Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

ISO 27001 -vaatimustenmukaisuus ja muistilista kohti sertifiointia

ISO 27001
ISO 27001 -vaatimustenmukaisuus ja muistilista kohti sertifiointia
NIS2
ISO 27001 -vaatimustenmukaisuus ja muistilista kohti sertifiointia
Artikkelit
ISO 27001 -vaatimustenmukaisuus ja muistilista kohti sertifiointia

ISO 27001 on maailmanlaajuisesti tunnistettu paras käytäntö tietoturvan hallintaan ja ISMS-järjestelmän (tietoturvan hallintajärjestelmä) toteuttamiseen.

ISO 27001:stä voi hyötyä monin eri tavoin. Jotkin organisaatiot asettavat selkeästi tavoitteeksi sertifioinnin, joka antaa vahvimman todisteen vaatimustenmukaisuudesta. Jotkin organisaatiot etsivät ensin vain vertailukohdetta, joka auttaa parantamaan tietoturvaa parhaiden käytäntöjen mukaisesti.

Tämä muistilista on laadittu sertifiointia havitteleville organisaatioille, mutta tässä vielä tiivistelmä erilaisista suosituista lähestymistavoista ISO 27001 -standardin noudattamiseen:

  • ISO 27001:n käyttäminen vertailukohtana kehittämiseen: Poimi parhaat käytännöt omiin tietoturvatoimiin ja etsi hyviä suuntaviivoja, joiden avulla voit parantaa niitä askel askeleelta.
  • Löydä ISO 27001 -vaatimustenmukaisuuden tasosi: Vertaile nykyisiä toimenpiteitäsi ISO 27001 -standardiin, jotta ymmärrät, miten hyvin vastaat tällä hetkellä sen parhaita käytäntöjä, ja voit asettaa tavoitteita tulevaisuutta varten.
  • Saavuta ISO 27001 -vaatimustenmukaisuus: Aseta sisäiseksi tavoitteeksi koko standardin noudattaminen, jotta voit raportoida ISO 27001 -vaatimustenmukaisuudestasi esimerkiksi asiakkaille tai viranomaisille.
  • Hanki ISO 27001 -sertifikaatti: Kun haluat mahdollisimman vankan todisteen jatkuvasta vaatimustenmukaisuudesta ja haluat varmistaa, että parannat jatkuvasti ISMS-järjestelmääsi, hanki standardinmukaisuus, tee yhteistyötä akkreditoidun auditoijan kanssa ja käy läpi sertifiointiauditointi.
Tässä artikkelissa keskitymme pääasiassa sertifioinnin loppuun asti viemiseen ja kuvaamme sinulle tarvittavat keskeiset vaiheet matkan varrella.

Miten ISO 27001 -sertifiointi saavutetaan?

ISO 27001 -standardi sisältää keskeisenä sisältönä 22 tietoturvanhallintavaatimusta ja 93 tietoturvakontrollia. Lopputavoitteesi on todistaa, miten noudatat vaatimuksia ja miten olet toteuttanut asianmukaiset valvontatoimet.

Matkalla kohti tätä tavoitetta on kuitenkin monia erilaisia tietoturvallisuuden hallinnan vaiheita. Jotkin näistä vaativat erilaista asiantuntemusta ja osallistumista. Tässä artikkelissa kerromme keskeiset vaiheet sertifiointivalmiin ISO 27001 -standardin mukaisen ISMS:n rakentamisessa.

Tässä artikkelissa esitellään seuraavat ISO 27001 -sertifioinnin vaiheet:

  1. ISO 27001:n perusteiden ymmärtäminen
  2. Määrittele ISMS:n soveltamisala
  3. Valitse ISMS:n rakennustapa
  4. ISMS-tiimin kokoaminen ja roolijako
  5. Tietoturvan lähtötason maturiteetin arviointi
  6. Luo ja määritä assetluettelo
  7. Henkilöstön ohjeiden laatiminen
  8. Aloita tietoturvariskien hallinta
  9. Laaditaan Statement of Applicability (SoA, ISO 27001 -vaatimustenmukaisuusraportti) sertifiointivalmiuden saavuttamiseksi.
  10. Luo ja tarkista tarvittavat asiakirjat/politiikat/raportit
  11. Suorita säännöllisiä johdon katselmuksia
  12. Suorita ISO 27001 -standardin mukainen sisäinen auditointi.
  13. Suorita ISMS:n ulkoinen auditointi ISO 27001 -sertifikaatin saamiseksi.
  14. Suunnitellaan ISMS:n ja tulevien sisäisten ja valvonta-auditointien toteuttaminen.

1. ISO 27001:n perusteiden ymmärtäminen

Ennen kuin aloitat varsinaiset täytäntöönpanotoimet ISMS:n rakentamiseksi ja etenemiseksi kohti vaatimustenmukaisuutta ja sertifiointivalmiutta, sinun on ymmärrettävä riittävästi ISO 27001 -standardin tarkoituksesta ja sen keskeisestä sisällöstä.

Sinun ei tarvitse mennä yksityiskohtiin tässä osassa. ISO 27001 kattaa monia tietoturva-aiheita, mutta pohjimmiltaan rakenne ja sisältötyypit ovat hyvin yksinkertaisia.

ISO 27001 -standardi sisältää:

  • 22 tietoturvallisuuden hallinnan vaatimusta: Nämä varmistavat, että määrittelet tietoturvasi selkeästi ja hallitset sitä asianmukaisesti.

    • Vaatimukset kattavat muun muassa seuraavat aiheet: ylimmän johdon sitoutuminen, tietoturvariskien hallinta, resurssien jakaminen tietoturvatyöhön, tietoturvan suorituskyvyn seuranta ja jatkuva parantaminen.
  • 93 tietoturvakontrollia: Näillä varmistetaan, että pidät hyvää huolta tietojen luottamuksellisuudesta, eheydestä ja saatavuudesta.

    • Kontrollit kattavat muun muassa seuraavat aiheet: jatkuvuussuunnitema, toimittajien turvallisuus, pääsynvalvonta, muutoshallinta, henkilöstön tietoisuus, turvallinen on- ja offboarding, salaus, verkon turvallisuus, päätelaitteiden turvallisuus, varmuuskopiointi, rakennusten turvallisuus ja niin edelleen.
    • ISO 27001 -standardissa kontrollit on nykyään ryhmitelty erillisiin kategorioihin, jotka jakautuvat organisaation, henkilöstön, fyysisten ja teknisten kontrollien luokkiin.

Standardin ymmärtäminen auttaa esimerkiksi asettamaan tavoitteita edistymiselle ja määrittelemään, kenen on osallistuttava seuraaviin osiin.

Voit ymmärtää standardista enemmän esimerkiksi lukemalla yksityiskohtaisen Mikä on ISO 27001 -blogikirjoituksen tai osallistumalla viikoittaisiin ISO 27001 -webinaareihimme.

2. Määrittele ISMS:n soveltamisala

Tietoturvallisuuden hallintajärjestelmän soveltamisalan määrittely on tärkeä vaihe ISO 27001 -standardin käyttöönotossa. Siinä määritetään, mitkä osat toiminnoistasi (esim. assetit, prosessit, osastot, toimipaikat tai teknologiat) kuuluvat ISMS:n piiriin.

Yleisiä lähestymistapoja ISMS:n soveltamisalan määrittelyyn ovat mm:

  • 🌍 Koko organisaation laajuinen lähestymistapa: Tässä ISMS kattaa kaikki toimipaikat, omaisuuden, työntekijät ja prosessit. Sopii parhaiten organisaatioille, jotka eivät tarvitse lisää monimutkaisuutta ja haluavat saavuttaa täydellisen vaatimustenmukaisuuden koko toiminnassa.
  • 🏢 Osastokohtainen lähestymistapa: ISMS keskittyy tiettyihin tiimeihin (esim. IT, rahoitus, T&K).
  • ☁️ Järjestelmä- tai palvelukohtainen lähestymistapa: ISMS kattaa tietyt tietyt IT-järjestelmät tai sovellukset (esim. pilvialustat, datakeskukset).

Jos se vain on mahdollista toiminnassasi, koko organisaation kattava lähestymistapa luo vaatimustenmukaisuuden, josta on myös paljon helpompi viestiä sidosryhmille (esim. asiakkaille ja kumppaneille). Älykkäät ISMS-työkalut auttavat sinua joka tapauksessa kohdentamaan toteutuksen esim. osastoittain tai yksiköittäin.

