Tietoturvan hallintajärjestelmä ISMS (Information Security Management System) on systemaattinen lähestymistapa hallita arkaluonteista yritystietoa niin, että ne pysyvät suojattuna. Tietoturvallisuus saavutetaan toteuttamalla soveltuva hallintakeinojen järjestelmä, joka koostuu toimintaperiaatteista, säännöistä, prosesseista, menettelyistä, organisaatiorakenteista sekä ohjelmisto– ja laitteistotoiminnoista. (ISO/IEC 27002:2022)
Granite on ISO 27001 -sertifioitu yritys vuodesta 2021. Oma tuotteemme eli Graniten työkalut ovat olleet suuressa osassa varmistamassa myös Graniten oman toiminnan vaatimustenmukaisuutta.
Kirittäjänä standardinmukaisuus
Ennen ISO 27001 -sertifiointia Granitella toteutettiin asiakaskohtaisia auditointeja tietoturvan vaatimustenmukaisuuden toteamiseksi ja ulkoisia auditointeja tekniselle tuotteelle. Graniten asiakaskunnassa on jo pitkään ollut mukana valtionhallinnon ja julkisen sektorin toimijoita, joiden palveluntoimittajina myös Graniten on täytynyt pystyä osoittamaan tietty tietoturvan taso. Asiakaskohtaisesti auditointeja toteutettiin lähinnä Katakrin kriteeristön mukaisesti, ja lopulta näiden yksittäisten auditointien kautta saatu palaute johti Granitella sisäiseen pohdintaan, pitäisikö vaatimustenmukaisuuden todentamista suoraviivaistaa – ISO 27001 -standardin vaatimuksia oltiin jo muutoinkin lähellä, ja sertifiointi toisi valmiin pohjan, jolla tietoturvan vaatimustenmukaisuus voitaisiin julkisesti todentaa luotettavasti ja yhdenmukaisesti. Myös Graniten sisäinen työ sekä asiakkaiden panos eri asiakaskohtaisten auditointien suorittamiseen vähenisi, ja niin sanotuilla pisteauditoinneilla voitaisiin kuitenkin arvioida standardin kriteeristön mahdollisesti ulkopuolelle putoavia pienempiä kokonaisuuksia.
Ensiauditointiin lähdettiin rohkeasti toteamaan mahdolliset puutteet ja kehittämiskohteet ilman suurempia ennakkomuutoksia silloiseen tietoturvan tekemiseen. Positiivisena yllätyksenä ensiauditoinnista ei kirjattu ainuttakaan major-tason poikkeamaa, kuten ei myöskään vuoden 2023 vuosiauditoinnista ainuttakaan minor-tason poikkeamaa. Tekeminen oli siis jo lähtökohtaisesti varsin hyvällä tasolla, ja ensiauditoinnissa esille nousseita kehityskohteita parannettiin suunnitelmien mukaisesti muutaman vuoden ajanjaksolla. Tämä jakso sisälsi myös itse tunnistettua kehitystyötä uuden sertifioinnin mukaisen perusylläpidon lisäksi. Viimeisin tehty auditointi, eli uusintasertifiointiauditointi, tehtiin uusitulla 2022-vuosimallin kriteeristöllä vuoden 2024 heinäkuussa.
Hyvä ISMS – Miksi sitä toteutetaan?
Granitella tietoturvallisuuden hallintajärjestelmää kirittää siis jo ISO 27001 -standardi, mutta vaikka yritys ei olisikaan ISO-sertifioitu, ei tietoturvan korkean tason toteutumisen roolia yritystoiminnan perustana voi liikaa korostaa. Erilaiset tietoturvarikkomukset, tietomurrot ja julkisuudessakin esillä viime vuosina olleet yrityksiin ja esimerkiksi kunnallisiin toimijoihin kohdistuneet tietovuodot ovat osoittaneet, että organisaation jatkuvuudelle tietoturvan käytäntöjen dokumentoiminen ja systemaattinen suorittaminen luovat vahvemman pohjan kaikkea yrityksen tietoturvaa uhkaavaa vastaan. Tietoturvan dokumenttien systemaattinen hallinta, säännölliset henkilöstön perehdytykset ja selkeät toimintaohjeet, sekä hyvät ja kattavat jatkuvuussuunnitelmat ja ennakkoon tunnistetut vaaran paikat ja niiden hallintakeinot auttavat myös mahdollisista häiriöistä toipumisessa.
Hallintajärjestelmänä Graniten työkalupakki
Esimerkiksi sisäisten tietoturvapoikkeamien ilmoittamista ja hallintaa sekä tietoturvariskien tunnistamista Granitella on tehty omilla työkaluilla jo pidempään, ja viime vuosina työkaluvalikoimamme on kasvanut useammalla vaatimustenmukaisuuden työkalulla. Nyt käytössä onkin sisäisesti työkalu mm. auditointien, jatkuvuuden ja haavoittuvuuksien hallintaan, sekä omat työkalunsa ISO 27001 -vaatimuksille ja hallintakeinoille, sekä NIS2-direktiivin vaatimuksille. Yhtenä tärkeänä työkaluna on noussut esiin myös dokumentaationhallinnan työkalu, jonka avulla saa keskitetysti talteen erilaiset ISMS-kokonaisuuteen liittyvät dokumentit, hyväksymiset ja päivitykset. Ainoastaan teknistä tuotteeseen tai tekniseen infrastruktuuriin liittyvää dokumentaatiota, joka ei ole suoraan kytköksissä tietoturvallisuuteen, tehdään Graniten työkalujen ulkopuolella.
Granitella ollaan erityisesti sertifioinnin jälkeen havaittu, että laajaa ISMS -kokonaisuutta olisi lähes mahdotonta ylläpitää esimerkiksi pelkästään excel-tiedostojen avulla. Sertifioinnin yhtenä suurena hyötynä onkin jo pelkästään näkemys standardin mukaisen kattavan tietoturvan hallintajärjestelmän ylläpidon vaatimuksista, eli omakohtainen kokemus auttaa huomioimaan erilaiset vaatimuksenmukaisuuteen liittyvät yksityiskohdat entistä paremmin myös tuotekehityksessä.
Mistä työkaluista organisaationne tietoturvan hallintajärjestelmä hyötyisi? Tutustu Graniten tietoturvan työkaluvalikoimaan täältä!
Julkaistu 30.8.2024