Maailman johtava tietoturvastandardi ISO/IEC 27001 päivittyi syksyllä 2022 ensimmäistä kertaa 10 vuoteen. Uusi versio toi mukanaan mm. 11 täysin uutta tietoturvan hallintakeinoa, joilla pyritään tukemaan yritysten tietoturvaa muuttuneessa tietoturvaympäristössä. Reilun 100 hengen ICT-talo Elmo on ensimmäinen suomalainen organisaatio, joka on saanut päivitetyn sertifikaatin.

ISO/IEC 27001 on tietoturvan hallintajärjestelmien tunnustetuin kansainvälinen standardi. Standardi koki syksyn päivityksessä merkittäviä muutoksia: 11 uuden kohdan lisäksi 58 keinoa päivitettiin ja 24 yhdistettiin. Kiwa Inspecta auditoi Elmon tietoturvan kesäkuussa, ja uuden version mukainen sertifikaatti hyväksyttiin poikkeuksitta. Aiempi sertifikaattiversio oli Elmon hallussa jo vuodesta 2019.

“Tietoturvahallinta pilviaikakaudelle”

ISO/IEC 27001 -sertifikaatti on poikkeuksellinen Elmon kokoisilla toimijoilla. Päivitetty sertifiointi kattaa nyt kaikki Elmon tietotekniikka- ja viestintäpalvelut, niihin liittyvän liiketoiminnan, prosessit sekä toimitilat Tampereella, Helsingissä ja Vantaalla. Sertifikaattikelpoisuus auditoidaan vuosittain.  

Aaltosen mukaan sertifikaattipäivitys oli välttämätön ja tärkeä, sillä tietoturvaympäristö on muuttunut voimakkaasti. Uudessa standardissa hallintakeinot on jaoteltu entistä selkeämmin organisaation yleisiin, henkilöstöön liittyviin, fyysisiin tiloihin liittyviin sekä teknologisiin hallintakeinoihin, joissa erityisesti pilvipalveluiden tietoturvalle on uusia vaatimuksia.

Yksinkertaistaen voidaan sanoa, että 2022-standardiversio vie tietoturvanhallinnan pilviaikakaudelle, Aaltonen tiivistää.

Tietoturvasta on tullut kilpailuetu

Sen lisäksi, että tietoturvastandardia noudattamalla organisaatio varmistaa, että sillä on alan johtavien asiantuntijoiden määrittämät menetelmät hallita ja pienentää tietoturvariskejä, on tietoturvasta yleisesti tullut kilpailuetu.

Yhä useammalla toimialalla heikosti dokumentoitu ja todennettu tietoturva tarkoittaa, että yritys on ulkona kilpailutuksista. Dokumentoitu tietoturva lisää luottamusta asiakkaiden ja sidosryhmien keskuudessa, Aaltonen sanoo.

Elmo auttaa myös omia asiakkaitaan tietoturvan johtamisjärjestelmissä ISO/IEC 27001 -viitekehyksen pohjalta. Elmon tuotteistama malli on kevennetty versio täysimittaisesta sertifiointiprosessista, mutta tarvittaessa asiakasyritys voi edetä ISO-sertifikaattiin asti.  

Työ tuottaa noin 20 dokumenttia, joissa kuvataan tietoturvan hallinnan politiikat, prosessit ja toimintaohjeet, mutta omalle organisaatiolle kriittisistä kohdista voi aloittaa. Tietoturvaa ei ole pakko sertifioida, mutta kun asiat on tehty ISO-viitekehyksellä, säilyy sertifointi optiona tulevaisuudessa, Aaltonen huomauttaa. 

Jaa tämä sivu: