Skip to main content

Voiko riittää, että on ISO/IEC 27001 -sertifioitu?

15.12.2017
Marko Hakkarainen

Sertifiointien avulla vastataan asiakkaiden tarpeisiin ja vaatimuksiin, sekä todennetaan oman toiminnan tasoa. Näin myös tietoturvapuolella, jossa yleisin hankittu sertifikaatti on ISO/IEC 27001. Suoritusorientoitunut yhteiskuntamme tykkää tutkinnoista, todistuksista ja virallisista papereista, mutta mahtaako sertifikaatti riittää?

Mistä sertifikaatti on tae?

ISO/IEC 27001 -standardi asettaa viitekehyksen, jonka oikeaoppisesta noudattamisesta on todisteena sertifikaatti. Viitekehys selkeyttää tietoturvatekemistä ja opettaa hallitsemaan riskejä. Se ohjaa yrityksen toimintaa kohti hyväksi havaittuja ja toimivia prosesseja. Sertifikaatin avulla näytetään muillekin, että yrityksen auditoiduissa osissa on käytössä standardin mukainen tietoturvan hallintajärjestelmä.

Mikäli ISO/IEC 27001 on implementoitu yritykseen halutulla laajuudella ja oikein, yrityksen toiminnasta alkaa kertyä lokitietoa. Sertifikaatin myötä toteutetaan auditointeja, sisäisiä tarkastuksia ja katselmointeja, sekä kirjataan poikkeamia. Tiedot esimerkiksi turvallisuuspoikkeamista ja itse hallinnollisesta työstä riskien parissa kertyvät talteen ja toimintaa on siten helppo tarkastaa myöhemmin.

Sertifikaatti ei ole tae turvallisesta toiminnasta

Sertifikaatti itsessään ei kuitenkaan kerro mitään yrityksen tai organisaation arkipäiväisestä toiminnasta. On kuultu urbaaneja legendoja, että esimerkiksi nimettynä tietoturvapäällikkönä on saattanut olla monenlaisia tyyppejä melkein toimitusjohtajan kissaan asti. Vaikka paperilla asiat saattavat olla hyvinkin kunnossa, pelkän sertifikaatin nähtyään ei vielä voi huokaista helpotuksesta.

Ensinnäkin kannattaa pyytää nähtäväksi sertifikaatti, josta näkee sertifioinnin scopen eli laajuuden. Yrityksellä voi olla sertifikaatti hankittuna vain rajattuun osaan liiketoimintaa. Tämän lisäksi on hyvä katsoa myös yrityksen soveltuvuuslausunto eli Statement of Applicability (SoA). Se taas kertoo, mitä tietoturvan hallintakeinoja yrityksessä käytetään tunnistettujen riskien pienentämiseksi hyväksyttävälle tasolle. Näiden avulla on helpompi arvioida, onko yrityksessä käytetty tietoturvan hallintajärjestelmä omasta mielestä riittävän kattava.

Lisäksi kannattaa muistaa, että usein IT-kilpailutuksissa asetetaan myös tuotteelle tai palvelulle tietoturvavaatimuksia. 27001 on kuitenkin hallintajärjestelmää koskeva standardi, eivätkä sen vaatimukset ulotu yksittäisiin tuotteisiin tai palveluihin. Eli 27001-sertifikaattia ei vielä voi pitää tuotteen tai palvelun tietoturvan takeena.

Tarvitseeko yritykseni sertifikaatin?

ISO/IEC 27001 standardia voi noudattaa ilman sertifiointiakin ja itse standardinmukaisuus on sertifikaattia tärkeämpää. Sertifikaatti on vain, huomattavan kallis, tapa kommunikoida omasta toiminnan tasosta sidosryhmille. Jos yhteistyökumppaneilta tai asiakkailta ei vaatimusta sertifikaatista tule, ei sen hankkimiseen ole välttämättä tarvetta.

Sen sijaan ISO/IEC 27001 -standardi on erinomainen lähtökohta etenkin silloin, jos yrityksellä ei ole aiempaa johdonmukaista, tavoitteellista ja rutiininomaista prosessia tietoturvan kehittämiseen ja hallitsemiseen. Standardi lisää ymmärrystä omasta toiminnasta ja määrittää hyviä johtamiskäytäntöjä, joiden avulla tietoturvatoiminnasta tulee luonteva osa yrityksen toimintaa.

ISO/IEC 27001 -sertifiointi ei siis itsessään tee autuaaksi, mutta standardinmukainen hallintamalli auttaa päivittäistä toimintaa, kun sitä noudatetaan oikein. Siksi tärkeintä on, että teoriat viedään käytäntöön asti ja toimintaa tarkastellaan säännöllisesti myös pintaa syvemmältä.

Jaa Twitterissä


Jaa Facebookissa

silverskin logo