Blogi
Arterille on myönnetty ISO 27001 -sertifikaatti
Arterille on myönnetty 23.6.2021. ISO 27001 -sertifikaatti, joka on akkreditoidun sertifiointilaitoksen myöntämä todistus siitä, että toimintamme noudattaa hyviä tietoturvaperiaatteita ja toimimme vastuullisesti sekä järjestelmällisesti tietoturvan saralla.
Miksi lähdimme hakemaan ISO 27001 -sertifikaattia?
Tiedonhallinta on olennainen osa Arterin liiketoimintaa. Tänäpäivänä tietoturvauhat ja haavoittuvuudet muuttuvat nopeasti. Mikäli tietoturvakäytännöt eivät ole järjestelmällisiä, työssä ilmenevät puutteet voivat aiheuttaa huomattavan riskin liiketoiminnalle.
Tietoturvan kehittäminen oli Arterille luonteva kehitysaskel. Asiakkaamme asettavat vaatimuksia toiminnallemme sekä yhteistyökumppaniemme tietoturvapuitteille. Sertifiointi on selkeä ja luotettava tapa osoittaa vaatimusten täyttyminen sidosryhmillemme.
ISO 27001 -standardin mukainen toiminta tarkoittaa asiakkaillemme luottamusta vaatimusten täyttymisestä. Luottamus perustuu käytäntäntöihin kuten tietoturvallisuusprosessien kuvaukseen ja niiden mukaan toimimiseen, riskikartoituksiin, tieto-omaisuuden turvaamiseen, käyttöoikeuksien hallintaan sekä tietojen saatavuuteen, eheyteen ja hallintakeinoihin”, Arterin toimitusjohtaja Ossi Ritola luettelee.
Jatkuva ja määrätietoinen työ jatkuu tietoturvalle määriteltyjen tavoitteiden, mittareiden, auditointien ja katselmusten kautta”, Ossi jatkaa.
Miten ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä rakennettiin?
ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää lähdettiin rakentamaan Arterilla viiden hengen projektiryhmällä. Alusta alkaen oli selvää, että hallintajärjestelmä tullaan mallintamaan Arterin omia ohjelmistoja, ARCia ja IMSiä, käyttäen.
Arterin ARC-ohjelmiston valmis tietoturvallisuuden mallipohja perustuu ISO 27001 -standardiin. Valmiin mallipohjan avulla oli helppo lähteä liikkeelle hallintajärjestelmän rakentamisessa. Itse standardin opetellu vei oman aikansa, mutta tässäkin pystyttiin hyödyntämään oman organisaatiomme koulutustarjontaa sekä konsulttiemme osaamista”, Arterin tietoturvapäällikkö Aleksi Rossi kertoo.
Projekti ja matka sertifiointiin oli pitkä, mutta sen aikana saimme paljon hyödyllistä kokemusta, tietoa ja työkaluja tietoturvan hallitsemiseen Arterilla. Kokemuksia projektista on avattu Arterin Laatulöpinät podcastissa – Tietoturvallisuuden hallintajärjestelmän rakentaminen ISO 27001 Arterilla.
Tärkeää hallintajärjestelmän ja auditoinnin kannalta oli, että otimme Arterin kulttuurin mukaisesti avoimen, läpinäkyvän ja peittelemättömän lähestymistavan kokonaisuuteen. Korjattavaa oli ja kehitettävää on vielä jatkossakin, mutta läpinäkyvällä toiminnalla poikkeamat saadaan esille ja asioiden eteenpäin vieminen on helpompaa” Aleksi alleviivaa.
Työ tietoturvan parissa ei lopu sertifikaattiin. Vasta nyt pääsemme elämään kunnolla rakennetun hallintajärjestelmän mukaisesti. Politiikat, käytännöt ja menettelyt hallintaa varten ovat nyt valmiit ja arterlaiset ovat sitoutuneet niihin. Näin voimme jatkossa toimia turvallisemmin ja olla entistä luotettavampi kumppani asiakkaillemme” Aleksi lopettaa.
Näin olemme hyödyntäneet ARC- ja IMS-ohjelmistoja tietoturvallisuuden hallintajärjestelmän rakentamisessa:
- ARC – Tietoturvallisuuden hallintajärjestelmä on kuvattu ohjelmistoon, alla kuva mallista. Mallissa on myös linkityksiä IMS-ohjelmistossa olevaan dokumentaatioon ja muuhun mallin kannalta relevanttiin tietoon.
- ARCiin on kuvattuna listaus hallintamalliin vaikuttavista ulkoisista vaatimuksista eli esimerkiksi toimintaamme vaikuttavat lait sekä asetukset.
- ARCiin on tehty myös kuvaukset tietoturvallisuuden hallintakeinoista, tietoturvallisuuden vuosikello, kuvaus suojattavasta omaisuudesta sekä tavoitteet tietoturvallisuuden kehittämiseksi.
- IMS – aiheeseen liittyvä dokumentaatio ja tieto löytyvät IMS-ohjelmistosta. Tietoturvallisuuteen liittyvää tietoa on esimerkiksi tietoturvapolitiikka, tietoturvaohje, riskienhallinta, tietoturvamittarit, sisäiset ja ulkoiset auditoinnit, johdon katselmukset sekä poikkeamahavainnot.
- IMSin avulla henkilöstön tietoon saatettavaa dokumentaatiota voidaan seurata IMS-ohjelmiston lukukuittaustoiminnallisuuden avulla. Näin esimerkiksi auditoinnissa voidaan todentaa se, että henkilöstö on tutustunut organisaation tietoturvapolitiikkaan.
- IMSin raportointityökalun avulla tietoturvapoikkeamien havaitsemisesta ja raportoinnista eteenpäin on tehty mahdollisimman helppoa jokaiselle arterlaiselle. Kirjatut poikkeamat ohjautuvat automaattisesti tietoturvapäällikön tietoon, josta hän osoittaa poikkeamien korjaavat toimenpiteet oikeille henkilöille.
Yllä olevien lisäksi:
- Kehitämme jatkuvasti ISO 27001 -standardin mukaista hallintajärjestelmää PDCA-mallin eli Plan-do-check-act -mallin mukaisesti. Olemme siis määrittäneet tavat ennakoinnille, suojaamiselle, havaitsemiselle sekä toiminnalle tietoturvallisuuden ja sen hallintamallin kehittämiselle liiketoimintaympäristössämme.
- Kehitämme ARC- ja IMS-ohjelmistojemme tietoturvallisuutta jatkuvasti.
- Arterin henkilöstöä koulutetaan tietoturvahallintajärjestelmän ymmärtämisen sekä tietoturvallisten työskentelytapojen tiimoilta.
- Määrittelemme tietoturvakriteerit kumppaneillemme.
- Jaamme konkreettisia tietoturvallisuuteen liittyviä vinkkejä arterlaisille omissa sisäisissä kanavissamme.
Suosittelemme sinulle:
👉ISO 27001 oppaana kyberturvallisuusmatkalla | blogi
👉 ISO 27001 -standardin 10 keskeistä vaatimusta | blogi
👉Matka kohti ISO 27001 -sertifiointia | blogi + webinaari