ISO/IEC 27001 on laajasti käytössä oleva de-facto kansainvälinen tietoturvan standardi, jonka käyttöönotto on kasvanut voimakkaasti viime vuosina. Perinteisesti se on ollut isommilla organisaatiolla käytössä, mutta hyvin soveltuvana kaiken kokoisille ja tyyppisille organisaatioille, standardi on viimevuosina levinnyt laajemmalle ja on käytössä myös pienemmissä organisaatioissa. Erityisenä draiverina Euroopassa viimeaikoina on ollut myös GDPR, joka asettaa tietoturvallisuuden hallinnalle vaatimuksia sekä rekisterinpitäjälle että käsittelijälle. Usein on myös niin, että ISO 27001 -standardia ja sen velvoittavia hallintakeinoja käytetään laajalti pohjana tietoturvavaatimuksille kun sopimuksia rekisterinpitäjän ja käsittelijän välille solmitaan.
Uutuutena ISO/IEC 27701, joka on julkaistu hiljattain ja on laajennos ISO 27001 -standardille sisältäen tietoturvan lisäksi myös tietosuojanhallinnan, sillä ISO 27001 vaatimukset eivät suoranaisesti sisällä tietosuojaa. Tietosuoja on kuitenkin jatkuvasti kasvava alue, joten tähän tarpeeseen ISO 27701 -lisäosa vastaa. ISO 27701 on erinomainen vaihtoehto kun myös tietosuojaa halutaan hallita samalla hallintajärjestelmälla ja tietosuojan vaatimustenmukaisuus on tarpeellista osoittaa kolmansille osapuolille.
Standardien mukaisella toiminnalla voidaan varmentua ja osoittaa, että organisaatiolla on käytössä alan parhaat käytännöt. Tämä antaa varmuutta johdolle, työntekijöille, osakkeenomistajille, viranomaisille, asiakkaille sekä kumppaneille ja on usein myös merkittävänä kilpailuetuna, kun neuvotellaan uusista sopimuksista. Tietoturvan hallintajärjestelmä hyödyttääkin yrityksiä ja erilaisia organisaatioita monella eri tavalla.
Seuraavassa on kuvattu tarkemmin 2NS:n toteuttaman ISO 27001/27701 -prosessin eri osa-alueita, joita voidaan tilanteesta riippuen hyödyntää itsenäisinä osina tai polkuna sertifiointiin valmistautuessa ja sen ylläpitämisessä. Lisätietoa palvelustamme löydät ISO 27001 -palvelukuvauksestamme.
Esihaastattelu
Esihaastattelussa selvitetään asiakkaan lähtötilanne, organisaation rakennetta ja toimintaympäristöä. Esihaastattelulla pyritään lyhyesti selvittämään millä kypsyystasolla (tietoturvan/tietosuojan) kohde oletettavasti on, mitä ollaan tavoittelemassa ja mistä vaiheesta polulla seuraavaksi kannattaa lähteä liikkeelle. Esihaastatteluvaihe myös kerää tietoja niistä asioista, jotka vaikuttavat seuraaviin vaiheisiin ja antaa täten myös valmiuden arvioida yhdessä asiakkaan kanssa projektin aikatauluja, työmääriä ja kustannuksia.
Kartoitus
Kartoituksessa eli Gap-analyysissä nimensä mukaisesti kartoitetaan tietoturvallisuuden nykytilannetta ja sen mahdollisia puutteita. Kartoituksessa käydään läpi haastattelemalla kaikki ISO 27001- tai ISO 27701 -standardin osa-alueet. Tavoitteena on antaa tietoa kypsyystasosta ko. viitekehykseen nähden ja tuottaa kehittämistä tukeva roadmap. Kartoitus palvelee mainiosti tilanteessa, jossa lähtöasetelma tai kypsyysaste on epävarmaa, halutaan kokonaiskuva tietoturvallisuuden/tietosuojan hallintatilanteesta ja tunnistaa ne asiat, joita tulisi kehittää.
Kehitys
Tietoturvan (ISMS) / tietosuojan (PIMS) hallintajärjestelmän kehitysvaiheessa autetaan asiakasta kehittämään tunnistettuja puutteita. Tässä asiakasta voidaan auttaa projektiluontoisesti erilaisilla tietoturvan/tietosuojan konsultointi-, arkkitehtuuri- ja teknisillä asiantuntijapalveluilla. Asiantuntijamme voi olla mukana muun muassa kehitystä toteuttavana, tukevana tai johtavana asiantuntijana, kouluttamassa ja/tai itse hallintajärjestelmän käynnistämisessä. Tarvittaessa asiantuntijamme auttaa myös hallintajärjestelmän pyörittämisessä jatkuvana CISO (tietoturvapäällikkö)- tai DPO (tietosuojavastaava) -palveluna. Käyttämällä asiantuntijapalveluita saadaan laadukkaita lisäresursseja käyttöön ja sitä kautta myös yleensä huomattavasti nopeammin hyödynnettäviä tuloksia.
Sisäinen auditointi / kypsyystaso
Sisäinen auditointi / kypsyystaso vaiheen tarkoituksena on suorittaa sertifioinnin vaatima puolueeton sisäinen auditointi ja selvittää asiakkaan valmiutta sertifiointiprosessiin. Koska auditoinnin on oltava objektiivinen ja puolueeton, niin yleensä helpoiten se onnistuu käyttämällä ulkopuolista asiantuntevaa auditointikumppania. Tämä vaihe tuottaa määrämuotoisen auditointiraportin lisäksi lisäarvona lausunnon kolmannen osapuolen suorittamasta auditoinnista ja kehitysroadmap -ehdotuksen. Lausuntoa voidaan hyödyntää kolmansille osapuolille kommunikoidessa vaiheessa, jossa ISO 27001- tai ISO 27701 -sertifiointia ei voida vielä osoittaa. Roadmap -ehdotus puolestaan antaa määrämuotoista audintointiraporttia tarkemman kuvan siitä, mitä asiakkaan, liiketoiminta huomioiden, kannattaisi etupäässä kehittää. Vaihe soveltuu hyvin tilanteeseen, jossa hallintajärjestelmä on jo jonkin aikaa pyörinyt ja tuottanut evidenssiä toiminnastaan sekä tilanteeseen, jossa halutaan suorittaa sertifioinnin vaatima sisäinen auditointi ja haetaan varmuutta tehokkuudesta ennen sertifiointiin hakeutumisesta.
Sertifiointi
Itse sertifiointi tapahtuu akkreditoidun sertifiointitahon toimesta kahdessa osassa, jossa ensimmäinen auditointi (Stage1) keskittyy sertifiointivalmiuteen ja seuraava vaihe (Stage2) hallintajärjestelmän implementointiin. Auditoinnissa käydään kaikki ISO 27001 tai ISO 27701 osa-alueet läpi ja arvioidaan jokaisen kohdan intentio, toteutus ja efektiivisyys. Läpäistessään auditoinnit asiakas saa ISO sertifikaatin, jolla se osoittaa toimivansa ja hallitsevansa tietoturvaa (ISO 27001 tapauksessa) ja tietoturvaa sekä tietosuojaa (ISO 27701 tapauksessa) ko. standardin mukaisesti.
Sertifioinnin jälkeen
ISO 27001- ja ISO 27701 -sertifikaatit ovat lähtökohtaisesti voimassa kolme vuotta, jonka aikana akkreditoitu sertifiointitoimija tekee valvonta-auditointeja vähintään kerran vuodessa, yhteensä ainakin kolme kappaletta, joista viimeinen on niin kutsuttu uusintasertifiointiauditointi. Tämä sykli toistetaan aina kolmen vuoden välein.
Eräs ISO 27001- ja ISO 27701 -standardin edellytys on myös, että objektiivisia ja puolueettomia sisäisiä auditointeja on suoritettava suunnitelluin aikavälein auditointiohjelman muodossa, jossa lähtökohtana on, että kaikki ISO 27001 tai ISO 27701 osa-alueet tulee ko. kolmen vuoden aikana tarkastettua. Tämä myös yleensä helpoiten onnistuu käyttämällä asiantuntevaa puolueetonta auditointikumppania.
Lasse Korvala
2NS Lead Security Consultant
CISSP, CISA, CISM, CRISC