta dokumentoinnista, epäjohdonmukaisesta täytäntöönpanosta ja valvonnan puutteesta. Nämä ovat kuitenkin vain yleisiä esimerkkejä, sillä jokaisen organisaation tietoturvajärjestelmästä tulee aina vain yksilöllisempi, etenkin kypsyystason kasvaessa.

Mutta kuten jo alussa todettiin, poikkeamat tarjoavat mahdollisuuden oppimiseen ja kasvuun. Niitä ei pidä nähdä pelkästään negatiivisina asioina.

Tietoturvasi on jatkuva kehittämisprosessi, jota päivitetään ympäristön teknologisten päivitysten, tiettyjen toimintatapojen täytäntöönpanossa tapahtuvien muutosten, riskien tai häiriöiden käsittelyn tai muiden virheiden ja muutosten kautta. Hyvin ylläpidetty ISMS, säännölliset auditoinnit ja päivitykset ovat avainasemassa, jotta ISO 27001 -auditoinnit voidaan läpäistä sujuvasti ja jotta vaatimustenmukaisuus säilyy. 🚀

Kirjoittanut
Aleksi Pulkkanen
6.3.2025
@
apulkkanen
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

10 yleisintä poikkeamaa ISO 27001 -auditoinneissa

Auditoinnit ja poikkeamat ohjaavat organisaatioita kohti jatkuvaa parantamista. Ennen ensimmäistä ISO 27001 -sertifiointia on kuitenkin hyvä olla tietoinen joistakin yleisimmistä poikkeamista.
6.3.2025

Miksi ISO 27001 vaatimustenmukaisuus on nyt tärkeämpää kuin koskaan?

ISO 27001 -standardi on vuodesta toiseen pysynyt yhtenä tietoturvan kultaisista standardeista. Globaali standardi on pysynyt relevanttina, mutta mistä ISO 27001 on saanut alkunsa? Ja miksi sen suosio vain kasvaa?
28.2.2025

Tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa

ISO 27001 -standardissa määritellään joitakin keskeisiä asiakirjoja, jotka on esitettävä kootusti ja oltava helposti jaettavissa esimerkiksi auditoijalle. Tässä blogissa esittelemme nämä tärkeimmät asiakirjat ISO 27001 -sertifiointiauditointia varten
21.2.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin