ISO 27001 -sertifioinnin aloittaminen voi tuntua ylivoimaiselta. Standardi, vaatimukset, hallintakeinot, auditoijat, sertifiointi... Älä anna näiden hienojen termien masentaa sinua!

Loppujen lopuksi ISO 27001 -sertifioinnin saaminen on varsin selkeä projekti. Siihen on jopa valmis asiakirja, jossa kuvataan sinulle kaikki vaatimukset! Kun sertifiointi on onnistunut, se luo sinulle ISMS-järjestelmän ja sen käyttämisestä tulee luonnollinen osa organisaatiotasi.

Me Cyberdaylla olemme olleet ISO 27001 -sertifioituja vuodesta 2021 lähtien, ja olemme auttaneet satoja asiakkaita ( kaikenkokoisia ja kaikilta toimialoilta) saavuttamaan saman tavoitteen.

Tämä on auttanut meitä keräämään runsaasti oppeja, joista voi olla hyötyä - erityisesti kenelle tahansa ISMS-järjestelmän ylläpitäjälle. Tässä on ne kymmenen keskeistä seikkaa, jotka olisin toivonut tietäväni ennen kuin aloitimme.

Cyberday OY:n taustaa

Minun matkani kiehtovaan tietoturvakehikkojen maailmaan alkoi vuonna 2017. Silloin GDPR oli juttu, ISO 27001 oli juttu... ja uusia vaatimuksia luotiin jatkuvasti lisää.

Aloitimme syventymällä ISO 27001 -standardiin ja yrittämällä erityisesti ymmärtää erilaisia mahdollisia asioita, joita voi tehdä vaatimusten täyttämiseksi ja hallintakeinojen toteuttamiseksi.

Sittemmin olemme laajentaneet Cyberdayn vaatimusten kattavuutta yli 35:een tietoturvakehikkoon. Havaitsemme jatkuvasti, että kaikilla eri tietoturvakehikoilla on sama ydin. Niissä kaikissa puhutaan varmuuskopioinnista, henkilöstön tietoisuudesta, riskienhallinnasta, suojattavan omaisuuden hallinnasta ja niin edelleen - hieman erilaisin painotuksin. Eri vaatimuskehikkojen noudattamista ei pitäisi nähdä erillisinä asioina, vaan prioriteetteina organisaation oman tietoturvan hallinnan rakentamisessa.

Tähän me nykyään pyrimme Cyberdayn avulla - auttamaan sinua yksinkertaistamaan hyvää tietoturvan hallintaa ja vaatimustenmukaisuutta ja pelastamaan mielenterveytesi prosessin aikana.

1. ISO 27001 on projekti - kuten mikä muukin

Tietoturvastandardit voivat kuulostaa hieman pelottavalta. Etenkin organisaatiosi muiden työntekijöiden kannalta, jotka sinun pitäisi jossain vaiheessa saada mukaan prosessiin.

Silti ISO 27001 -standardia kannattaa lähestyä kuten mitä tahansa organisaatiota koskevaa projektia:

• Ymmärrä, mitä vaaditaan.
  
• Toteuta se, mitä tarvitaan.
  
• Älä ulkoista standardin ymmärtämistä - todellinen hyöty piilee juuri tässä.
  

ISO 27001 -standardissa on 22 vaatimusta ja 93 hallintakeinoa, ja niiden ymmärtäminen omassa kontekstissasi kannattaa. Hanki standardi ja ymmärrä sen sisältö.

Tavoitteet on asetettava korkealle, mutta asiat on aina pidettävä myös käytännönläheisinä. Standardin ymmärtäminen auttaa välttämään ylilyöntejä ja varmistamaan, että ISMS-järjestelmä on merkityksellinen ja että sitä halutaan ylläpitää ja parantaa ensimmäisen sertifioinnin jälkeen.

2. Aikajana on aluksi mysteeri

Kuinka kauan sertifiointi kestää? Se riippuu. Joillakin se kestää kaksi viikkoa. Toiset tarvitsevat kaksi vuotta - tai sitten he eivät koskaan pääse perille. Useimmat selviävät siitä muutamassa kuukaudessa.

Aikataulu riippuu seuraavista tekijöistä:

• Organisaation laajuudesta: Kuinka laaja toimintakokonaisuus teillä on?
  
• Tietoturvan kypsyysaste: Ovatko tiedot aiemmin kirjattu ylös? Oletko käyttänyt parhaita käytäntöjä, joihin voit verrata toimenpiteitä?
  
• Resurssit : Kuinka selkeästi pystyt määrittelemään projektissa tarvittavan työryhmän.
  
• Työkalut : Käytättekö älykästä ISMS-järjestelmää vai hoidatteko toiminnan manuaalisemmin?
  

Jos aloitat ymmärtämällä ensin standardin ja vertaamalla sitten ISO 27001 -standardia nykyisiin toimenpiteisiisi, saat hyvän tuntuman tulevaan.

Näin voit luoda ymmärryksen tarvittavasta työstä ja aikataulusta organisaatiossasi .

3. Älä jätä tavoitteiden määrittelyä väliin

Varmista, että erityisesti sinulla ja ylimmällä johdolla on yhteinen käsitys siitä, miksi toteutat ISO 27001 -standardia. Onko se...

• parantamaan tietoturvaa?
  
• täyttääksesi asiakkaiden vaatimukset?
  
• erottuaksesi kilpailijoista?
  
• vai kaikki edellä mainitut seikat?
  

Nämä eivät ole pieniä tavoitteita, mutta yleensä niihin pyritään ISO 27001 -sertifioinnilla.

Kun tavoitteet ovat suuria, ponnistelujen on oltava samansuuruisia. ISO 27001 -sertifiointiin tavoittelu voi käydä vaikeaksi, jos sen odotetaan olevan helppoa.

Varmista, että erityisesti ylin johto ja tarvittava ISMS-tiimi ovat yhtä mieltä tavoitteista, jotta voit myös luoda realistisen käsityksen tarvittavista ponnisteluista.

Ylin johto on avainasemassa varmistettaessa resurssit tavoitteiden saavuttamiseksi. Ilman tätä hanke voi menettää vauhtia, kun asiat eivät ole helppoja.

Ja muista - riippumatta siitä, kuinka monta tuntia käytät ISMS:ään, muut organisaatiosi työntekijät eivät yhtäkkiä ala välittää ISO 27001:stä. Heidän on ymmärrettävä tavoitteet ja nähtävä niiden merkitys, jotta he voivat sitoutua.

4. Sinulla voi olla 3 tai 30 käytäntöä - päätös on sinun

Tietoturvan alalla dokumentointi on välttämätöntä, mutta siitä ei ole syytä tehdä liian raskasta.

Yleensä asiat vain toteutuvat paremmin, jos ne määritellään selkeästi ja kirjataan ylös. Näin varmistetaan myös, että voit auditoida, tarkastella ja parantaa toimia. Jotkin keskeiset asiakirjat (esim. SoA, riskienhallintamenettely, ISMS-järjestelmän kuvaus) ovat ISO 27001 -standardin pakollisia vaatimuksia, mutta niitä ei ole kovin paljon.

Tietoturvaa dokumentoitaessa on aina keskityttävä selkeyteen ja tarkoituksenmukaisuuteen pituuden sijasta.

• Pidä dokumentointi käytännönläheisenä ja ylläpidettävänä.
  
• Käytä älykkäitä muotoja (esim. tehtäviä) - kaiken ei tarvitse olla 10-sivuinen sanamuotoinen käytäntö.
  
• Vältä liian monimutkaisia tai kopioituja tietoturvakäytäntöjä - ne pelottavat ihmisiä ja tekevät ISMS:stä organisaatiosi kannalta merkityksettömän.
  

ISMS:n ylläpitäjän tulisi aina toimia suodattimena, jotta asiat pysyvät yksinkertaisina ja merkityksellisinä.

5. Täydellisestä hallintakeinojen toteuttamisesta ei saa mitalia

Kyllä, suurin osa ISO 27001 -standardin mukaisista hallintakeinoista on merkityksellisiä. Standardin ovat laatineet fiksut ihmiset, ja sadattuhannet organisaatiot ovat testanneet sitä vuosien mittaan. Suhtaudu siis hallintakeinoihin vakavasti.

Hallintakeinojen toteuttamisessa on kuitenkin eri tasoja. ISO 27001 -standardeissa annetaan paljon soveltamisohjeita, ja niitä olisi pidettävä esimerkkeinä parhaista käytännöistä. Kaiken ei tarvitse olla oppikirjaa heti ensimmäisenä päivänä, ja sinun pitäisi käyttää riskilähtöistä ajattelua löytääksesi itsellesi sopivan tason.

• Riskiperusteinen kevyt toteutus voi olla perustellumpi kuin peruskontrollien jättäminen kokonaan pois.
  
• Vältä ”ei sovellettavissa” -lausekkeen liiallista käyttöä - sille on aina esitettävä vankat perustelut.
  
• Huomaat parannuksia luonnollisesti ajan mittaan hallintakeinoissasi.

6. ISMS:n pääkäyttäjän rooli voi tuntua yksinäiseltä.

Koska ISO 27001 -standardi voi olla hieman pelottava, ISMS-järjestelmän pääkäyttäjä saattaa tuntea olevansa yksin tämän asian kanssa. Muut työntekijät eivät ehkä ole niin kiinnostuneita syventymään turvallisuusstandardien sisältöön - varsinkaan, jos he eivät näe niiden merkitystä organisaatiosi näkökulmasta.

On kuitenkin pari keskeistä asiaa, jotka auttavat sinua paljon. Keskity alussa hyviin roolimäärittelyihin - tämä on kriittinen osa ISMS:n rakentamista.

Aseta selkeät roolit, niihin liittyvät valtuudet ja toimivaltuudet ainakin seuraaville:

• ISMS:n ylläpitäjä (todennäköisesti sinä)
  
• CISO (voi olla myös sinä tai suuremmissa organisaatioissa erillinen rooli).
  
• HR/ henkilöstön tietoisuudesta vastaava henkilö
  
• riskienhallintapäällikkö
  
• teknisen turvallisuuden vastuuhenkilö
  
• Fyysisestä turvallisuudesta vastaava
  

Nämä henkilöt tukevat sinua ja työskentelevät kanssasi. Ja jos löydät vain oman nimesi kaikkiin näihin rooleihin, tämä on viesti organisaatiollesi siitä, että sinun on luultavasti kiinnitettävä enemmän ihmisiä joihinkin osa-alueisiin - ainakin lähitulevaisuudessa.

Äläkä unohda ylimmän johdon aktiivista roolia (ISO 27001 -standardin lauseke 5). Heitä tarvitaan tukemaan edistymistä, tarkastelemaan asioita omasta näkökulmastaan, määrittelemään tavoitteet ja niihin liittyvät resurssit ja niin edelleen.

ISO 27001 -standardissa on kyse kulttuurin rakentamisesta, se ei ole ”vain tietotekniikkajuttu”. Ja kulttuuri rakennetaan ihmisten avulla. Ihmiset on saatava mukaan, ja asianmukainen ISMS auttaa saamaan heidät mukaan.

7. Myös Auditoijat ovat (kiireisiä) ihmisiä

Jos haluat saada sertifioinnin, varaa auditoijasi ajoissa. Heidän kalenterinsa voivat täyttyä kuukausia etukäteen.

Kun toteutat auditoinnin:

• Älä tavoittele täydellisyyttä. Täydellisyyttä ei odoteta.
  
• Ole läpinäkyvä, selkeä ja rehellinen, jotta auditoinneista saadaan paras mahdollinen hyöty irti.
  
• Keskity oppimiseen ja parantamiseen - auditoinnit ovat arvokkaimpia, kun niitä käytetään edistymisen välineinä.
  

Hyvä auditointiyhteistyö (sisäisten ja ulkoisten auditointien kanssa) voi olla todella arvokasta, kun pyritään löytämään tärkeimmät parannettavat ISMS:n osa-alueet.

8. Kaikkein kauheinta on tehdä turhaa työtä

Tämän välttämiseksi riskienhallintaprosessisi pitäisi ohjata laivaa oikeaan suuntaan.

Tietoturvariskien hallinta on ISO 27001 -standardin keskeinen prosessi. Sitä olisi kuitenkin lähestyttävä oikealla tavalla:

• Älä tee siitä liian monimutkaista, mutta vältä myös yleisiä riskiluetteloita.
  
• Käytä riskienhallintaa kysyäksesi organisaatioltasi kysymyksen - olemmeko tyytyväisiä nykyiseen turvallisuustasoon ja missä näemme suurimmat uhat?
  
• Aseta selkeys tärkeysjärjestykseen jo varhaisessa vaiheessa ja syvennä lähestymistapaa sitten ajan myötä.
  

Riskienhallinta kehittyy ISMS-järjestelmän mukana ja siitä tulee entistä tärkeämpää, kun ISMS-järjestelmä kypsyy - se ei todellakaan ole kertaluonteinen Excel-harjoitus.

9. Sertifiointi on vasta alkua

Todellinen työ alkaa sen jälkeen, kun olet sertifioitu .

• ISMS:n pitäminen ajan tasalla
  
• johdon katselmukset ja sisäiset auditoinnit
  
• työntekijöiden kouluttaminen
  
• tietoturvan jatkuva parantaminen
  

Oikein toteutettuna ISO 27001:stä tulee keskeinen osa organisaatiosi DNA:ta - sillä se takaa kypsät tietoturvakäytännöt, ei pelkkiä ruksittuja ruutuja.

Tärkeä vinkki: Muista keskittyä ISO 27001 -standardin keskeisiin lausekkeisiin (4-10) myös ensimmäisen sertifioinnin jälkeen. Riippumatta siitä, kuinka hienoja poikkeamantunnistimia tai muita teknologisia asioita olet rakentanut, ISO 27001 -auditoijasi kiinnittää aina eniten huomiota näihin standardin pakollisiin vaatimuksiin.

10. Hyvä työkalu voi pelastaa järkesi

Kaiken tekeminen manuaalisesti on pitkällä aikavälillä työlästä. ISMS-järjestelmän seuranta ja kehittäminen staattisten asiakirjojen avulla on todella vaikeaa.

Moderni ISMS-työkalu auttaa sinua seuraavasti:

• Selventää tavoitteet
• Tukee tiimien yhteistyötä
• Automatisoi dokumentoinnin ja raportoinnin
• Auttaa sinua osoittamaan, että järjestelmää ylläpidetään ja parannetaan

Työkalu on kuitenkin vain apuväline. Sinun on edelleen varmistettava, että teet organisaatiollesi relevantteja ja tarkoitukseen sopivia toimia.

Bonus: Haluatko oppia lisää ISO 27001 -standardista?

Toivottavasti näistä näkemyksistä on apua ISO 27001 -standardin aloittamisessa oikealla polulla.

Jos haluat oppia aiheesta lisää eri näkökulmista, olemme koonneet yhteen suuren joukon hyödyllistä tietoa:

📚 ISO 27001 -kokoelma

🔗 ISO 27001 -vaatimustenmukaisuuden ja sertifioinnin tarkistuslista

Tai ota meihin suoraan yhteyttä - kerromme mielellämme lisää kokemuksistamme ja autamme sinua matkallasi.