Auditoinnilla varmistetaan, että organisaation tietoturvan hallintajärjestelmä täyttää halutun kehyksen vaatimukset (esim. ISO27001) ja hallintajärjestelmän mukainen toiminta voidaan todistaa.
Ennen kuin organisaatio etenee ulkoiseen sertifiointiauditointiin suoritetaan yleensä sisäinen auditointi. Sisäinen auditointi auttaa organisaatiota valvomaan missä vaiheessa tietyn kehyksen valvontatoimien toteuttaminen on ja löytämään mahdollisia poikkeamia, jotka olisi korjattava ennen sertifiointiauditointia. Auditoinneissa havaitut mahdolliset parannukset auttavat organisaatiota parantamaan omaa ISMS-järjestelmäänsä.
Milloin tehdä audiointi Digiturvamallissa?
(Sisäinen) auditointi on tehokas väline organisaation nykyisen vaatimustenmukaisuustason tarkistamiseen. Sisäistä auditointia ei kannata käyttää työn alkumetreillä, vaan kun jonkin vaatimuskehikon parissa on saavutettu merkittävästi edistystä. Tulokset dokumentoidaan suoraan Digiturvamallissa, ja niitä voidaan käyttää pohjana parannuksille.
Uuden auditoinnin luominen
Organisaation työpöytä-> Riskienhallinta ja johtaminen -> Dokumentaatio -> Auditoinnit
- Siirry Organisaation työpöydältä kohtaan "Riskienhallinta ja johtaminen"
- Valitse kohta "Dokumentaatio" ja sen jälkeen "Auditoinnit"
- Klikkaa kohdasta "Lisää auditointi"
- Valitse auditoinnin tyyppi
- Avaa uusi auditointi ja määritä omistaja sekä tila



Auditoinnin laajuuden määrittäminen
Avattuasi auditoinnin auditointilistasta voit määritellä laajuuden vastaamalla ensimmäiseen kysymykseen. Ensimmäisen kysymyksen valinnat ovat tarpeen auditoinnin toteutuksen raportin luomiseksi, joka on kortin kolmas kysymys. Voit tarkastella oman ISMS:n sisältöä tietyn kehyksen näkökulmasta tai siihen liittyvän hallintajärjestelmän osion mukaan, esimerkiksi ”tekninen tietoturva” tai ”henkilöstöturvallisuus”. Valitusta vaatimuskehikosta voi myös valita tiettyjä osioita. Koko vaatimuskehikkoa ei tarvitse tarkastella kerralla, vaan se voidaan jakaa pienempiin osioihin. Monissa vaatimuskehikoissa edellytetään että koko vaatimuskehikko on tarkastettava sisäisesti esimerkiksi kolmen vuoden välein.
Sisäisen auditoinnin toteuttaminen
Suorittaaksesi auditoinnin avaa auditointi ja valitse ”Luo tarkastuksen edistymisraportti” kysymyksen kolme alta. Huomioi, että aikaisemmat kysymykset on täytettävä ennen kuin voit siirtyä tähän vaiheeseen.
Auditoinnin toteutuksen raportti avautuu, ja voit tehdä seuraavat vaiheet:
- Tarkistaa auditoinnin toteutuksen raportissa luetellut tehtävät.
- Dokumentoida kaikki havaitut poikkeamat ja havainnot kunkin vaatimuksen osalta ja merkitä tarkistetuiksi.


Auditoija voi tarkistaa raportilta ovatko kaikki tiedot edelleen ajan tasalla (esim. vastuuhenkilöt, onko kaikki toimet todella tehty, onko tehtävät tarkistettu, ovatko kuvaukset ajan tasalla ja niin edelleen). Kirjoita ylös auditoinnin aikana kaikki se, mikä ei vastaa vaatimuksia tai ei pidä paikkaansa, jotta niitä voidaan käydä läpi ja parantaa auditoinnin jälkeen.
Kirjoita kaikki tarvittavat tiedot poikkeamista ja mahdolliset parannusehdotukset uudelle avautuvalle välilehdelle. Välilehti avautuu kun klikkaat ”Lisää uusi poikkeama”. Poikkeamat on korjattava, jotta auditointi voidaan päättää.


Auditointikortista löydät yleiskatsauksen kaikista löydetyistä poikkeamista. Voit myös lisätä uusia poikkeamia tai lisätä positiivisia auditointihavaintoja. Myöhemmin parannukset tulee käsitellä, jotta voit saattaa auditoinnin päätökseen. Voit päättää auditoinnin, kun kaikki parannukset käsitelty ja auditoinnin kaikki kohdat on merkitty valmiiksi.

Lopullinen auditointiraportti
Kun olet suorittanut kaikki vaiheet ja merkinnyt auditointikortin kohdat valmiiksi, voit saattaa tarkastuksen päätökseen ja luoda auditoinnista raportin. Avaa auditointi auditointilistalta ja valitse ”Näytä raportti”.

Sisäisen auditoinnin raportti voi näyttää seuraavalta:

Auditoinnin toteutuksen raportti löytyy myöhemmin myös Digiturvamallin raportointiosiosta. Se on hyödyllinen edistymisen osoittamiseksi, mutta pikemminkin tarkastajille kuin tarkastettaville.
Kysymyksiä ja palautetta
Onko sinulla lisäkysymyksiä, tarvitsetko lisää apua tai haluatko antaa palautetta? Ota yhteyttä tiimiimme osoitteessa tiimi@digiturvamalli.fi tai oikeassa alakulmassa olevan chat-laatikon kautta.