Tammikuussa 2025 Cyberday Oy suoritti ISO 27001-standardin mukaisen valvonta-auditoinnin. Yrityksellämme on ollut ISO 27001:2022 -sertifikaatti vuodesta 2021 lähtien. ISO 27001 -standardin osalta sertifiointi on voimassa kolme vuotta, ja valvonta-auditointi tulee tehdä vuosittain. Koska saimme uudelleensertifioinnin vuonna 2024, tämä oli 1. valvonta-auditointimme tällä kolmen vuoden sertifiointijaksolla.

Uudelleensertifioinnin ja valvonta-auditointien lisäksi organisaatioiden tulisi tehdä sisäinen auditointi vähintään kerran vuodessa.

Auditointia varten auditoija pyysi meiltä kahta erillistä työntekijähaastattelua: uuden työntekijän haastattelua ja roolikohtaista haastattelua. Minut kutsuttiin mukaan uuden työntekijän haastatteluun, ja nyt haluankin ottaa teidät mukaani. 🚀

Tässä blogissa puhumme työntekijöiden osallistumisen merkityksestä auditointihaastatteluun, siitä, miksi auditoijat arvostavat työntekijöiden näkemyksiä, ja perehdymme mahdollisiin ISO 27001 -haastattelussa esitettyihin kysymyksiin.

Jos haluat tietää lisää koko prosessista, tutustu ISO 27001 -sertifiointiprosessia käsittelevään blogiimme.

Henkilöstön auditointeihin osallistumisen merkitys

Auditoinnit, erityisesti ISO 27001-auditointi, tukeutuvat melko paljon työntekijöiden aktiiviseen osallistumiseen. Henkilöstö on organisaation tietoturvan hallintajärjestelmän (ISMS) perusta, ja heidän osallistumisensa auditointeihin edistää avoimuutta ja syventää heidän ymmärrystään yrityksen tietoturvapolitiikoista ja -menettelyistä.

Tässä artikkelissa keskitymme työntekijöiden osallistumiseen auditointihaastatteluihin, mutta on monia muitakin tapoja, joilla organisaatio voi osallistaa työntekijöitä, esimerkiksi seuraavasti:

• työntekijöiden aktiivinen osallistuminen valmisteluun proaktiivisen tietoturvakulttuurin rakentamiseksi ja kehittämiseksi.
• Mahdollisuus järjestää vaatimusten mukaisia koulutustilaisuuksia ja työpajoja: näin työntekijät ymmärtävät paremmin oman roolinsa vaatimustenmukaisuuden ylläpitämisessä ja todennäköisemmin kysyvät myös kysymyksiä mahdollisten epäselvyyksien selvittämiseksi.
  

• Ennen auditointia työntekijöiden olisi varmistettava, että kaikki heidän omaan työhönsä liittyvät dokumentit ovat ajan tasalla ja kuvaavat tarkasti heidän noudattamiaan tietoturvakäytäntöjä.
  
• Kannustetaan työntekijöitä antamaan palautetta ISMS:stä ja auditointiprosessista. Työntekijöiden näkemykset voivat olla arvokkaita mahdollisten parannusten tunnistamisessa.
  

Auditoinneissa ei ole kyse vain vaatimusten täyttämisestä, vaan niiden tarkoituksena on jatkuva parantaminen. Työntekijöiden osallistuminen näihin prosesseihin auttaa tunnistamaan mahdollisia puutteita tietoturvassa, jotka muuten saattaisivat jäädä huomaamatta. Työntekijöiden valtuuttaminen antamaan palautetta käytännön parannuksista ja mukautuksista, jotka perustuvat heidän käytännön kokemukseensa, edistää tehokkaampaa ISMS:ää ja ennakoivaa tietoturvakulttuuria.

Miksi auditoijat haastattelevat työntekijöitä?

Uudet työntekijät voivat osallistua auditointiprosessiin haastattelujen tai dokumenttien avulla.

Työntekijöiden haastattelut ovat tärkeä osa ISO 27001 -auditointia, sillä niiden avulla auditoijat saavat ensikäden tietoa siitä, miten tietoturvakäytäntöjä ja -menettelyjä käytännössä toteutetaan. Auditoijat arvioivat, ymmärtävätkö työntekijät heille annetut roolit ja vastuut organisaation tietoturvatilanteen ylläpitämisessä.

Haastattelujen avulla auditoijat voivat arvioida organisaation käyttöön ottamien koulutusten ja tietoisuuden lisäämiseen tähtäävien toimien tehokkuutta. Tämä auttaa tunnistamaan mahdolliset puutteet tietämyksessä tai alueet, joilla lisäkoulutus saattaa olla tarpeen, ja varmistaa, että koko henkilöstö on riittävästi valmistautunut tietoturvan haasteisiin. Työntekijöiden haastattelut tarjoavat myös ainutlaatuisen tilaisuuden paljastaa mahdolliset ristiriidat dokumentoitujen menettelyjen ja todellisten käytäntöjen välillä. Työntekijät voivat antaa käytännön palautetta tietoturvakontrollien käytännöllisyydestä ja merkityksellisyydestä, mikä voi johtaa parannuksiin organisaation tietoturvan hallintajärjestelmässä.

Mahdollisia ISO 27001 -auditoinnin haastattelukysymyksiä

Seuraavaksi katsotaan, mitä kysymyksiä tietoturva-auditoinnin haastattelussa voidaan mahdollisesti kysyä. Nämä kysymykset voidaan luokitella roolin ja aiheen mukaan. Haastattelun aikana auditoija haastattelemalla selvittää, ovatko työntekijät todella tietoisia organisaation tietoturvakäytännöistä, heidän rooleistaan ja vastuistaan tietoturvatoimenpiteiden suhteen ja ovatko päivittäiset työtehtävät linjassa vaatimuskehikon, tässä tapauksessa ISO 27001 -standardin kontrollien, kanssa .

Yleiset haastattelukysymykset voivat olla merkityksellisiä kaikissa auditointihaastatteluissa:

These are just examples of the ISO 27001 audit interview themes. It is important that the employee is aware of and follows best security practices in the working routine.

Rooliin perustuva auditointihaastattelu

Varsinkin rooliin perustuvassa haastattelussa kysymykset voidaan valita ammatillisen roolisi mukaan. Näin haastattelussa voidaan saada käsitys siitä, miten hallitset tietoturvaa oman roolisi näkökulmasta. Seuraavassa on muutama rooliperusteinen kysymysaihio:

IT-tiimi: ‍

• Kysymykset voivat keskittyä teknisiin kontrolleihin ja turvatoimiin. Esim: Mitä turvatoimia on käytössä, jotta estetään luvaton pääsy IT-järjestelmiin? Kuinka usein tietoturvakorjauksia ja -päivityksiä tehdään?
  

HR (henkilöstöhallinto):

• Henkilöstöhallintoon voidaan kohdistaa kysymyksiä, joissa arvioidaan tietoturvaa palkkauksessa, koulutuksessa ja työntekijöiden offboarding-vaiheessa. Esimerkiksi: Mitä turvatarkastuksia uusille työntekijöille tehdään? Miten varmistetaan, että uudet työntekijät saavat tietoturvakoulutuksen?
  

Talous- ja hankintaryhmät:

• Kysymykset voivat keskittyä liiketoimiin, taloudelliseen turvallisuuteen ja toimittajahallintaan roolista riippuen. Esimerkiksi: Miten varmistatte, että rahoitustapahtumat ovat turvallisia? Miten arvioitte kolmansien osapuolten toimittajien turvallisuutta ennen kuin teette yhteistyötä heidän kanssaan?
  

Osastopäälliköt:

• Tämä johtotaso vastaa kysymyksiin, jotka perustuvat tietosuojaan, riskienhallintaan ja käytäntöjen täytäntöönpanoon. Esimerkiksi: Miten varmistat, että osastosi työntekijät noudattavat tietoturvakäytäntöjä, esim. puhtaan työpöydän käytäntöä?
  

Myyntitiimi:

• ‍Myyntitiimin jäsenet käsittelevät asiakastietoja, sopimuksia ja arkaluonteisia liiketoimintatietoja, joten he ovat ISO 27001 -auditoinnin keskeinen kohde. Auditoijat tarkastavat, miten hyvin he suojaavat asiakastietoja, noudattavat tietoturvakäytäntöjä ja ehkäisevät tietomurtoja. Esim: Missä säilytätte asiakassopimuksia ja arkaluonteisia tietoja? Miten varmistatte, että CRM:ssä olevia asiakastietoja ei käytetä väärin tai vuoda?
  

Roolikohtaisilla haastatteluilla voidaan varmistaa, että työntekijät toteuttavat johdonmukaisesti turvatoimia työtehtäviensä puitteissa. Haastattelut ovat ratkaisevan tärkeitä arvioitaessa erityisiä turvakontrolleja ja tunnistettaessa mahdollisia riskejä. Ne auttavat auditoijia myös määrittämään, ovatko organisaation koulutus- ja tietoisuusohjelmat edistäneet tehokkaasti perusteellista tietämystä tietoturvasta päivittäisessä toiminnassa.

Uuden työntekijän auditointihaastattelu

Uuden työntekijän tarkastuksen haastattelukysymyksissä keskitytään sellaisiin aiheisiin kuin aloitusprosessi, turvallisuustietoisuuskoulutus ja viestintäpolitiikka. Näillä kysymyksillä tilintarkastaja haluaa varmistaa, että tietoturva otetaan huomioon alusta alkaen ja että uudet työntekijät ymmärtävät vastuunsa. Roolikohtaiseen haastatteluun verrattuna uuden työntekijän haastattelussa keskitytään organisaation perusprosesseihin erityisesti alkuvaiheessa:

• Arvioidaan, kuinka hyvin perehdyttämisprosessi kattaa tietoturvatietoisuuden: Voisitko kuvailla rekrytointiprosessia/ ensimmäisiä työpäiviäsi?
  
