Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

Tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa

ISO 27001
Tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa
NIS2
Tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa
Artikkelit
Tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa

Vaikka dokumentointi on olennainen osa ISO 27001 -standardia, standardissa on pohjimmiltaan kyse tehokkaan, riskiperusteisen ja liiketoimintaan mukautetun ISMS-järjestelmän (tietoturvan hallintajärjestelmän) rakentamisesta.

Jotkin organisaatiot lähestyvät ISO 27001 -standardia pelkkänä tarkistusboksien täyttönä auditoinnin läpäisemiseksi ja asettavat paperityön todellisten tietoturvaparannusten edelle. Jos prosessissa keskitytään liikaa paperityöhön, kannattaa täytäntöönpanon lähestymistapaa arvioida uudelleen, jotta siitä tulisi käytännöllisempi ja vaikutukseltaan tehokkaampi organisaatiosi kannalta.

Mitä merkitystä asiakirjoilla ja dokumentoinnilla on ISO 27001: n kannalta?

Dokumentointi on vain mekanismi, jolla varmistetaan ISMS:n luomiseen liittyvä johdonmukaisuus, vastuullisuus ja tarkastettavuus . Jokainen voi varmasti ymmärtää, miksi on tärkeää, että tietoturvaan liittyvät prosessit ja menettelyt on kirjoitettu ylös - eikä vain CISO:n tai jonkun muun keskeisen tietoturvavastaavan päässä.

Dokumentointi on tärkeää myös monesta muusta näkökulmasta:

  • Tarjoaa näyttöä: Dokumentointi tarjoaa näyttöä vaatimustenmukaisuudesta ja tekee tietoturvasta yleisesti ottaen tarkastettavissa olevaa.
  • Parantaa johdonmukaisuutta: Dokumentointi varmistaa johdonmukaisuuden ja selkeyden tietoturvan toteuttamisessa.
  • Mahdollistaa vastuuvelvollisuuden: Dokumentointi mahdollistaa vastuuvelvollisuuden ja helpottaa tietoturvaan liittyvää viestintää.

Dokumentointia ei tarvitse nähdä tässä vanhanaikaisella tavalla. Dokumentointi voi olla myös esimerkiksi tehtäviä ja assetteja, niiden kuvailuja ja omistajia älykkäässä ISMS-järjestelmässä. Kyse ei ole vaikeasti ylläpidettävistä word-dokumenteista, joissa on manuaalinen versionhallinta. Tärkeintä on, että asiat on määritelty.

ISO 27001 -standardissa määritellään kuitenkin erityisesti joitakin keskeisiä asiakirjoja, jotka on koottava yhteen ja oltava helposti jaettavissa esimerkiksi auditoijalle. Tässä blogissa esittelemme nämä tärkeimmät dokumentit ISO 27001 -sertifiointiauditointia varten .

Mitkä ovat tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa?

Tässä jaksossa luetellaan ISO 27001 -standardin täytäntöönpanon kannalta tärkeimmät ylimmän tason dokumentit ja esitetään lyhyt yhteenveto niiden tarkoituksesta ja merkityksestä.

Statement of Applicability (SoA)

Mikä se on?

  • Asiakirja, jossa luetellaan kaikki ISO 27002 -standardin mukaiset kontrollit ja yksityiskohtaiset tiedot kunkin kontrollin tilasta (esim. kontrollin toteutuksen tila, lyhyt kuvaus toteutuksesta ja kontrollit, joita ei katsota sovellettaviksi).

Miksi sillä on merkitystä?

  • SoA toimii ISMS:n keskeisenä viitekehyksenä.
  • Luo organisaatiollesi yleiskatsauksen, jonka avulla voit seurata ISO 27002 -kontrollien täytäntöönpanon edistymistä.
  • Osoittaa organisaatiosi perustelut valituille kontrolleille, joilla pyritään saavuttamaan tietoturvatavoitteet.
  • Auditoijat tutkivat tätä usein tarkkaan varmistaakseen, että se on johdonmukainen riskinarvioinnin ja muun dokumentaation kanssa.
  • Tärkein asiakirja ISO 27001 -sertifiointiauditoinnissa, koska se liittyy kaikkien 93 ISO 27002 -kontrollin toteuttamiseen.

SoA on ISO 27001:ssä yksiselitteisesti nimetty asiakirja, mutta siihen voidaan joskus viitata myös vaihtoehtoisilla nimillä (esim. ISO 27001 control statement, Annex A control mapping or ISO 27001 Control Applicability Statement). Vaikka vaihtoehtoisia nimiä voidaankin joskus soveltaa, on ratkaisevan tärkeää pitää kiinni SoA:n keskeisestä käyttötarkoituksesta, joka on sovellettavien kontrollien tunnistaminen, niiden sisällyttämisen tai rajaamisen perusteleminen ja niiden täytäntöönpanon kuvaaminen.

Kuvaus organisaationne ISMS-järjestelmästä ja sen soveltamisalasta

Mikä se on?

  • ‍Tässä asiakirjassa on selitettävä auditoijalle, miten organisaation ISMS-järjestelmä on jäsennelty, miten sitä käytetään ja miten sitä valvotaan. Siinä selitetään myös, mitkä organisaation osat ISMS kattaa, mitkä ovat siihen liittyvät avainroolit, millaista tietoa ISMS:ään liittyy ja miten sitä valvotaan. Tutustumalla tähän asiakirjaan auditoija tietää, mistä hän löytää sertifiointiauditointiin liittyvät keskeiset tiedot.

Miksi sillä on merkitystä?

  • Määrittelee ISMS-toteutuksen fokusalueen.
  • Auttaa varmistamaan, että kaikki (sisäinen tiimi, auditoijat, sidosryhmät) ovat selvillä siitä, mitä ISMS kattaa ja millainen sisältö siihen liittyy.
  • Soveltamisalan virheellinen määrittely voi johtaa poikkeamiin sertifioinnin aikana.

Organisaation tietoturvapolitiikka

Mikä se on?

  • ‍Ylätason asiakirja, jossa kuvataan organisaatiosi sitoutuminen tietoturvaan, valittujen parhaiden käytäntöjen noudattaminen ja esimerkiksi ylimmän johdon rooli vaatimustenmukaisuuden varmistamisessa sekä tarvittava työpanos.

Miksi sillä on merkitystä?

  • Asettaa ISMS:n suunnan ja osoittaa ylimmän johdon tuen.
  • Opastaa työntekijöitä ja sidosryhmiä tietoturvan tärkeydestä.
  • Työntekijöille tiedotettava ja muille sidosryhmille jaettavaksi, joten yleensä yritykset eivät sisällytä tähän asiakirjaan paljon yksityiskohtia (pitäisi pysyä ylätasolla).
  • Usein yksi ensimmäisistä asiakirjoista, joita auditoijat pyytävät nähtäväksi.

Riskinhallinnan menettelykuvaus

Mikä se on?

  • Kuvaa prosessisi tietoturvariskien tunnistamiseksi, arvioimiseksi ja hoitamiseksi. Eli periaatteessa tämä asiakirja kuvaa riskienhallintamenetelmäsi.

Miksi sillä on merkitystä?

  • Riskienhallinta on ISO 27001 -standardin ydin.
  • Varmistaa, että riskit tunnistetaan ja niitä vähennetään johdonmukaisesti organisaation riskivalmiuden perusteella.
  • Muodostaa perustan jatkuvalle parantamiselle riskiperusteisesta näkökulmasta, kun esimerkiksi sertifiointi on saavutettu jo kerran.

Sisäisen auditoinnin menettelykuvaus

Mikä se on?

  • Kuvaa prosessisi sisäisten auditointien suorittamisesta ja auditointisuunnitelman ylläpitämisestä. Sinun on pystyttävä esittämään menettelyn mukaisesti suoritetun sisäisen auditoinnin tulokset ennen sertifiointiauditointia (tai se on merkittävä poikkeama).

Miksi sillä on merkitystä?

  • Sisäisillä auditoinneilla varmistetaan ISMS:n jatkuva vaatimustenmukaisuus ja toimivuus.
  • Antaa näyttöä jatkuvasta parantamisesta ja valmistautumisesta sertifiointiauditointeihin.
  • Auttaa tunnistamaan heikkoudet tai puutteet ennen ulkoisia auditointeja.

Johdon katselmusten menettelykuvaus

Mikä se on?

  • Kuvaa prosessin, jolla suoritat johdon katselmuksia. Tämä on yksi tärkeimmistä tavoista, joilla organisaatiosi ylin johto osallistuu tietoturvaan. Sinun on pystyttävä esittämään menettelyn mukaisesti suoritetun johdon katselmuksen tulokset ennen sertifiointiauditointia (tai kyseessä on merkittävä poikkeama).

Miksi sillä on merkitystä?

  • Osoittaa johdon aktiivisen osallistumisen ja sitoutumisen ISMS:ään.
  • Varmistaa yhdenmukaisuuden organisaation strategian kanssa ja yksilöi parannuskohteet.
  • Johdon katselmuksen puuttuminen on yleinen poikkeama auditoinneissa.

Viimeisimmät sisäisen auditoinnin ja johdon katselmuksen tulokset

Mitä ne ovat?

  • ‍Auditoija kehottaa sinua toimittamaan viimeisimmän sisäisen auditoinnin ja johdon katselmuksen tulokset ennen vaiheen 1 auditoinnin suorittamista. Ne osoittavat auditoijalle, että olet toteuttanut asiaan liittyvät menettelyt ja pystyt toteuttamaan nämä keskeiset ISMS-valvontatoimet.

Miksi niillä on merkitystä?

  • Sisäiset auditoinnit tuovat esiin puutteita tai heikkouksia, jotka voidaan korjata ISMS:n vahvistamiseksi - ja siten varmistaa jatkuva parantaminen.
  • Dokumentoidut tulokset antavat näyttöä sisäisistä auditoinneista, mikä on ISO 27001 -standardin kohdan 9.2 mukainen vaatimus.
  • Johdon katselmuksella varmistetaan, että ylin johto on sitoutunut tietoturvaan ja että ISMS vastaa jatkuvasti liiketoiminnan tavoitteita, sääntelyn muutoksia ja kehittyviä riskejä.
  • Sertifiointiauditoijat odottavat näkevänsä dokumentoidut johdon katselmuksen tulokset todisteena ISO 27001 -standardin lausekkeen 9.3 noudattamisesta.

Henkilöstön koulutusmenettelyt

Mikä se on?

  • Kuvaa prosessin, jolla varmistetaan, että työntekijät, alihankkijat ja asiaankuuluvat kolmannet osapuolet ovat tietoisia rooleistaan ja velvollisuuksistaan tietoturvan ylläpitämisessä. Tässä asiakirjassa olisi esimerkiksi kuvattava, miten koulutat työntekijöitä, annat heille ohjeita turvalliseen työskentelyyn ja varmistat, että he sitoutuvat noudattamaan ohjeita.

Miksi sillä on merkitystä?

  • Yksi ISO 27001 -standardin tärkeimmistä vaatimuksista on varmistaa, että työntekijät ovat tietoisia tietoturvaan liittyvistä velvollisuuksistaan (7.3 ja esim. kontrolli A.7.2.2).
  • Työntekijät ovat usein tietoturvan heikoin lenkki, joten tietoisuuden lisääminen voi vähentää uhkia, kuten tietojenkalastelua, sosiaalista manipulointia tai arkaluonteisten tietojen virheellistä käsittelyä.
  • Vahva tietoisuusohjelma kuvastaa koko organisaation sitoutumista turvallisuuteen, mikä on välttämätöntä ISO-sertifioinnin kannalta.

Teemakohtaiset politiikat liitteen A mukaisten valvontatoimien toteuttamisen osoittamiseksi

Aihekohtaisten tietoturvakäytäntöjen hyödyntäminen on organisaatiosi oma valinta.

Niitä ei erikseen mainita jaettaviksi asiakirjoiksi ISO 27001 -standardissa. Keskeistä on, että määrittelet niihin liittyvien kontrollien toteutuksen selkeästi.

Jotkin organisaatiot päättävät kuitenkin luoda aihekohtaisia turvallisuuspolitiikkoja esimerkiksi seuraaville suosituimmille aihealueille:

  • Pääsynhallintapolitiikka: Määritellään, miten järjestelmien ja tietojen käyttöä hallitaan ja rajoitetaan.
  • Salasanakäytännöt: Määrittää salasanojen monimutkaisuutta, voimassaoloaikaa ja käsittelyä koskevat vaatimukset.
  • Hyväksyttävän toiminnan politiikka: Määritellään yrityksen omaisuuden sallittu käyttö (esim. internet, sähköposti).
  • Häiriöihin reagoimista koskeva politiikka: Tarjoaa vaiheittaisen prosessin häiriöiden tunnistamista, hallintaa ja ratkaisemista varten.
  • Tietosuojapolitiikka: Varmistetaan tietosuojalakien noudattaminen ja suojataan arkaluonteiset tiedot.
  • Etätyöpolitiikka: Kattaa etätyötä tekevien työntekijöiden turvatoimet.
  • Toimittajien turvallisuuspolitiikka: Hallitsee ulkoisiin toimittajiin ja kumppaneihin liittyviä riskejä.

