Docue saavutti ISO 27001 -sertifioinnin koko organisaatiolleen ja läpäisi auditoinnin ilman yhtäkään vakavaa poikkeamaa Digiturvamallin avulla.
Vaatimukset täyttyvät jalkauttamalla digiturvatehtäviä.
Mitä kukin tekee digiturvan eteen?
Osa tehtävistä vaatii asioiden ohjeistamista henkilöstölle.
Mitä pitää muistaa arjessa?
Osa tehtävistä vaatii listausten pitoa tietoturvan ydinelementeistä.
Mistä pitää voida raportoida?
Docue on nopeasti kasvava legal tech -yritys, joka auttaa yrityksiä laatimaan laillisesti sitovia asiakirjoja nopeasti ja luotettavasti. Heidän älykäs alustansa yhdistää automaation, asiantuntijoiden laatimat mallipohjat ja sähköisen allekirjoituksen yhdeksi kokonaisratkaisuksi.
Tänä päivänä pk-yritykset ympäri Eurooppaa luottavat Docueen hoitaessaan kaikkea työsopimuksista kaupallisiin sopimuksiin, hyödyntäen paikallista juridista sisältöä Suomessa, Ruotsissa, Saksassa, Isossa-Britanniassa ja Puolassa.
Asiakaskunnan kasvaessa, erityisesti suurten tietoturvatietoisten yritysten myötä, Docuella oli tarve vahvistaa tietoturvaansa. Sen sijaan, että he olisivat palkanneet konsultteja tai käynnistäneet monimutkaisen projektin, he ottivat käyttöön Digiturvamallin.
Docuella oli alusta asti vahvat tietoturvakäytännöt, erityisesti tuotekehityksen ja ylläpidon osalta. Näitä käytäntöjä ei kuitenkaan ollut virallisesti dokumentoitu tai jäsennelty minkään tunnetun vaatimustenmukaisuuskehyksen mukaisesti.
”Alun perin emme tavoitelleet sertifikaattia,” kertoo Lars Remes, Docuen tuotepäällikkö ja CISO. ”Mutta asiakkaamme, osa heistä suuria pörssiyhtiöitä, alkoivat esittää kysymyksiä. Lopulta vaatimustenmukaisuuden todistamisesta tuli väistämätöntä.”
NIS2-direktiivi ja kansalliset kyberturvalait lisäsivät kiireellisyyttä. Docuella ymmärrettiin, että ISO 27001 -sertifioinnista tulee pian perusvaatimus heidän kaltaisilleen toimittajille.
He tarvitsivat ratkaisun, joka ei veisi tiimin jäseniä pois ydintehtävistään.
”Arvioimme erilaisia vaihtoehtoja. Digiturvamallissa meitä kiinnosti erityisesti se, että se antoi meille työkalut ja tiedot hoitaa asiat itse, omaan tahtiin.”
Lars Remes, tuotepäällikkö & CISO, Docue
Docue valitsi Digiturvamallin, koska se antoi heille hallinnan omiin käsiin. ”Pystyimme aloittamaan heti ilman workshoppeja tai laajaa projektisuunnitelmaa,” Lars kertoo.
Vaikka sertifiointia ei aluksi tavoiteltu, Digiturvamalli tarjosi selkeän etenemispolun. He lähtivät liikkeelle pienesti, saaden näkyvyyden tehtäviin, ja ottivat vähitellen mukaan lisää ihmisiä talouspuolelta, hallinnosta ja muilta osastoilta.
”Oli tärkeää, että järjestelmän käyttöönottaminen ei vaatinut valtavaa projektia,” Lars sanoo.
Digiturvamallin selkeärakenteiset tehtävälistat, roolijaot ja dashboardit auttoivat Docueta tuomaan rakennetta tähän kuukausia kestäneeseen työhön.
”Asetimme tavoitteen: kaiken pitää näyttää vihreää Digiturvamallissa. Se pelillisti prosessia hyvällä tavalla.”
”Digiturvamalli auttoi pitämään prosessin hallinnassa, mutta sertifiointi vaati silti pitkäjänteistä sitoutumista koko organisaatiolta,” Lars toteaa.
Tietoturvatiimisi voi automatisoida riskinarviointeja ja yhdistää riskinhallintatoimet suoraan vaatimustenmukaisuusvaatimuksiin.
Sen sijaan, että joutuisit käsittelemään useita taulukkolaskentataulukoita ja asiakirjoja, alustamme avulla voit hallita kaikkia käytäntöjä, valvontatoimia ja tarkastusnäyttöä yhdessä paikassa.
Raporttien tuottaminen tarkastuksia ja sääntelyelimiä varten on nyt nopeaa ja automatisoitua, mikä vähentää hallinnollisia kuluja.
Larsin neuvo muille on asettaa realistiset tavoitteet alusta alkaen. Älä pyri täydellisyyteen. Keskity olennaiseen ja kehitä siitä eteenpäin.
Monet tiimit tekevät ISO 27001 -projektista turhan monimutkaisen yrittämällä ottaa heti kaikki mahdolliset kontrollit käyttöön. Lars suosittelee päinvastaista:
”Standardi vaatii yhden tai useamman kontrollin joka teemalle. Digiturvamalli auttoi tunnistamaan olemassa olevat kontrollit ja antoi ideoita uusista.”
Larsin mukaan jokaisen organisaation kannattaa alussa määritellä oma tavoitetasonsa. Se helpottaa etenemistä, estää jumiutumisen ja luo hyvän pohjan jatkuvalle kehitykselle.
”Yritimme tehdä kaiken täydellisesti heti. Jälkikäteen ajateltuna olisi riittänyt, että aloitamme yksinkertaisemmin ja rakennamme siitä.”
Tämä ajattelutavan muutos auttoi tiimiä välttämään turhaa työtä, täyttämään vaatimukset ja läpäisemään auditoinnin puhtain paperein.
Docuen ISO 27001 -sertifiointi myönnettiin laajan ja riippumattoman auditoinnin jälkeen. Sertifiointi saatiin heti ensimmäisellä yrityksellä ilman vakavia poikkeamia. Kyseessä oli merkittävä koko yhtiön laajuinen ponnistus, joka kattoi kaikki tiimit ja toiminnot Docue-konsernissa.
”Nyt meillä on toimiva järjestelmä. Toimimme jatkuvan parantamisen mallilla, ja Digiturvamalli auttaa meitä pysymään siinä mukana,” Lars sanoo.
Sertifiointi ei kuitenkaan ole päätepiste. Sen ylläpitäminen vaatii vuosittaisia auditointeja, säännöllisiä sisäisiä tarkastuksia ja jatkuvaa kehitystyötä. Docue jatkaa investointeja tietoturvan hallintajärjestelmäänsä pysyäkseen kehittyvien uhkien ja kasvavien vaatimusten edellä.
Digiturvamalli tarjosi rakenteen, jolla työ voitiin hoitaa sisäisesti ja organisaation ehdoilla ilman raskasta projektia.
Tuloksena onnistunut ISO 27001 -sertifiointi, parempi sisäinen yhteistyö sekä skaalautuva tapa vastata kasvaviin tietoturva- ja vaatimustenmukaisuusodotuksiin.
Aloita maksuton Digiturvamalli-kokeilu ja rakenna tiimillesi sopiva tietoturvaohjelma omilla ehdoillasi.