Koko organisaation laajuinen lähestymistapa luo vaatimustenmukaisuuden, josta on helpompi viestiä sidosryhmille.

3. Valitse ISMS:n rakennustapa

ISMS:ää toteuttaessaan organisaatiot voivat käyttää monia erilaisia työkaluja tai muita teknisiä menetelmiä tarvittavien valvontatoimenpiteiden toteuttamiseen, henkilöstön ohjeistukseen, riskinarviointeihin, muuhun dokumentointiin, vaatimustenmukaisuuden seurantaan ja raportointiin liittyvien tietojen hallintaan. Työkalujen valinta riippuu sellaisista tekijöistä kuin yrityksen koko, budjetti ja vaatimustenmukaisuustarpeet.
Yleisiä ISMS:n rakentamisen lähestymistapoja ovat mm:

  • 📄 Word-, Excel- ja PDF-tiedostojen käyttäminen (manuaalinen, asiakirjoihin perustuva ISMS).
    • Tässä luodaan tarvittavat turvallisuuskäytännöt, omaisuusluettelot ja riskirekisterit perusasiakirjoihin ja seurataan vaatimustenmukaisuuden edistymistä manuaalisesti.
    • ✔️ Plussat: Edulliset kustannukset, helppo aloittaa.
    • ❌ Miinukset: Aikaavievää ja vaikeaa hallita (esim. versionhallinta) laajassa mittakaavassa. Ei tue tiimityötä. Vaatii manuaalista valvontaa.
  • 📚 Tietopohja tai wikipohjainen ISMS.
    • Tässä tallennetaan ISMS-dokumentaatio, käytännöt ja menettelyt wikityyppiseen työkaluun.
    • ✔️ Plussat: Keskitetty ja helppo muuttaa. Tukee jonkin verran yhteistyötä, mutta ei delegointia ja seurantaa.
    • ❌ Miinukset: Ei jäsenneltyä vaatimustenmukaisuuden seurantaa. Ei ole suunniteltu ISMS:n ylläpitoon, joten tarvitaan paljon manuaalista luomistyötä, manuaalista valvontakartoitusta eikä erityisiä ISMS-työkaluja.
  • 🛠 ISMS-työkalut (suositellaan).
    • Tässä työskentelet valitsemiesi kehysten (ISO 27001, NIS2, GDPR jne.) suuntaan valvonnan toteutustyökalujen, esimerkkisisällön ja -mallien, riskinarviointityökalujen sekä automaattisen vaatimustenmukaisuuden seurannan ja raportoinnin avulla.
    • ✔️ Plussaa: Automatisoi vaatimustenmukaisuuden ja riskien seurannan, kartoittaa toimenpiteesi useiden viitekehysten vaatimuksiin, säästää aikaa ja vähentää -auditointien ja sertifioinnin vaatimaa vaivaa.
    • ❌ Miinukset: Oppimisprosessi alussa ja kustannukset.
ISMS-sovelluksen oppimiskäyrää voidaan pienentää merkittävästi työkaluilla, jotka integroituvat hyvin nykyisiin yhteistyöympäristöihisi (esim. M365, Slack).
  • 🔍 GRC-työkalujen (Governance, Risk and Compliance) käyttö.
    • Tässä pyritään keskittämään yrityksen riskienhallinta yhteen järjestelmään ja käsittelemään siellä myös tietoturvanäkökohtia.
    • ✔️ Plussat: Hyvä, kun suuremmalla yrityksellä on jo vankka riski- ja compliance-ohjelma.
    • ❌ Huonot puolet: Ylivoimainen monille, sillä se on kallis ja vaatii usein huomattavia asennustöitä. Keskittyy riskilähestymistapaan, ja tuki turvatoimien toteuttamiselle on rajallinen.

Tekninen lähestymistapa kannattaa valita erityisesti organisaation koon, nykyisten tarpeiden, budjetin ja teknisen kypsyyden mukaan.

4. ISMS-tiimin kokoaminen ja roolijako

Tehokkaan ISMS-järjestelmän rakentaminen edellyttää tiimiä, jolla on selkeästi määritellyt roolit ja vastuualueet. Yleensä löydät nykyisistä tiimeistäsi melko luontevasti sinne sopivia henkilöitä, mutta selvien ratkaisujen määrittely auttaa edistymisessä. ISMS-tiimi varmistaa ISO 27001 -vaatimustenmukaisuuden kehittymisen ja huolehtii samalla riskien hallinnasta ja turvatoimien parantamisesta.

ISMS-tiimin keskeisiin rooleihin kuuluvat usein mm:

  1. ISMS:n omistaja / tietoturvavastaava / CISO: Valvoo ISMS:n käyttöönottoa, hyväksyy kontrollit ja keskeiset menettelyt, huolehtii vaatimustenmukaisuudesta, raportoi ylimmälle johdolle ja varmistaa sen sitoutumisen.
  2. ISMS:n ylläpitäjä: Hallinnoi päivittäisiä toimintoja, dokumentointia ja tarkastuksia. On usein merkittävässä roolissa organisaation valvonnan määrittelyssä ja toteuttamisessa.
  3. Teknisen turvallisuuden vastuuhenkilö: Määrittelee ja toteuttaa tekniset kontrollit, valvoo tietoturvahäiriöitä ja varmistaa pääsynvalvonnan.
  4. Riskivastaava: On päävastuussa riskinarviointien käynnistämisestä, arvioi erilaisia uhkia ja valmistelee mahdollisia riskinhallintastrategioita.
  5. Sisäinen auditoija: Arvioi ISMS:n tehokkuutta, tekee auditointeja ja esittää kehitysehdotuksia.
  6. HR- ja tietoisuuskoordinaattori: Valvoo tietoturvatietoisuuskoulutusta, tietoturvaohjeiden laatimista ja valvoo, että työntekijät seuraavat niitä.

Ryhmän koko riippuu tietenkin organisaatiostasi, eivätkä kaikki roolit ole alussa pakollisia. Yksikin henkilö voi aloittaa prosessin etenemisen, mutta on hyvä ymmärtää, että tietoturvan eri osa-alueilla tarvitaan yleensä erilaisia asiantuntijoita.

5. Tietoturvan lähtötason maturiteetin arviointi

Kaikissa organisaatioissa on jo toteutettu joitakin tietoturvan perustoimenpiteitä. Kun aloitat ISO 27001 -standardin käyttöönoton, organisaatiosi voi saada motivoivan alun arvioimalla nykyisillä tietoturvatoimilla saavutettua vaatimustenmukaisuustasoa.

Tämä voidaan toteuttaa esimerkiksi ISMS-työkalulla, joka auttaa löytämään nykyiset toimenpiteet ehdotusten avulla (jos esimerkiksi haittaohjelmien suojaus on asennettu, olet jo edistynyt joidenkin asiaan liittyvien kontrollien toteuttamisessa).

Tämä alkuanalyysi auttaa

  • yhdistämään nykyisen tietoturvatyön ISO 27001 -standardin vaatimuksiin ja kontrolleihin.
  • tunnistamaan alat, joita hoidetaan tällä hetkellä heikoimmin (”suurimmat puutteet”).
  • asettamaan realistiset tavoitteet edistymiselle
  • priorisoimaan toimet tehokkaan ISMS:n rakentamiseksi.

Digiturvamallin vaatimustenmukaisuusraportti voi näyttää alustavan arvioinnin jälkeen suunnilleen tältä.

6. Luo ja määritä asset-luettelo

Asset-luettelo on ratkaisevan tärkeä ISO 27001 -vaatimustenmukaisuuden kannalta, koska se antaa näkyvyyttä organisaation koko tietojenkäsittely-ympäristöön.

Assetit voidaan kategorisoida esimerkiksi seuraavasti:

  • Tieto-omaisuus: Tietokannat, asiakastiedot, henkinen omaisuus, asiakirjat.
  • Ohjelmistot: Sovellukset, pilvipalvelut, käyttöjärjestelmät
  • Laitteistot: Kannettavat tietokoneet, palvelimet, verkkolaitteet, IoT-laitteet.
  • Fyysiset varat: Tietokeskukset, toimistotilat, arkistokaapit.
  • Henkilöresurssit: Työntekijät, tiimit, urakoitsijat, ulkopuoliset toimittajat.

Ajan tasalla oleva asset-listaus on ISO 27001 -standardin keskeinen vaatimus, mutta tässä on esimerkkejä muista tärkeistä eduista, joita se tarjoaa tietoturvatyölle:

  • 🔹 Antaa organisaatiolle yleiskuvan ja ymmärryksen tärkeistä tietovarannoista, joita tarvitaan sen toiminnan pyörittämiseen.
  • 🔹 Tukee monien tietoturvakontrollien (esim. pääsynvalvonta, tietojen luokittelu, toimittajien turvallisuus) toteuttamista määrittelemällä assettien omistajuuden, omistajan vastuualueet ja prioriteettitasot eri asseteille.
  • 🔹 Auttaa riskinarvioinneissa tunnistamalla kriittiset kohteet, jotka on suojattava erityisen hyvin (ja jotka edellyttävät esim. erityisiä riskinarviointeja).

7. Henkilöstön ohjeiden laatiminen

Selkeiden tietoturvaohjeiden laatiminen henkilöstölle ja heidän riittävän tietoturvatietoisuutensa varmistaminen ovat keskeisiä toimia ISO 27001 -vaatimusten noudattamisessa.

Tietoturvaohjeistuksissasi tulisi tehdä henkilöstölle täysin selväksi, mitä odotuksia tietoturvasta heiltä edellytetään. Keskeinen rooli työntekijöiden tietoturvaan liittyvissä toimissa voi olla ohjeiden tunteminen ja niiden noudattaminen jokapäiväisessä työssä.

Työntekijöiden tietoturvaohjeiden tulisi kattaa muun muassa seuraavat aiheet:

  • Tietovarantojen sallittu käyttö: Säännöt, jotka koskevat esimerkiksi yrityksen omistamien laitteiden (kannettavat tietokoneet, puhelimet, USB-asemat) ja työsähköpostin käyttöä. Yrityksen IT-resurssien yksityiskäyttöä koskevat rajoitukset.
  • Pääsynhallinta ja tunnistautuminen: Salasanojen hallinnan parhaat käytännöt (esim. monimutkaisuus, vaihtuvuus), monitekijätodennusta (MFA) koskevat vaatimukset, pääsyn myöntämistä koskevat säännöt.
  • Yksityisyys ja tietojen luokittelu: Luottamuksellisten ja arkaluonteisten tietojen käsittely, tietojen luokitustasot (esim. julkinen, sisäinen, salainen, rajoitettu). Tietojen turvallinen varastointi ja hävittäminen.
  • Tietojen kalastelua ja sosiaalista manipulointia koskeva tietoisuus: Phishing-sähköpostien, puhelinhuijausten ja teeskentely-yritysten tunnistaminen, epäilyttävistä sähköposteista tai toiminnoista ilmoittaminen.
  • Etätyön ohjeet: Näyttöjen lukitseminen, kun laitteet ovat poissa, arkaluonteisten tietojen salaaminen, VPN:n käyttö, puhtaan työpöydän käytännöt.
  • Häiriöiden raportointi: Miten ilmoitus häiriöistä tehdään (esim. kadonneet laitteet, tietomurrot), keneen ottaa yhteyttä tietoturvaongelmien ilmetessä.
  • Fyysinen turvallisuus: Työpisteiden, kulkulupien ja tulostettujen asiakirjojen suojaaminen. Rajoitettu pääsy arkaluonteisille alueille (palvelinhuoneet, datakeskukset). Vierailijoita koskevat menettelyt.
  • Muiden ohjelmistojen käyttö: Luvattomien ohjelmistojen asennusten kieltäminen, yrityksen hyväksymien pilvipalvelujen ja tallennuksen käyttö.
  • Yleiset tietoturvavastuut: Työntekijöiden rooli tietoturvan ylläpitämisessä, yrityksen käytäntöjen noudattaminen poikkeustapauksissa, tietoturvarikkomusten seuraukset.

Varmista tietoturvaohjeistuksella ja prosesseilla, että myös ne tietoturvan näkökohdat, joita ei ole mahdollista käsitellä teknisesti tai ISMS-tiimin avaintoiminnoilla, tulevat huomioiduiksi.

8. Aloita tietoturvariskien hallinta

ISO 27001 -standardin keskeinen prosessi on tietoturvariskien hallinta. Riskienhallinnan pitäisi olla keskeinen työkalu, jonka avulla arvioidaan valvontatoimien ja toimintatapojen täytäntöönpanoa ja parannetaan niitä jatkuvasti.

Ennen ensimmäistä ISO 27001 -sertifiointia sinun on pystyttävä osoittamaan, että sinulla on vankka menettely tietoturvariskien hallintaa varten ja että toteutat sitä selkein tuloksin.

Nämä ovat prosessin tärkeimmät vaiheet:

  • Luo ja dokumentoi riskienhallintamenettely sen varmistamiseksi, että työ toteutetaan johdonmukaisesti.
  • Tunnista asiaankuuluvat uhat, joiden kautta tietosi, tietojärjestelmäsi tai muut palvelut voivat vaarantua.
  • Arvioi nämä riskit määrittelemällä niiden todennäköisyys ja vaikutus.
  • Ota korkeimmat riskit (jotka ylittävät hyväksyttävän riskitason) riskinhallintaan - ja määrittele riskinhallintasuunnitelmat niiden saattamiseksi hyväksyttävälle tasolle.

Olemme kirjoittaneet yksityiskohtaisesti erillisessä blogikirjoituksessa suositellusta ja sisäänrakennetusta riskienhallintaprosessistamme Digiturvamallista
Riskilähtöinen ajattelu on tärkeää oppia ISO 27001 -prosessin alkuvaiheessa, mutta sen merkitys kasvaa entisestään, kun ISMS-järjestelmäsi alkaa olla kypsempi - ja huomaat parannuksia tietoturvatilanteeseesi alkuperäisen vaatimustenmukaisuuden saavuttamisen jälkeen.

9. Laaditaan Statement of Applicability (SoA, ISO 27001 -vaatimustenmukaisuusraportti) sertifiointivalmiuden saavuttamiseksi.

Kontrollien luettelo (tai liite A tai ISO 27002 -asiakirja) on ISO 27001 -standardin osa, jossa luetellaan tietoturvakontrollit, jotka sinun on toteutettava noudattaaksesi standardia.

Vahvojen perustelujen avulla voit päättää luokitella jotkin kontrollit "ei sovellettavissa" organisaatiossasi. Tämä olisi kuitenkin tehtävä vasta huolellisen riskianalyysin jälkeen (ks. edellinen vaihe). Todellisuudessa monet ISO 27001 -standardissa luetelluista kontrolleista ovat niin perustavanlaatuisia tietoturvan kannalta, että niitä ei yleensä voi ohittaa.

Keskeinen osa vaatimustenmukaisuusprosessia on laatia raportti nimeltä Statement of Applicability (SoA), jossa esitetään yhteenveto:

  • mitä kontrolleja olet toteuttanut
  • miten olette toteuttaneet nämä kontrollit
  • perusteet, joiden vuoksi ilmoitettuja kontrolleja ei katsota sovellettaviksi.

SoA-dokumentin (tai esimerkiksi Digiturvamallin automatisoidun ISO 27001 -vaatimustenmukaisuusraportin) avulla saat yleiskuvan kontrollien toteutuksesta ja voit työskennellä tasaisesti kohti sitä, että vastauksesi kattavat kaikki kontrollit.

Digiturvamallin sertifiointivalmiin vaatimustenmukaisuusraportin pitäisi näyttää aluksi suunnilleen tältä.

10. Luo ja tarkista tarvittavat asiakirjat/politiikat/raportit

Tietoturvassa dokumentointi on pääasiassa mekanismi, jolla varmistetaan ISMS-järjestelmään liittyvä johdonmukaisuus, vastuullisuus ja auditoitavuus. Suurin osa dokumentaatiosta voi olla missä tahansa muodossa, esim. ISMS:n eri tehtävien kuvaukset. ISO 27001 -standardissa määritellään kuitenkin erikseen joitakin keskeisiä asiakirjoja, jotka on koottava yhteen ja oltava helposti jaettavissa esimerkiksi auditoijalle.

Keskeisiä dokumentteja, jotka sinun on yleensä jaettava auditoijalle 27001-sertifiointiauditoinnin alussa, ovat seuraavat:

  • Soveltuvuuslausunto (SoA)
  • ISMS-järjestelmän kuvaus ja soveltamisala
  • organisaation tietoturvapolitiikka
  • riskienhallintamenettely
  • Sisäisen auditoinnin prosessi + edellisen auditoinnin tulokset
  • Johdon katselmus + edellisen katselmuksen tulokset
  • Henkilöstön tietoturvamenettely

11. Suorita ensimmäinen johdon katselmus

Säännölliset johdon katselmukset ovat ISO 27001 -standardissa pakollinen vaatimus, jotta varmistetaan, että ISMS pysyy tehokkaana, linjassa liiketoiminnan tavoitteiden kanssa ja jatkuvasti kehittyvänä.

Näissä yleensä vuosittain tai puolivuosittain tehtävissä katselmuksissa ylin johto arvioi ISMS:n keskeisiä näkökohtia, kuten esimerkiksi

  • ✅ Tietoturvariskit ja -häiriöt: Riskienhallinnan ja käsittelyn tulosten, raportoitujen vaaratilanteiden ja saatujen kokemusten tarkastelu.
  • Auditointitulokset: Sisäisten ja ulkoisten auditointien tulosten arviointi.
  • Toimintaperiaatteiden tehokkuus: Arvioidaan, saavutetaanko ISMS-käytännöillä ja -valvonnalla tavoitteet.
  • Sidosryhmien palaute: Tärkeän palautteen antaminen esiin nostetuista turvallisuusnäkökohdista ja mahdollisista suuntauksista sidosryhmien keskuudessa (esim. asiakkaat, omistajat, kumppanit).
  • ✅ Parannusmahdollisuudet: Tunnistetaan tärkeimmät alueet, joilla turvatoimia olisi parannettava.

Hyvin tehdyt johdon katselmukset osoittavat ylimmän johdon sitoutumisen tietoturvaan ja auttavat ISMS-tiimiä tietoturvainvestointeja koskevassa päätöksenteossa ja parannusideoiden priorisoinnissa.

Ennen ensimmäistä ISO 27001 -sertifiointiauditointiasi sinun on pystyttävä osoittamaan, että sinulla on prosessi johdon katselmusten suorittamista varten, ja esitettävä vähintään yhden johdon katselmuksen tulokset.

12. Suorita ISO 27001 -standardin mukainen sisäinen auditointi

Tietoturva-auditoinnit ovat organisaation tietoturvan järjestelmällisiä arviointeja.

ISO 27001 -standardin sisäisen auditoinnin avulla on erityisesti varmistettava, että voit osoittaa, että noudatat standardin vaatimuksia. Auditoinnissa tutkitaan, että määritellyt käytännöt ja kontrollit ovat riittäviä ja että organisaatio todella toimii ISMS:nsä mukaisesti.

ISO 27001 -standardin mukaisessa sisäisessä auditoinnissa auditoinnin suorittavat yleensä valitsemasi pätevät työntekijät. Voit myös ostaa näitä palveluja ulkopuolisilta kumppaneilta.

Ollaksesi sertifiointikelpoinen sinun on oltava:

  • sinulla on oltava käytettävissä selkeä menettelyohje, jota noudatat auditointeja suorittaessasi.
  • sinulla on oltava tulokset vähintään yhdestä sisäisestä auditoinnista

Näillä osoitat, että pystyt suorittamaan auditointeja ja saamaan niistä merkityksellisiä tuloksia. Myöhemmin auditoinneilla on yhä tärkeämpi rooli jatkuvan parantamisen varmistamisessa, vaatimustenvastaisuuksien korjaamisessa ja tietoturvan kypsyyden lisäämisessä.

13. Suorita ISMS:n ulkoinen auditointi ISO 27001 -sertifikaatin saamiseksi.

Ulkopuolisen auditoinnin ISO 27001 -sertifiointiauditointi on vaihe, jossa vahvistetaan, että ISMS:si on ISO 27001 -standardin mukainen. Tämän auditoinnin suorittaa akkreditoitu kolmannen osapuolen sertifiointielin.

Auditoija kysyy teiltä lisätietoja, tarkastaa todistusaineistoa, tekee henkilöstöhaastatteluja ja arvioi muutoin, ovatko määritellyt turvatoimenpiteet asianmukaisia ja noudatetaanko niitä päivittäisessä toiminnassa. Ulkoinen auditointi kestää muutamasta päivästä muutamaan viikkoon riippuen suoraan organisaatiosi koosta.

Auditoija saattaa havaita auditoinnin aikana poikkeamia, jotka viittaavat aina joihinkin standardin osiin, joita ei noudateta. Korjaat poikkeamat korjaavilla toimilla joko välittömästi (suuret poikkeamat) tai tietyn ajan kuluessa (pienet poikkeamat).

Onnistuneen ISO 27001 -sertifiointiauditoinnin lopputuloksena saat sertifikaatin.

Olemme kirjoittaneet yksityiskohtaisesti ISO 27001 -sertifiointiauditointiprosessista erillisessä artikkelissa.

14. Suunnitellaan ISMS:n ja tulevien sisäisten ja valvonta-auditointien toteuttaminen.

ISO 27001 -sertifioinnin saavuttaminen on suuri askel. Mutta yleisen tietoturvasi kannalta se on vasta alkua. Sinun on ylläpidettävä ISMS:ääsi asianmukaisesti ja kehitettävä sitä jatkuvasti.

Seuraavassa on joitakin keskeisiä vaiheita, joilla varmistat, että ISMS:si pysyy vaatimustenmukaisena ja kehittyy jatkuvasti:

  • Seuraa ja päivitä ISMS:ää säännöllisesti: Sinun pitäisi luoda rytmi ISMS:n pitämiseksi tuoreena. Ilman ylläpitoa ISMS vanhentuu ympäristösi teknologisten päivitysten, tiettyjen käytäntöjen täytäntöönpanossa tapahtuvien muutosten tai muiden virheiden ja muutosten vuoksi. Tätä voidaan ohjata lähinnä esimerkiksi kuukausittaisilla ISMS-tiimikokouksilla ja automaattisilla muistutuksilla.
  • Priorisoi ja toteuta tietoturvaparannukset: Kannusta työntekijöitä antamaan palautetta tietoturvaparannuksista. Pidä tietoturva linjassa liiketoiminnan tavoitteiden ja uusien uhkien kanssa. Ota käyttöön uusia parhaita turvallisuuskäytäntöjä ja innovaatioita ISMS-kypsyyden vahvistamiseksi.
  • Tee riskienhallintaa jatkuvasti.
  • Suorita säännöllisesti sisäisiä auditointeja ja johdon katselmuksia.
  • Seuraa häiriöitä ja käsittele tapahtuneet: toteuta korjaavat toimet pikimmiten.

ISMS-applikaatio voi auttaa sinua varmistamaan, että olet aina ISO 27001 -standardin mukainen. Nämä työkalut tarjoavat jatkuvaa seurantaa, joka ilmoittaa sinulle aina, kun organisaatiosi ei ole standardin mukainen.
Katso, miten Digiturvamalli voi helpottaa ISO 27001 -standardin käyttöönottoa aloittamalla ilmaisen kokeilujakson tai pyytämällä demoa.

Kirjoittanut
Aleksi Pulkkanen
7.2.2025
@
apulkkanen
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

Sain kutsun ISO 27001 -auditointiin haastatteluun - mitä on odotettavissa?

Tässä blogissa puhumme työntekijöiden osallistumisen merkityksestä auditointihaastatteluprosessiin, siitä, miksi auditoijat arvostavat työntekijöiden näkemyksiä, ja tarkastelemme mahdollisia ISO 27001 -haastattelussa esitettäviä kysymyksiä.
14.2.2025

ISO 27001 -vaatimustenmukaisuus ja muistilista kohti sertifiointia

Haluatko varmistaa, että täytät ISO 27001 -vaatimukset? Tässä muistilistassa esitellään selkeästi järjestetyt keskeiset vaiheet, jotka ohjaavat organisaatiotasi ISMS-järjestelmän rakentamisessa ja ISO 27001 -standardin noudattamisessa.
7.2.2025

ISO 27001 -sertifiointi: Mitä tapahtuu sertifiointiauditoinnissa?

Tässä blogikirjoituksessa esitellään tietoturva-auditointi ja käydään yksityiskohtaisesti läpi ISO 27001 -sertifiointiauditointiprosessi.
31.1.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin