ISO27001 -sertifointiprojektin aloittaminen on haastavaa. On templateja, on ajatuksia, on olemassa olevaa dokumentaatiota – ja päällimmäisenä paljon kysymyksiä. Mistä tahansa asiaa katsookin, tuntuu että jostain toisesta paikasta olisi sittenkin parempi aloittaa. Ja tuleva tuntematon, eli auditointi pelottaa.
Tämä ei ole tavatonta. Mitkään valmispohjat, täyttöohjeet ja onlinetyökalut ei tätä asiaa ratkaise.
ISO27001 -toteutusprojekti Mint-tyyliin
Joulupuun rungosta aloitetaan
Joulupuu koristellaan
Kiipeämme kontekstipyramidia ylös ja alas
Seuraavaksi tartummekin toiseen visuaaliseen työkaluumme, pyramidiin. Pyramidia kuljemme ylös ja alas ja sitä kautta löydämme yksittäisen yrityksen uniikit asiat ja yrityksen oman todellisen kontekstin. Rakennamme tietoturvatavoitteet ja riskit siten, että niistä syntyy järkevä SoA (Statement of Applicability). Kuin itsestään olemme taas synnyttäneet uutta ”pakollista dokumentaatiota” – mutta luonnollisella tavalla.
Vaivatonta projektihallintaa
Osaamista siirtyy asiakkaalle
Hallitut projektiriskit aikataulu- ja resurssityökaluna
Puhuttaessa auditoijan näkökulmasta päästäänkin kolmanteen työkaluun mitä hyödynnämme. Tämä työkalu kulkee meillä nimellä ”hallittu projektiriski”. Me emme pyri täydellisyyteen vaan itse asiassa pyrimme siihen, että käytämme aikaa ja resursseja oikein ja käänteisesti vältämme käyttämästä niitä tehottomasti. Projektissa pitää pyrkiä epätäydellisyyteen, oikeissa kohdissa. Pahimmassa tapauksessa, eli projektiriskin realisoituessa, sisäisen auditoinnin tai sertifiointiauditoinnin tehdessä havaintoja ja löydöksiä, korjaamme tilanteen nopeasti ja täsmällisesti havaintojen mukaisesti. Onko tässä ristiriitaa standardin asettamaan toimintamalliin? Ei suinkaan, standardi pyrkii kannustamaan jatkuvaan parantamiseen. Projektiriskien käsittely on itse asiassa harjoittelua tähän jatkuvan parantamisen prosessiin.
Auditoija tulee joka tapauksessa tekemän löydöksiä – se on osa jatkuvan parantamisen prosessia sekin. Ja löydösten tekeminen on auditoijan työ.
Yhteenveto
Tätä se überkonsultointi sitten tarkoittaa. Yhteenvetona asia voidaan kuvata näin:
- Joulupuumalli tarjoaa hyvin matalakynnyksisen lähestymisen ISO27001 -projektin dokumentaatioon
- Kontekstipyramidi tarjoaa työkalut yrityksen oman kontekstin kuvaamiseen ja ymmärtämiseen
- Projektiriski taklaa perisuomalaisen täydellisyyteen pyrkimisen problematiikan
Meille ja asiakkaillemme tämä on überkonsultointia parhaimmillaan. Tervetuloa tekemään kanssamme parasta ISO27001 -sertifoitumisprojektianne koskaan.
ISMS projektin ensimmäiset askeleet
ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.
Riskienhallinta ja ISO27001
Onko haaveissa olla ISO27001 yhteensopiva? Thomas on kirjoittanut blogin millaisista lähtökohdista ISO27001 sertifiointiprojektiin voi lähteä. Tässä blogissa avataan riskienhallinnan merkitystä ISO27001-sertifikaattia tavoiteltaessa.
ISO 27001 – keskeiset vaatimukset
Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa.