• Yleinen tietoturvatietoisuus: Oletko saanut tietoturvakoulutusta organisaatioon tultuasi?  Kuinka pian ja miten koulutus on toteutettu? Mistä löydät yrityksen tietoturvakäytännöt? Miten pysyt ajan tasalla yrityksen tietoturvakäytännöistä?
  
• Pääsynvalvonta & fyysinen ja etätyö: Miten pyydät pääsyä yrityksen järjestelmiin tai ohjelmistoihin? Saatko käyttää henkilökohtaisia laitteita työssäsi? Miten turvaat työpisteesi, kun poistut työpöydältäsi?
  
• Kysymyksillä voidaan myös testata tietoturvatietämystäsi tähän mennessä, jotta voidaan tarkistaa koulutuksen tehokkuus: Mitä tekisit, jos saisit epäilyttävän sähköpostiviestin, jossa pyydetään kirjautumistietojasi? Mitä tekisit, jos yrityksesi kannettava tietokone tai puhelin katoaa tai varastetaan?

Voiko auditointiin valmistautua mitenkään?

Jos haluat valmistautua tulevaan haastatteluun, tässä on muutamia keinoja, jotka auttavat sinua.

• Lue ohjeet uudelleen: Varmista, että olet lukenut ja ymmärtänyt organisaation antamat ohjeet. Tarkista myös, mistä löydät asiaankuuluvat asiakirjat, esim. tietoturvapolitiikka.
  

• Tee haastattelun simulaatio: Hermostuttaako haastattelu? Kerää yleisiä auditointihaastattelukysymyksiä ja pyydä apua kollegalta tai käy kysymykset läpi itsenäisesti.
  
• Kuvitteelliset kyberuhat: Koska haastattelija saattaa kysyä tietojasi siitä, miten toimia esimerkiksi mahdollisen tietojenkalasteluhyökkäyksen yhteydessä tai mitä sinun pitäisi tehdä, jos kadotat puhelimesi tai kannettavasi, on hyvä käydä läpi parhaat käytännöt ja ohjeet.

Kunhan ISO 27001 -standardin mukaiset toimenpiteet ovat vakiintuneet organisaatiossasi, myös auditointiin valmistautuminen on helpompaa. Muista haastattelutilanteessa:

• Sinua ei olla testaamassa. Haastattelun tarkoituksena on varmistaa, että organisaatiosi todella tekee sitä, mitä se sanoo tekevänsä.
  
• Muista vastata auditoijan kysymyksiin rehellisesti. Jos et tiedä jotain, ehkä tiedät, kuka voi auttaa sinua siinä?
  
• Voit käyttää todellisia esimerkkejä, ja mikä vielä parempaa - voit näyttää sovellettuja turvatoimenpiteitä, jos mahdollista.
  
• Jos olet käynyt turvallisuuskoulutuksia tai tiedät, että organisaatiossasi järjestetään tietoisuusohjelmia, voit mainita niistä tässä yhteydessä. Näissä voidaan korostaa organisaation jatkuvia parannustoimenpiteitä.

Keskeiset huomiot ensimmäisestä auditointihaastattelustani

Ennen auditointia kävimme hieman läpi auditointipäivien aikataulua sekä sitä, milloin kukin haastattelu tapahtuisi. Kävimme läpi auditoinnin keskeiset teemat ja keskustelimme kahden haastattelun välisistä eroista sekä tarkistimme, että osallistujat tunsivat olonsa mukavaksi haastattelujen suhteen. Meidän ei oikeastaan tarvinnut mennä yksityiskohtiin, sillä voisi todeta, että työskennellessämme Cyberdayn ytimessä tietoturva on meille aika lailla arkipäiväinen asia.

Koska minua haastateltiin nimenomaan uuden työntekijän näkökulmasta, haastattelu alkoi sillä, että kerroin roolini Cyberdayssä ja kuinka kauan olen nyt työskennellyt täällä. Sen jälkeen aloitimme alusta. Ja kun sanon alusta, tarkoitan rekrytoinnista.  Siitä siirryimme onboarding- ja tietoturvakoulutusmenettelyihin, vastuualueisiin, fyysiseen turvallisuuteen ja yksityiskohtaisempiin tapauksiin, esimerkiksi siihen, mitä teen, jos saan tietojenkalasteluviestejä. Minulta kysyttiin myös, missä asioissa näen henkilökohtaisesti parantamisen varaa työympäristössäni. Kaiken kaikkiaan haastattelu oli keskustelunomainen, ja viimeinenkin hermostunut olo suli melko nopeasti pois, kun tajusin, että pystyin vastaamaan kysymyksiin ongelmitta.

Jos sinua ollaan haastattelemassa auditoinnin yhteydessä, saatat olla hermostunut, varsinkin jos haastattelutilanne on hieman tuntemattomampi. Mutta jos organisaatiossasi on käytössä ISO 27001 -toimenpiteet, et ole huolissasi mistään. Tärkeintä on olla rehellinen auditoijalle, jos et tiedä tai muista jotain, on hyvä tietää, mistä tieto löytyy.