Akatemian etusivu
Ohjeet
Sisäinen auditointi Digiturvamallissa

Auditoinnilla varmistetaan, että organisaation tietoturvan hallintajärjestelmä täyttää halutun kehyksen vaatimukset (esim. ISO27001) ja hallintajärjestelmän mukainen toiminta voidaan todistaa.

Ennen kuin organisaatio etenee ulkoiseen sertifiointiauditointiin suoritetaan yleensä sisäinen auditointi. Sisäinen auditointi auttaa organisaatiota valvomaan missä vaiheessa tietyn kehyksen valvontatoimien toteuttaminen on ja löytämään mahdollisia poikkeamia, jotka olisi korjattava ennen sertifiointiauditointia. Auditoinneissa havaitut mahdolliset parannukset auttavat organisaatiota parantamaan omaa ISMS-järjestelmäänsä.

Milloin tehdä audiointi Digiturvamallissa?

(Sisäinen) auditointi on tehokas väline organisaation nykyisen vaatimustenmukaisuustason tarkistamiseen. Sisäistä auditointia ei kannata käyttää työn alkumetreillä, vaan kun jonkin vaatimuskehikon parissa on saavutettu merkittävästi edistystä. Tulokset dokumentoidaan suoraan Digiturvamallissa, ja niitä voidaan käyttää pohjana parannuksille.

Uuden auditoinnin luominen

Organisaation työpöytä-> Riskienhallinta ja johtaminen -> Dokumentaatio -> Auditoinnit

  1. Siirry Organisaation työpöydältä kohtaan "Riskienhallinta ja johtaminen"
  2. Valitse kohta "Dokumentaatio" ja sen jälkeen "Auditoinnit"
  3. Klikkaa kohdasta "Lisää auditointi"
  4. Valitse auditoinnin tyyppi
  5. Avaa uusi auditointi ja määritä omistaja sekä tila
Auditoinnit-sivulla näkyy auditointilista. Lista sisältää kaikki tehdyt ja suunnitellut auditoinnit.
Valitse uuden auditoinnin tyyppi
Auditoinnin voi myös aikatauluttaa. Valitse päivämäärä ja kellonaika, jolloin auditointi on tarkoitus tehdä

Auditoinnin laajuuden määrittäminen

Avattuasi auditoinnin auditointilistasta voit määritellä laajuuden vastaamalla ensimmäiseen kysymykseen. Ensimmäisen kysymyksen valinnat ovat tarpeen auditoinnin toteutuksen raportin luomiseksi, joka on kortin kolmas kysymys. Voit tarkastella oman ISMS:n sisältöä tietyn kehyksen näkökulmasta tai siihen liittyvän hallintajärjestelmän osion mukaan, esimerkiksi ”tekninen tietoturva” tai ”henkilöstöturvallisuus”. Valitusta vaatimuskehikosta voi myös valita tiettyjä osioita. Koko vaatimuskehikkoa ei tarvitse tarkastella kerralla, vaan se voidaan jakaa pienempiin osioihin. Monissa vaatimuskehikoissa edellytetään että koko vaatimuskehikko on tarkastettava sisäisesti esimerkiksi kolmen vuoden välein.

Sisäisen auditoinnin toteuttaminen

Suorittaaksesi auditoinnin avaa auditointi ja valitse ”Luo tarkastuksen edistymisraportti” kysymyksen kolme alta. Huomioi, että aikaisemmat kysymykset on täytettävä ennen kuin voit siirtyä tähän vaiheeseen.

Auditoinnin toteutuksen raportti avautuu, ja voit tehdä seuraavat vaiheet:

  • Tarkistaa auditoinnin toteutuksen raportissa luetellut tehtävät.
  • Dokumentoida kaikki havaitut poikkeamat ja havainnot kunkin vaatimuksen osalta ja merkitä tarkistetuiksi.
Kolmannesta kohdasta pääsee luomaan auditoinnin toteutuksen raportin. Täydennäthän aikaisemmat kohdat ennen raportin luomista
Auditoinnin toteutuksen raportille on kirjattuna parannuksiin liittyvät tehtävät


Auditoija voi tarkistaa raportilta ovatko kaikki tiedot edelleen ajan tasalla (esim. vastuuhenkilöt, onko kaikki toimet todella tehty, onko tehtävät tarkistettu, ovatko kuvaukset ajan tasalla ja niin edelleen). Kirjoita ylös auditoinnin aikana kaikki se, mikä ei vastaa vaatimuksia tai ei pidä paikkaansa, jotta niitä voidaan käydä läpi ja parantaa auditoinnin jälkeen.

Kirjoita kaikki tarvittavat tiedot poikkeamista ja mahdolliset parannusehdotukset uudelle avautuvalle välilehdelle. Välilehti avautuu kun klikkaat ”Lisää uusi poikkeama”. Poikkeamat on korjattava, jotta auditointi voidaan päättää.

Lisää uusi poikkeama ehdotuksista tai nimeä uusi
Kirjoita kaikki lisätiedot poikkeamista avautuvalle ikkunalle

Auditointikortista löydät yleiskatsauksen kaikista löydetyistä poikkeamista. Voit myös lisätä uusia poikkeamia tai lisätä positiivisia auditointihavaintoja. Myöhemmin parannukset tulee käsitellä, jotta voit saattaa auditoinnin päätökseen. Voit päättää auditoinnin, kun kaikki parannukset käsitelty ja auditoinnin kaikki kohdat on merkitty valmiiksi.

Tunnistetut poikkeamat ja muut havainnot löytyvät kohdasta kolme. Positiivisia löydöksiä ja muita havaintoja pystyy myös täydentämään

Lopullinen auditointiraportti

Kun olet suorittanut kaikki vaiheet ja merkinnyt auditointikortin kohdat valmiiksi, voit saattaa tarkastuksen päätökseen ja luoda auditoinnista raportin. Avaa auditointi auditointilistalta ja valitse ”Näytä raportti”.

Auditoinnin raportin saa auki kohdasta "Näytä raportti"

Sisäisen auditoinnin raportti voi näyttää seuraavalta:

Sisäisen auditoinnin raportilla näkyy mm. tunnistetut poikkeamat

Auditoinnin toteutuksen raportti löytyy myöhemmin myös Digiturvamallin raportointiosiosta. Se on hyödyllinen edistymisen osoittamiseksi, mutta pikemminkin tarkastajille kuin tarkastettaville.

Kysymyksiä ja palautetta

Onko sinulla lisäkysymyksiä, tarvitsetko lisää apua tai haluatko antaa palautetta? Ota yhteyttä tiimiimme osoitteessa tiimi@digiturvamalli.fi tai oikeassa alakulmassa olevan chat-laatikon kautta.

Sisältö

Jaa artikkeli