2NS valikoitui ohjelmistoyritys Receptumin kumppaniksi toteuttamaan yritykselle sisäiset ISO27001-auditoinnit tietoturvan hallintajärjestelmän ylläpitoon ja kehittämiseen.
Sisäisten auditointien tarkoituksena on varmistaa, että yrityksen toiminta vastaa hankitun sertifikaatin, tässä tapauksessa ISO27001:n asettamia vaatimuksia, jotta varsinainen sertifioinnin voimassaoloa jatkava auditointi menee ongelmitta läpi ja vuosittaiset kolmannen osapuolen seuranta-auditoinnit sujuvat hyvin.
Auditoidun ISO-standardin voimassaoloaika on kolme vuotta. Tämän jälkeen toteutetaan uusi varsinainen auditointi, jossa kolmas osapuoli tarkastaa toiminnan. Välissä olevan kolmen vuoden aikana on tehtävä sisäisiä auditointeja kyvykkyyden ylläpitämiseksi. Voimassaolon aikana tehdään lisäksi seuranta-auditointeja, joilla varmistetaan standardinmukainen toiminta.
Yleensä sisäisten auditointien sisältö jaksotetaan näille kolmelle vuodelle kattamaan yhdessä koko tietoturvan hallintajärjestelmä. Näin ollen kehityskohteiksi todettavia osia voidaan ensimmäisen ja toisen kierroksen jälkeen käydä uudestaan läpi ja sertifikaatin vaatimat asiat nousevat säännöllisesti esiin.
Receptumin ja 2NS:n yhteistyö on alkanut jo aikaisemmin, ja jatkui nyt sisäisellä auditoinnilla keväällä 2023. 2NS:n asiantuntijat kävivät läpi tietoturvan hallintajärjestelmään liittyvää dokumentaatiota, tiettyjä käytänteitä sekä fyysistä turvallisuutta.
”Meillä sisäisten auditointien sykli tulee siitä, että ulkopuolisen tahon teettämä varsinainen auditointi tapahtuu aina syksyisin, niin tällöin meidän vuosikellomme määrittää sisäiset auditoinnit tehtäväksi keväällä. Lisäsi meillä oli jo valmiiksi pohjalla ISO9001 viitekehys ja nyt ISO27001:2013:n myötä yhdistimme nämä kaksi yhdeksi hallintajärjestelmäksi, joten myös sitä kautta auditointien kevät (sisäiset) & syksy (seuranta) sykli oli luonteva tapa tämä toteuttaa”, valottaa Receptumin CISO Tuomas Miskala.
Apteekkialan toimija haluaa panostaa tietoturvaan
Receptum on erityisesti apteekkialaa palveleva ohjelmistotoimittaja ja digitalisaation edistäjä, joten sisäisten auditointien sisällössä keskityttiin erityisesti tietoturvallisen ohjelmistokehityksen kannalta olennaisiin kohtiin tietoturvan hallintajärjestelmässä. Yhtiöllä on asiakkuuksia koko pohjoismaiden skaalalta apteekkisektorilla.
Tunnetuin Receptumin tuote on MAXX-apteekkijärjestelmä, joka on apteekin IT-kokonaisratkaisu. Lisäksi yhtiö toimittaa räätälöityä konsultointia ja ohjelmistokehityksen palveluita apteekkisektorilla ja suunterveydenhuollossa.
Yhtiön asiakkaat ovat apteekkialalla, jossa tietoturva on monesta näkökulmasta merkittävä osa liiketoiminnan jatkuvuuden varmistamista. Asiakkaiden luottamuksen säilytys on tärkeää, minkä takia alalle kasautuu vielä keskimääräistä enemmän painetta tietoturvan laadukkaaseen ylläpitoon.
”ISO 27001 -valmius on meille ehdottoman tärkeää. Tietoturvan hallintajärjestelmän tulee aina tukea yrityksen liiketoimintaa ja elää sekä kehittyä sitä varten eikä toisinpäin, tietenkin viitekehyksen raamien mukaisesti. Tehdään tänään hyvin ja paremmin kuin eilen niin, että huomennakin on uusi päivä. Matka on aina pitkä ja hallintajärjestelmän kehitys ja ylläpito tuleekin aina nähdä ennemmin maratonina kuin spurttina”, linjaa Miskala.
Sisäiset auditoinnit tarjoavat mahdollisuuden keskustella ulkopuolisen ammattilaisen kanssa tietoturvan hallintajärjestelmän toiminnasta ja sen mahdollisesta optimoinnista. Hyvä hallintajärjestelmä ei ole kitkana arjessa ja liiketoiminnassa, vaan tukee niiden toimintaa.
2NS:llä on pitkä kokemus ISO27001-standardin implementoinnista ja siihen vaadittavan kyvykkyyden kehittämisestä yritysasiakkaille. Toteutamme implementoinnit alustavista kartoituksista aina varsinaiseen auditointiin valmistautumiseen. Auditointien välissä tuemme kyvykkyyden ylläpidossa ja tietoturvan hallintajärjestelmän kehittämisessä sisäisillä auditoinneilla sekä tarvittaessa koulutuksilla.
Entä miten Receptumin CISO Tuomas Miskala summaa yhteistyön 2NS:n kanssa?
” Substanssiosaaminen on (2NS:llä) syvää, joten se kirittää meitäkin kohti parempaa. Saimmekin jälleen tukun hyviä kehitysideoita siihen, miten voimme kehittää ja ylläpitää tietoturvan hallintajärjestelmän valmiutta kohtaamaan huomisenkin tietoturvahaasteet.”
2NS toimii ISO/IEC 27001 -hallintajärjestelmän implementoinnin ja ylläpidon kumppanina. Tutustu vaihtoehtoihin, joilla voit lähtökartoittaa organisaatiosi tietoturvan ja harkita etenemistä kohti sertifiointia. Saat helposti lisätietoa ottamalla meihin yhteyttä.