Teemakohtaiset tietoturvapolitiikan dokumentit pitäisi nähdä työkaluina, jotka helpottavat tiedon jakamista ja sisällön tarkastelua. Politiikka-asiakirjoissa tarkoitettujen toteutettujen (teknologisten, organisaatioon tai ihmisiin perustuvien) suojatoimien varsinainen delegointi ja seuranta on paljon parempi tehdä älykkäässä ISMS-työkalussa - ei tekstidokumentissa.

ISO 27001 -standardiin ja keskeisiin asiakirjoihin liittyvät tärkeimmät huomiot

ISO 27001 -standardissa ei ole kyse asiakirjojen laatimisesta dokumentoinnin itsensä vuoksi. Kyse on asiakirjojen hyödyntämisestä toimivan, riskiperusteisen ISMS-järjestelmän rakentamisessa, joka suojaa organisaation tieto-omaisuutta ja tukee liiketoiminnan tavoitteita. Asiakirjat ovat kyllä tarpeen, mutta ne ovat työkaluja, eivät päämäärä.

  • Toisiinsa liittyvät asiakirjat muodostavat ISMS:n perustan: Keskeiset asiakirjat - kuten soveltamislausuma (SoA), riskienhallintamenettely, ISMS:n soveltamisala, sisäinen auditointi, johdon katselmus ja tietoturvapolitiikka - muodostavat yhdessä ISMS:n selkärangan. Kullakin asiakirjalla on oma tarkoituksensa määriteltäessä esimerkiksi sitä, miten tietoturvan asianmukaista hallintaa ylläpidetään, miten valvontatoimia sovelletaan tai miten jatkuva parantaminen saavutetaan.
  • Keskity siihen, mitä määritellään, älä itse asiakirjaan: Asiakirjat ovat työkaluja, joiden avulla voit hahmotella tietoturvatavoitteet, -prosessit ja -päätökset. Todellinen painopiste on kuitenkin siinä, mitä asiakirjoissa on määritetty ja miten niitä sovelletaan käytännössä. Kyse ei ole täydellisten asiakirjojen laatimisesta, vaan siitä, että dokumentit toteutetaan käytännössä.
  • Auditoijat ovat kiinnostuneita täytäntöönpanosta: ISO 27001 -auditoinneissa ei ole kyse vain asiakirjojen olemassaolon tarkistamisesta, vaan niissä keskitytään varmistamaan, että organisaatiosi toimii dokumentoitujen määritelmien mukaisesti. Tämän vuoksi ISMS-järjestelmän ja todellisten käytäntöjen yhteensovittaminen on ratkaisevan tärkeää.

Jotkin organisaatiot sortuvat yhä siihen, että ne pitävät sertifiointia liiallisena tavoitteena ja pitävät ISO 27001:tä vain dokumentaatiopainotteisena rasti ruutuun -harjoituksena. Tämä lähestymistapa johtaa usein turhautumiseen ja siihen, että prosessi koetaan liian byrokraattiseksi, mikä vähentää ISMS:n todellista arvoa.

Kun ISO 27001 -standardi pannaan täytäntöön tehokkaasti, paperityöstä tulee luonnollinen osa tietoturvaohjelmaa, jossa keskitytään vahvistamaan organisaation tietoturvatasoa ja lisäämään luottamusta sidosryhmien kanssa.

Kirjoittanut
Aleksi Pulkkanen
21.2.2025
@
apulkkanen
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

10 yleisintä poikkeamaa ISO 27001 -auditoinneissa

Auditoinnit ja poikkeamat ohjaavat organisaatioita kohti jatkuvaa parantamista. Ennen ensimmäistä ISO 27001 -sertifiointia on kuitenkin hyvä olla tietoinen joistakin yleisimmistä poikkeamista.
6.3.2025

Miksi ISO 27001 vaatimustenmukaisuus on nyt tärkeämpää kuin koskaan?

ISO 27001 -standardi on vuodesta toiseen pysynyt yhtenä tietoturvan kultaisista standardeista. Globaali standardi on pysynyt relevanttina, mutta mistä ISO 27001 on saanut alkunsa? Ja miksi sen suosio vain kasvaa?
28.2.2025

Tärkeimmät dokumentit ISO 27001 -sertifiointiauditoinnissa

ISO 27001 -standardissa määritellään joitakin keskeisiä asiakirjoja, jotka on esitettävä kootusti ja oltava helposti jaettavissa esimerkiksi auditoijalle. Tässä blogissa esittelemme nämä tärkeimmät asiakirjat ISO 27001 -sertifiointiauditointia varten
21.2.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin