fbpx

Tietoturvan sertifiointi ISO 27001 -standardin mukaisesti

Muutama vuosi siinä meni pientä valmistelua tehdessä ja lopulta noin puolen vuoden tiukka loppupuristus toi sertifikaatin seinälle. Sertifikaatti on päivätty 1.4.2019, mutta aprillipilasta ei ole kuitenkaan kyse.

Tämä ei ollut todellaakaan yhden miehen show, vaan iso kiitos kuuluu koko Moment Groupin henkilöstölle sekä Inspecta/Kiwalle erittäin ammattitaitoisesta työstä ja tuesta!

Tietoturva on koko yrityksen yhteinen asia

Isoimpana nostona ja oppina pitäisin edelleen sen, kuinka tietoturva ja johtaminen linkittyvät toisiinsa ja kuinka tietoturva on koko yrityksen asia.

Esimerkkinä tietoturvatavoitteet, joiden osalta ensin pitää olla liiketoimintatavoitteet määriteltynä, joista johdetaan koko toimintajärjestelmän (ISO 9001 ja ISO 27001) tavoitteet ja sieltä sitten tietoturvatavoitteet. Aihetta sivusin myös aikaisemmassa artikkelissani, lue tästä »

Tiedon saatavuuden varmistaminen

Tämän lisäksi monen monta hieman pienempää huomiota, kuten näkökulma tiedon saatavuuteen. Aikaisemminkin oli itselle tiedossa, että ehkä ei ole järkevää laittaa joka paikkaan mahdollisimman vaikeita salasanoja tai laittaa oviin ylimääräisiä lukkoja, jollei niille ole oikeasti tarvetta. Tiedon tulee olla myös mahdollisimman helposti ja nopeasti saatavilla, se on myös oleellinen osa tietoturvaa.

Hieno oli myös huomata, että standardi ei itsessään myöskään vaadi tai pakota käyttämään turhia tai toimintaa haittaavia tietoturvakontrolleja, vaan me määrittelemme ne itse, huomioiden kuitenkin sen, että kontrollit ovat linjassa tavoitteiden ja tietoturvapolitiikan kanssa.

Kyky katsoa uusin silmin

Ehdottomasti isoin haaste löytyy myös edellisestä kappaleesta ”kontrollit ovat linjassa tavoitteiden ja tietoturvapolitiikan kanssa”. Kuinka syvälle ja pitkälle pitää prosesseja, dokumentaatioita ja määrityksiä tehdä, että ollaan riittävällä tasolla, mutta ei ammuta turhaan ylitse?

Nyrkkisääntöjä sanoisin, että kannattaa miettiä ja selvittää käytännön kannalta miten nämä määritykset ja kontrollit kyseisessä yrityksessä vaikuttavat tekemiseen, eli se pohjatyö ja alkukartoitus! Erittäin tärkeää on myös kyky muuttua ja katsoa asioita uusin silmin, koska usein tuli vastaan ajatus, että me emme tätä kyllä tarvitse tai me emme tällä määrityksellä tee mitään. Jossain kohtaa silmät ja ajatukset avautuivat ja mietti miten tätä ei aikaisemmin tullut ajatelleeksi.

Tietoturvasta hyötyvät myös asiakkaat

Meille tärkeää oli, ja on, vastata asiakkaiden tarpeisiin tietoturvan osalta sekä ehdottomasti myös se, että pystymme huolehtimaan ja varmistamaan toiminnan jatkuvuuden sekä tiedostamaan ne riskit, joille emme voi tehdä mitään tai mitkä liiketoiminnan kannalta on parempi vain hyväksyä.

Toisaalta on myös löydetty ja noussut esille riskejä, jotka olisi ilman riskien suunnittelua ehkä tuntuneet yliampuvilta – kuten vaikkapa MPLS-verkon varayhteyden automaattinen varayhteys 4G:n kautta.

Tästä se tietoturvan jatkuva kehitys sitten kunnolla alkaakin…

 

Pasi Nääppä
Chief Development Officer
Puh. 050 327 8764
pasi.naappa@momentgroup.fi

PS. jos kiinnostaa miten me Moment Groupissa tietoturvan kanssa toimimme tai olet kiinnostunut tämän standardin suorittamaan ja kaipaat vinkkejä, niin sopii olla yhteydessä.


Uunituore 27001-sertifikaatti on ihasteltavissa myös verkkosivuillamme, klikkaa tästä »

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.