Digiturvamalli.fi
Kokeile
Kirjaudu
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Webinaarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Akatemian etusivu
Blogit
ISO 27001 -sertifiointi: Mitä tapahtuu sertifiointiauditoinnissa?

ISO 27001 -sertifiointi: Mitä tapahtuu sertifiointiauditoinnissa?

Auditoinnit auttavat sinua löytämään ISMS-järjestelmästäsi ne vanhentuneet osat, jotka eivät ole enää ajantasaisia. Ne auttavat sinua löytämään parannusalueita ja tunnistamaan puutteita. Ne ovat yksi tapa varmistaa tietoturvaan liittyvä jatkuva parantaminen ja vastuullisuus. Auditoinnit pitävät sinut rehellisenä (kun ne tehdään hyvin).

Tässä blogikirjoituksessa esitellään yleisesti tietoturva-auditointia ja käydään yksityiskohtaisesti läpi ISO 27001 -sertifiointiauditointiprosessi.

Mitä ovat tietoturva-auditoinnit?

Tietoturva-auditoinnit ovat organisaation tietoturvan systemaattisia arviointeja. Niissä voidaan arvioida joko yksittäisiä järjestelmiä tai yleisesti organisaation tietoturvaan liittyviä toimintatapoja, menettelyjä ja valvontaa.

Auditoinnilla pyritään varmistamaan, että organisaatio todella toimii asetettujen vaatimusten tai valittujen parhaiden käytäntöjen mukaisesti suojatakseen tieto-omaisuutensa.

Tietoturva-auditoinnin tavoitteisiin kuuluvat yleensä mm.:

  1. vaatimustenmukaisuuden arviointi: Varmistetaan, että organisaatio noudattaa todellisuudessa asetettuja tai sisäisiä käytäntöjä tai valittuja vaatimuksia (esim. ISO 27001, NIS2, GDPR, HIPAA).
  2. Poikkeamien tunnistaminen: Havaitaan toimintatapojen osat, joita ei ole pantu asianmukaisesti täytäntöön, tai järjestelmien tai sovellusten teknisemmät haavoittuvuudet, joita mahdolliset uhat voivat hyödyntää.
  3. Kontrollien arviointi: Analysoidaan, ovatko määritellyt valvontatoimet tehokkaita tietovarantojen suojaamisessa, ja etsitään osa-alueet, joilla parannukset ovat kaikkein kriittisimpiä.
  4. Vastuun osoittaminen: Todistetaan, että ISMS:n hallinnoinnissa ja riskienhallinnassa noudatetaan asianmukaista harkintaa.

Auditoinnit voidaan toteuttaa sisäisesti pätevien ja asianmukaiset valtuudet omaavien työntekijöiden toimesta (sisäinen auditointi) tai ulkoisesti riippumattomien kumppaneiden toimesta (ulkoinen auditointi). Jotkin auditoinnit tehdään pääasiassa vaatimustenmukaisuuden näkökulmasta (vaatimustenmukaisuuden auditoinnit) ja jotkin enemmän teknisestä näkökulmasta (tekniset auditoinnit), jolloin keskitytään esimerkiksi tiettyihin tietojärjestelmiin tai aiheisiin (esim. verkkoturvallisuus, sovellusturvallisuus).

Mikä on ISO 27001 -sertifiointiauditointi?

ISO 27001 -sertifiointiauditointi on erityinen tietoturva-auditointi, jonka suorittaa akkreditoitu auditoija ISO 27000 -standardisarjan auditointiohjeiden mukaisesti.

ISO 27001 -sertifiointiauditoinnin tavoitteena on todentaa, että organisaation tietoturvallisuuden hallintajärjestelmä (ISMS) on ISO 27001 -standardin vaatimusten mukainen.

Mitä tapahtuu ISO 27001 -sertifiointiauditoinnissa?

ISO 27001 -sertifiointiauditointi on jäsennelty prosessi, jossa ulkopuolinen sertifiointielin arvioi organisaation ISMS: n ISO/IEC 27001-standardin vaatimusten mukaisesti. Kussakin maassa on yleensä monia organisaatioita, jotka on akkreditoitu suorittamaan ISO 27000 -auditointi.

Varsinainen auditointi suoritetaan kahdessa päävaiheessa: alustavassa arvioinnissa (vaihe 1) ja yksityiskohtaisessa tarkastelussa (vaihe 2). Lisäksi organisaatio voi vapaaehtoisesti käydä läpi valmiusarvioinnin ennen varsinaista auditointia. Auditoinnin jälkeisillä toimilla varmistetaan, että ISMS-järjestelmää parannetaan jatkuvasti ja ylläpidetään asianmukaisesti.

Seuraavassa selitetään tarkemmin, mitä kussakin sertifiointiauditoinnin vaiheessa tapahtuu.

1. Auditointia edeltävä valmistelu

Ennen sertifiointiauditoinnin alkamista organisaation on tietenkin valmistauduttava ja varmistettava, että se katsoo olevansa asianmukaisesti ISO 27001 -standardin mukainen.

Voit lukea lisää tärkeimmistä ISMS:n käyttöönoton vaiheista erillisestä artikkelista.

2. Valmiusarviointi (vapaaehtoinen)

Valmiusarviointi ISO 27001 -sertifiointiauditointia varten on valinnainen, alustava arviointi, jonka tarkoituksena on määrittää, onko organisaatio asianmukaisesti valmistautunut viralliseen sertifiointiauditointiin.

Arvioinnin voi suorittaa sama auditoija, joka toteuttaa prosessin jälkimmäiset osat.

Valmiusarviointi voi auttaa tunnistamaan ISMS:n suurimmat puutteet suhteessa ISO 27001 -standardin vaatimuksiin.

Valmiusarviointi on vapaaehtoinen. Sitä kannattaa hyödyntää, jos organisaatio on epävarma siitä, noudattaako se ISO 27001 -standardia.

3. Stage 1 Audit: Review of main ISMS documentation

Vaiheen 1 auditointi suoritetaan, jotta voidaan arvioida organisaation valmiudet vaiheen 2 toteuttamiseen ja tunnistaa mahdolliset kriittiset puutteet.

Tässä vaiheessa keskitytään lähinnä tärkeimpiin ISMS-asiakirjoihin, ja se voidaan toteuttaa myös etänä. Auditoija tarkastaa joitakin keskeisiä asiakirjoja selvittääkseen, ovatko tärkeimmät ISMS-prosessit käytössä ja toimivatko ne asianmukaisesti.

Keskeisiä dokumentteja, joita on yleensä jaettava ISO 27001 -auditoinnin 1. vaiheessa auditoijalle, ovat muun muassa seuraavat:

  • Statement of Applicability (SoA): Luettelo kaikista ISO 27002 -standardin mukaisista kontrolleista ja yksityiskohtaiset tiedot kunkin kontrollin tilasta (esim. kontrollin toteutustilanne, lyhyt kuvaus implementoinnista ja kontrolleista, joita ei pidetä sovellettavina).
  • ISMS-järjestelmäkuvaus ja -laajuus: Tässä asiakirjassa on selitettävä auditoijalle, miten organisaation ISMS-järjestelmä on jäsennelty, miten sitä käytetään ja miten sitä valvotaan. Siinä selitetään myös, mitkä organisaation osat ISMS kattaa, millaisia ovat siihen liittyvät avainroolit, millaista tietoa ISMS:ään liittyy ja miten sitä valvotaan. Tutustumalla tähän asiakirjaan auditoija tietää, mistä hän löytää sertifiointiauditointiin liittyvät tärkeimmät tiedot.
  • Tietoturvapolitiikka: Ylimmän tason asiakirja, jossa kuvataan organisaatiosi sitoutuminen vaatimustenmukaisuuteen ja esimerkiksi ylimmän johdon rooli vaatimustenmukaisuuden varmistamisessa ja tarvittava tuki työlle.
  • Riskienhallintamenettely: Kuvaa prosessinne tietoturvariskien tunnistamiseksi, arvioimiseksi ja käsittelemiseksi.
  • Sisäisen auditoinnin prosessi (+ tärkeimmät tulokset): Kuvaa prosessinne sisäisten auditointien suorittamiseksi ja auditointiaikataulun ylläpitämiseksi. Sinun on pystyttävä esittämään menettelyn mukaisesti suoritetun sisäisen auditoinnin tulokset ennen sertifiointiauditointia (tai kyseessä on merkittävä poikkeama).
  • Johdon katselmusmenettely (+ tärkeimmät tulokset): Kuvaa menettelysi johdon katselmusten suorittamiseksi. Tämä on yksi tärkeimmistä tavoista, joilla organisaatiosi ylin johto osallistuu tietoturvaan. Sinun on pystyttävä esittämään menettelyn mukaisesti suoritetun johdon katselmuksen tulokset ennen sertifiointiauditointia (tai kyseessä on merkittävä poikkeama).
  • Menettely henkilöstön tietoisuuden lisäämiseksi: Kuvaa prosessin, jolla varmistetaan, että työntekijät, alihankkijat ja asiaankuuluvat kolmannet osapuolet ovat tietoisia rooleistaan ja vastuistaan tietoturvan ylläpitämisessä. Tässä asiakirjassa olisi esimerkiksi kuvattava, miten koulutat työntekijöitä, annat heille ohjeita turvallisesta toiminnasta ja varmistat, että he sitoutuvat noudattamaan ohjeita.

Vaiheen 1 auditoinnin päätteeksi auditoija laatii luettelon havainnoista, joihin voi sisältyä merkittäviä tai vähäisiä poikkeamia. Poikkeamat on korjattava korjaavilla toimilla, ennen kuin auditointiprosessissa voidaan edetä.

Kun auditoijat raportoivat poikkeamista, he viittaavat aina standardin kohtaan (esim. 9.1.1), jota ei noudateta.

4. Vaiheen 2 auditointi: ISMS:n täytäntöönpanon ja vaikuttavuuden tarkastelu

Vaiheen 2 auditointi on sertifiointiauditoinnin tärkein osa. Siinä varmistetaan, että ISMS-järjestelmä on täysin toteutettu, tehokas ja ISO 27001 -standardin mukainen.

Tämä vaihe toteutetaan paikan päällä, mikä on tärkeää paitsi tietojen jakamisen parantamiseksi myös fyysisten turvatoimien varmistamiseksi.

Tämän vaiheen aikana auditoijan on periaatteessa saatava asianmukaiset todisteet siitä, että olet noudattanut omia ISMS-asiakirjojasi ja ISO 27001 -standardia. Tämän mahdollistamiseksi auditoija:

  • Suorittaa haastatteluja:

    • Tarkastajat pyytävät ISMS:n eri osa-alueiden vastuuhenkilöitä selittämään, esittelemään ja antamaan lisätietoja toimintalinjojen ja valvonnan toteuttamisesta.
    • Tarkastajat ovat myös vuorovaikutuksessa ”perus” työntekijöiden kanssa, joilla ei välttämättä ole mitään erityisiä rooleja ISMS:n ylläpidossa, arvioidakseen heidän tietoisuuttaan turvallisuuspolitiikoista ja -ohjeista.
  • Todisteiden tarkastelu:

    • Tarkastellaan ISMS:n sisältöä, tutkitaan asiaankuuluvat lokitiedot, häiriötilanteita koskevat tiedot, koulutustiedot, riskinhallintasuunnitelmat, auditointiraportit ja kaikki muu asiaankuuluva, jolla voidaan todistaa, että asiat on tosiasiallisesti pantu täytäntöön määritellyllä tavalla.
  • Arvioi kontrollien asianmukaisuus:

    • Tarkastetaan, että SoA:ssa luetellut tietoturvakontrollit on toteutettu ja että ne ovat tehokkaita.
    • Testataan fyysiseen turvallisuuteen, pääsynhallintaan, häiriöihin vastaamiseen ja muihin asioihin liittyvät kontrollit.

Työnsä pääasiallisena tuloksena auditoija:

  • Tunnistaa poikkeamat:

    • Merkittävät poikkeamat: Kriittiset seikat, jotka on korjattava korjaavin toimin ja esitettävä auditoijalle ennen sertifiointia.
    • Vähäiset poikkeamat: Vähemmän kriittiset asiat, jotka edellyttävät korjaavia toimia (esim. suunnitelma, joka esitetään auditoijalle seuraavien kolmen kuukauden aikana), mutta jotka eivät estä sertifiointia.
  • Antaa suosituksia sekä muita relevantteja huomioita:

    • Yleisesti ottaen auditoijat tarkkailevat myös antamiasi selityksiä ja tarkkailevat päivittäistä toimintaasi varmistaakseen vaatimustenmukaisuuden.
    • Kun auditoijat havaitsevat asioita, joita olisi parannettava, he voivat esittää niistä suosituksia tai muita huomioita. Suositukset ovat asioita, joita voitaisiin parantaa auditoijan näkökulmasta, mutta eivät (ainakaan vielä) vaatimustenvastaisuuksia. Jos suosituksiin ei reagoida esimerkiksi ennen seuraavaa auditointia, ne voivat muuttua poikkeamiksi.

Kun merkittäviä poikkeamia ei enää löydy, organisaatiota voidaan suositella sertifioitavaksi.

Auditoijat kokoavat auditoinnin tulokset auditointiraporttiin, jossa selitetään kaikki eri havainnot ja joka toimitetaan auditoidulle.

5. Auditoinnin jälkeiset toimet

Varsinaisen sertifiointiauditoinnin jälkeen on vielä joitakin tärkeitä asioita tehtävänä:‍

  • Sertifikaatin myöntäminen:

    • Kun organisaatio on läpäissyt auditoinnin, sertifiointielin myöntää ISO 27001 -sertifikaatin.
    • Sertifikaatti on voimassa kolme vuotta, ja sitä seurataan säännöllisesti
  • Vuosittain suoritettavat seuranta-auditoinnit:

    • Lyhyet, vuosittain suoritettavat auditoinnit, joilla varmistetaan, että ISMS pysyy vaatimustenmukaisena.
    • Keskitytään ISMS:n valittuihin osa-alueisiin ja edellisen auditoinnin jälkeen tapahtuneisiin olennaisiin muutoksiin.
  • Uudelleensertifiointiauditointi kolmen vuoden välein:
    • Sertifikaatti on voimassa kolme vuotta, ja sitä seurataan säännöllisesti
    • Sisältää kattavan arvioinnin, joka on samanlainen kuin alkuperäinen sertifiointiprosessi.
Sertifikaatin viesti on "Auditointiorganisaatio X vahvisti, että organisaatio Y noudattaa tätä standardia Z" (esimerkki Digiturvamalli.fi).


Suosituimpia ISO 27001 -sertifiointiauditointeihin liittyviä kysymyksiä

Kuinka kauan organisaatioilta kestää valmistautua ISO 27001 -sertifiointiauditointiin?

Teemme tällä hetkellä yhteistyötä noin 600 organisaation kanssa Digiturvamallin (Cyberday) ISMS -sovelluksemme kautta. Olemme nähneet, että vaatimustenmukaisuuden saavuttaminen kestää muutamasta viikosta 12 kuukauteen ja kaikkea siltä väliltä. Ja kyllä, on myös sellaisia hankkeita, joita ei koskaan saada valmiiksi.

Tyypillisesti prosessi kestää 3-9 kuukautta. Aikatauluun vaikuttavat pääasiassa toimintojenne monimutkaisuus ja koko, nykyinen tietoturvan kypsyysaste, resurssit ja asiantuntemus, joita voitte käyttää työhön, sekä ISMS:n käyttöön tarkoitetut työkalut.

Kuinka kauan varsinainen ISO 27001 -sertifiointiauditointi kestää?

ISO 27001 -sertifiointiauditoinneissa, jotka suoritetaan asianmukaisesti, on ISO 27000 -standardin sarjassa kuvattu auditoinnin keston selkeä vähimmäiskesto.

Pienessä organisaatiossa (alle 10 työntekijää) tarvitaan yhteensä 7-14 päivää auditoijan työtä yhden 3-vuotisen sertifiointikauden aikana. Suuressa organisaatiossa (10 000+ työntekijää) määrä on noin 50 päivää auditoijan työtä yhden 3-vuotisen sertifiointikauden aikana.

Auditoinnin tyypillinen kesto organisaation koon mukaan

Mitkä ovat ISO 27001 -sertifioinnin kustannukset?

ISO 27001 -sertifiointiauditoinnin välittömät kustannukset on helppo arvioida, jos tarkastellaan edellä esitettyä auditoinnin kestoa koskevaa kysymystä. Tärkein kustannus on se, mitä maksat auditoijan työstä, ja hyvä karkea arvio on 1000 euroa päivässä EU:ssa.

Näin ollen sertifiointiauditoinnin suorittaville auditointiorganisaatioille maksettava summa on 10 000-50 000 euroa koko kolmen vuoden aikana organisaatiosi koosta riippuen.

Sisäiset kustannukset (esim. tarvittava ISMS-työ, henkilöstön työaika, ohjelmistoratkaisut, muut teknologiainvestoinnit, tarvittava koulutus) riippuvat täysin tietoturvan lähtötasosta.

Kuinka usein ISO 27001 -auditointeja tehdään?

Sertifiointiauditointi (tai uudelleensertifiointi) tehdään kerran kolmessa vuodessa. Seuranta-auditoinnit ovat lyhyempiä vuotuisia auditointeja, joita tehdään jäljellä olevien vuosien aikana jatkuvan parantamisen ja ISMS:n asianmukaisen ylläpidon varmistamiseksi.

Mitä tapahtuu, jos ISO 27001 -sertifiointiauditointi ”epäonnistuu”?

ISO 27001 -sertifiointiauditoinnissa "epäonnistuminen" voi periaatteessa tarkoittaa sitä, että organisaatio ei täyttänyt kaikkia standardin vaatimuksia auditointihetkellä, ja siksi joitakin poikkeamia havaittiin.

Tämän jälkeen organisaatiolla on mahdollisuus korjata poikkeamat korjaavilla toimilla ja jatkaa sertifiointiprosessia. Tämä tarkoittaa korjaavien toimintasuunnitelmien laatimista ja näiden parannusten toteuttamista. Merkittävien poikkeamien osalta auditoijan on varmennettava korjaukset. Vähäisten poikkeamien osalta riittää, että suunnitelma tarkastetaan.

Kun korjaavien toimien seuranta osoittaa vaatimustenmukaisuuden, sertifiointi voidaan myöntää.

On tärkeää ymmärtää, että sertifiointiauditointiprosessissa ei oikeastaan ole epäonnistumista. Auditoija vain auttaa sinua tunnistamaan poikkeamat, joita on parannettava. Vaikka poikkeamia havaittaisiinkin (mikä on aivan normaalia), teillä on tehtävälista sertifiointia varten ja olette parantaneet tietoturvaanne.Auditointien päätehtävänä on arvioida riippumattomasti ja järjestelmällisesti organisaation ISMS-järjestelmää ja tietoturvaa.

Kirjoittanut
Aleksi Pulkkanen
31.1.2025
@
apulkkanen
LinkedIn

Sisältö

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

ISO 27001 -sertifiointi: Mitä tapahtuu sertifiointiauditoinnissa?

Tässä blogikirjoituksessa esitellään tietoturva-auditointi ja käydään yksityiskohtaisesti läpi ISO 27001 -sertifiointiauditointiprosessi.
31.1.2025

Mikä on ISO 27001? Johdanto maailmanlaajuiseen tietoturvan kultaiseen standardiin.

Olitpa sitten vasta aloittanut ISO 27001 -standardin omaksumisen tai haluat parantaa nykyisiä käytäntöjäsi, tässä postauksessa käydään läpi sen olennaiset piirteet, miksi sillä on merkitystä ja miten se voi parantaa lähestymistä tietoturvaan.
24.1.2025

Salasanojen turvallisuus: Vältä 5 yleistä virhettä

Salasanojen turvallisuutta ei pidä aliarvioida nykyisten uhkien edessä. Yksi järkevä vaihtoehto turvalliseen salasanojen hallintaan on käyttää tarkoitukseen suunniteltuja ohjelmistoja.
16.1.2025

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Työskentely kumppanina
NIS2
Henkilöstön ohjeet
Asetukset & advanced
Tiedonhallinta
Näytä kaikki
Webinarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
Tiedonhallintamalli ja tietoturvatoimenpiteet
Oman ISMS:n jatkuva parantaminen
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamallin perusteet
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Näytä kaikki
Ohjeet
Asennus ja integraatiot
Ohjeiden hallinta
Vaatimuskehikot
Kumppaneille
Muut ominaisuudet
Näytä kaikki
Blogit
ISO 27001 -sertifiointi: Mitä tapahtuu sertifiointiauditoinnissa?
Mikä on ISO 27001? Johdanto maailmanlaajuiseen tietoturvan kultaiseen standardiin.
Salasanojen turvallisuus: Vältä 5 yleistä virhettä
Vaatimuskehikkokatsaus, CISO:n rooli & ja toimittaja-arvioinnit: Digiturvamallin tuote- ja uutiskooste 12/2024 🛡️
TISAX: autoteollisuuden standardi tutuksi
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.