Nämä ovat suositeltuja toimenpiteitä Digiturvamallissa, kun tavoitteena on ISO 27001 -sertifiointiin valmistautuminen.
Kaikki vaiheet ovat tarpeellisia, joten koko listaan kannattaa tutustua huolellisesti. Voit kuitenkin muokata vaiheiden järjestystä, jos se tekee niiden suorittamisesta teille sulavampaa.
1. Aktivoi ISO 27001 -vaatimuskehikko (2022 tai 2013 versio)
Jos aloitat uuden ISO 27001 -toteutuksen, valitse 2022 versio.
Kun tavoitteena on selkeästi päästä sertifiointitasolle, on hyvä aloittaa heti täydellä (taso 3) vaatimuskehikolla. Kun organisaatio haluaa lähteä kehittämään toimintaansa ilman sertifiointitavoitetta, taso 1 tai 2 toiimi paremmin. Tällöin tilillä näytetään ainoastaan rajattu lista tehtäviä. Vaatimuskehikon tasoa voi huoletta laajentaa tai pienentää - koskaan mitään sisältöä ei lopullisesti tuhota.
2. Kartoita kriittisten, korkean ja normaalin prioriteetin tehtävien lähtötilanne
Saadaksesi kuvan digiturvan nykytilasta, kannattaa toimia seuraavalla tavalla:
- Kutsu Digiturvamalliin käyttäjiksi oma tietoturvan ydintiimi
- Nimitä sopivat teemojen (esim. tekninen tietoturva, tietosuoja, riskienhallinta ja johtaminen) omistajat
- Jokainen teeman omistaja käy läpi odottavat tehtävät, aktivoi ne, jotka olette toteuttaneet (vähintään osittain) ja asettaa ne oikeaan tilaan toteutuksen vaiheen mukaan (Ei tehty, Osittain tehty, Pääosin tehty, Täysin tehty).
Vinkki: Tämän jälkeen ymmärrätte oman lähtötason ISO 27001 -vaatimustenmukaisuuden raportin (SoA, soveltuvuuslausunto) avulla.
3. Luo suojattavan omaisuuden luettelot ja määritä omistajat
Tärkeimmät tieto-omaisuuden tyypit Digiturvamallissa:
- Tietojärjestelmät - ohjelmistot, joita käytetään tietojen käsittelyyn ja tallentamiseen.
- Tietovarannot - erilaiset suuret tietokokonaisuudet (esimerkiksi asiakastiedot tai henkilöstötiedot), joissa tietoa voidaan tallentaa useissa eri muodoissa ja paikoissa.
- Tietoaineistot - tiedot joko tietojärjestelmissä tai muissa sähköisissä/fyysisissä muodoissa, joita tarvitaan tietyn tehtävien suorittamiseen (esimerkiksi laskutus, tunnistautuminen).
- Muu suojattava omaisuus- esimerkiksi muut kriittiset laitteistot, ohjelmistokoodi tai muu tärkeä omaisuus
- Toimipisteet - fyysiset tilat, joissa toiminta tapahtuu.
Tässä vaiheessa kannattaa kutsua käyttäjät, jotka toimivat "Avustajina", eli voivat käyttää Tehtäväkirjaa ja Ohjekirjaa.
4. Luo ohjeistukset henkilöstölle
Henkilöstön tietoisuus ja toimiva ohjaaminen ovat isoja osia organisaation tietoturvassa.
Voitte joko pilkkoa omat olemassaolevat tietoturva- ja tietosuojaohjeenne suoraan Digiturvamalliin tai henkilöstön ohjeistukset helposti eri teemoille (esimerkiksi mobiililaitteet, etätyö, salasanojen hallinta) Digiturvamallin esimerkkiohjeiden avulla. Sen jälkeen kun olet aktivoinut pääkäyttäjäpuolella ohjeita henkilöstölle, voit aina nähdä ohjeistuksen työntekijän näkökulmasta Ohjekirja-välilehdeltä.
Voit myös halutessasi ottaa käyttöön ohjeistukseen liittyviä koulutusmateriaaleja yhdellä klikkauksella kohdasta Organisaation työpöytä -> Asetukset -> Ohjekirjan asetukset. Ohjeisiin liittyvät case-esimerkit antavat tosielämän varoittavia esimerkkejä ongelmista, joita tämän ohjeen laiminlyönnistä voi seurata. Taitotestit puolestaan testaavat lyhyesti työntekijän tietämystä teemasta sen jälkeen, kun hän on teeman ohjeet lukenut.
Ohjekirja otetaan käyttöön koko henkilöstölle myöhemmin, mutta nyt voit kokeilla Ohjekirjan käyttöä ydin tiimisi kanssa nähdäksesi, kuinka henkilöstö hyödyntäisi Digiturvamallia.
5. Luo ja tarkasta tarvittavat politiikat / toimintaperiaatteet / muut raportit
Voit luoda kaikki tarvittavat dokumentit, esimerkiksi ISO 27001- soveltuvuuslausunnon ja tietoturvapolitiikan, Digiturvamallin Raportointi- välilehdellä.
Tärkeimmät dokumentit ISO 27001 -auditoinnissa ovat:
- Hallintajärjestelmän kuvaus ja soveltamisala
- Tietoturvapolitiikka ja -tavoitteet
- Riskienhallinnan menettelykuvaus ja tulokset
- Soveltuvuuslausunto (SoA)
- Henkilöstön ohjeistukset ja koulutusmenettely
- Sisäisen auditoinnin menettelykuvaus ja tulokset
- Johdon katselmusten menettelykuvaus ja tulokset
Tässä vaiheessa tärkeintä on luoda kyseiset raportit, omaksua niiden sisältö läpi sekä täyttää itse osat, joissa näette "Tämä kappale odottaa lisäyksiäsi" -varoituksen. Digiturvamalli pyrkii ohjaamaan toimintanne näiden kuvausten mukaiseksi, mutta etenkin kunkin teeman avainhenkilön on tärkeää tietää, mitä kyseisessä dokumentissa sanotaan - tarkasti.
Alla olevassa kuvassa on esimerkki Digiturvamallista julkaistusta soveltuvuuslausunnnosta (Statement of Applicability), kun se alkaa olla valmis auditointia varten. Tarkat statukset eri vaatimuksille / hallintakeinoille vaihtelevat organisaatiokohtaisesti, mutta pääosin lausunnon tulisi näyttää vihreälle, jotta auditoinnissa ei törmätä vakaviin puutteisiin.
6. Kerää tehtäviin tarkentavat toteutustiedot
Tässä vaiheessa kannattaa:
- Varmistaa, että tehtäviin liitetyt toteutustiedot vastaavat todellisuudessa organisaation toimintatapoja
- Toteuttaa tärkeät tehtävät, jotka ovat vielä aktivoimatta
Tämä voi viedä aikaa, joten kannattaa ottaa huomioon tehtävien suositeltu prioriteetti sekä oma riskiarviointi - mitkä asiat itse näette kaikkein tärkeimpinä.
Tässä vaiheessa kannattaa myös kutsua mukaan Digiturvamalli-tilille lisää "Avustajia" huomatessanne, että johonkin tehtävään liittyvää toteutustietoa ei löydykään ydintiimistä.
7. Aloita työskentely riskienhallinnan parissa
Kun edelliset vaiheet on toteutettu, olet luonut erinomaisen pohjan tehokkaalle ja toimivalle riskienhallinnalle.
Riskienhallinta löytyy Digiturvamallista "Organisaation työpöytä" -välilehdeltä teemasta "Riskien hallinta ja johtaminen".
Tämän jälkeen:
- käy läpi Tietoturvariskit-listaa ja säädä riskeille täydennettyjä arvioita tarvittaessa
- liitä riskeihin nykyisiä lisää nykyisiä tehtäviä, jotka hallitsevat tätä riskiä, mutta joita ei ole vielä riskiin liitetty
- luo käsittelysuunnitelmia suurimmille riskeille
8. Varmista, että olet toteuttanut ISO 27001:n erityispiirteet
Puutteet tehtävissä, jotka liittyvät pakollisiin vaatimuksiin ISO 27001:ssä (eivätkä ISO 27002:n hallintakeinoihin), voivat johtaa merkittäviin poikkeamiin sertifiointiauditoinnissa.
Tällaisia esimerkkejä aiheista ovat esimerkiksi sisäiset auditoinnit ja johdon katselmukset. Molemmista on tärkeää olla dokumentoituna sekä yhdet tulokset että omat menettelykuvaus, jotka selkeästi kertoo toimintamallinne auditointien / katselmusten järjestämiseen.
Muita esimerkkejä yleisistä poikkeamista ISO 27001 -sertifiointiauditoinnissa ovat:
- Riittämätön riskien käsittely – esim. yhteys riskien arvioinnin ja käsittelyn väliltä puuttuu (6.1)
- Puuttuva tietoturvavaatimusten luettelo – esimerkiksi asiakasvaatimukset, muut kansalliset lainsäädännöt sekä muut ISO 27001:n lisäksi noudatetut standardit (A.18.1.1)
- Käyttäjien pääsyoikeuksia ei ole tarkistettu (A.9.2.5)
- Omaisuutta ei ole luetteloitu kunnolla (A.8.1.1)
9. Jalkauta Digiturvamalli henkilöstön käyttöön
Jotta henkilöstön tietoisuutta tietoturvasta saadaan parannettua, tietoturvan ohjeistukset ja niiden lukemisen valvonta on jalkautettava koko henkilöstölle.
Tämä tapahtuu helposti Teamsin tai Slackin avulla. Lisää tietoa saat esimerkiksi artikkelista: Kuinka hallinnoin Teams- sovelluksia pääkäyttäjänä?
10. Viimeistele valmistautuminen ISO 27001 -auditointiin
Kun aloitat työskentelyn auditoijan kanssa, voit kutsua heidät tarkastelemaan organisaation Digiturvamalli-tiliä.
Suosittelemme kutsumaan auditoijan tilille ulkoisena käyttäjänä "Avustaja"-statuksella.
Tämä mahdollistaa tarvittavien raporttien jakamisen auditoijalle ja ohjaa heidät suoraan tarvitsemaansa sisältöön. Voit myös antaa auditoijalle laajemmat käyttöoikeudet (esim. Ydintiimi), mutta yleensä se ei ole tarpeellista eikä hyödyllistä, koska tietoa on näkyvillä liikaa. Tämä voi hidastaa auditointiprosessia.
Lisätietoa raporttien jakamisesta Teamsissa.
Kysy meiltä tarvittaessa lisäohjeita!
Tämän artikkelin tarkoituksena on antaa yleistä tietoa ISO 27001-auditointiin valmistautumisen vaiheista Digiturvamallia hyödyntäen.
Jos tarvitset aiheesta tarkempaa tietoa, ole meihin yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi.