Mat­kamme kohti ISO 27001-ser­ti­fioin­tia

Tässä kuvassa neljä meitalaista istuu palaveripöydän ääressä yhdessä juttelemassa toimistolla

Tie­to­tur­van ja tie­to­suo­jan mer­ki­tys

Tie­to­turva ja tie­to­suoja ovat nous­seet viime vuo­sina yhä ete­ne­vässä mää­rin kes­ki­öön. Hyök­kää­jät ovat muut­tu­neet van­hem­piensa talosta toi­mi­vista teini-ikäi­sistä nuo­rista val­tiol­li­siksi toi­mi­joiksi ja ammat­ti­ri­kol­li­siksi. Tilan­teen muu­tos vaa­tii yhä ete­ne­vässä mää­rin osaa­mista ja hal­lit­tua teke­mistä orga­ni­saa­tioilta, jotta orga­ni­saa­tiot ovat val­miita jat­ku­vasti muut­ta­vaan toi­min­taym­pä­ris­töön. Tie­to­turva ja tie­to­suoja eivät voi olla enää jotain yli­mää­räistä teke­mistä, jota teh­dään vain, jos resurs­sit sii­hen riit­tä­vät Tie­to­tur­van ja tie­to­suo­jan pitää olla mukana kai­kissa toi­min­nassa ja kai­kissa pro­ses­seissa ole­tusar­voi­sesti.

Meita on teh­nyt koko his­to­riansa ajan suun­ni­tel­mal­li­sesti ja aktii­vi­sesti työtä paran­taak­semme yri­tyk­semme tie­to­tur­vaa ja tie­to­suo­jaa enti­ses­tään. Meillä on ollut useita eri­lai­sia kehi­tys­pro­jek­teja, Meita on audi­toitu ja olemme jal­kaut­ta­neet ja kehit­tä­neet jat­ku­vaan paran­ta­mi­seen täh­tää­viä toi­min­ta­ta­poja. Saa­vu­timme tie­to­tur­vassa ja tie­to­suo­jassa tilan, josta olimme aika ylpeitä, vaikka paran­net­ta­vaa oli­kin. Halusimme ver­tailla itseämme vas­ten tie­to­tur­vas­tan­dar­dia, jotta pys­tyi­simme näke­mään sel­keäm­min, että missä olemme hyviä ja missä meillä on paran­net­ta­vaa. Stan­dar­diksi vali­koi­tui ISO 27001.

Mei­tan matka ISO 27001-ser­ti­fioin­tiin

Mikä tämä ISO 27001 ‑stan­dardi sit­ten on? ISO 27001 kes­kit­tyy tie­to­tur­van hal­lin­ta­jär­jes­tel­mään. ISO 27001 mukai­sessa tie­to­tur­van hal­lin­ta­jär­jes­tel­mässä tie­dot pide­tään luot­ta­muk­sel­li­sena, eheinä ja saa­ta­villa. ISO 27001 vaa­tii orga­ni­saa­tion osoit­ta­van, että orga­ni­saa­tio pyr­kii jat­ku­vasti paran­ta­maan ja kehit­tä­mään tie­to­tur­vaa tavalla, joka on sys­te­maat­tista ja joh­don tuke­maa.

Olimme pääl­lys­tä­neet tie­tämme kohti ISO 27001-stan­dar­dia usei­den vuo­sien sys­te­maat­ti­sella tie­to­turva- ja tie­to­suo­ja­työllä. Var­si­nai­nen pro­jek­timme ISO 27001-stan­dar­din saa­mi­nen alkoi vuo­den 2022 keväällä ISO 27001-pro­jek­tin alkaessa. Alusta läh­tien oli sel­vää, että emme läh­te­neet hake­maan ISO 27001-stan­dar­dia saa­dak­semme hie­non ser­ti­fi­kaa­tin sei­näl­lämme, vaan halusimme kehit­tää tie­to­tur­vaamme ja osal­lis­taa Mei­tan osaa­vaa ja sitou­tu­nutta hen­ki­lö­kun­taa tie­to­tur­van kehit­tä­mi­seen entistä enem­män.

ISO 27001-ser­ti­fioin­nin aikana ser­ti­fioija audi­toi Mei­tan toi­mi­pis­teitä ja haas­tat­teli kym­me­niä eri asian­tun­ti­joita. Mei­tan tie­to­tur­vaan sitou­tu­neet eri alo­jen asian­tun­ti­jat osoit­tau­tu­vat­kin suu­reksi voi­ma­va­raksi ISO 27001-ser­ti­fioin­nin aikana. Mei­tassa tie­to­turva- ja tie­to­suoja-asian­tun­ti­juus ei elä vain var­si­nai­sissa tie­to­turva- ja tie­to­suoja-asian­tun­ti­joissa, vaan jokai­sessa mei­ta­lai­sessa. Mei­tan johto osoitti myös ser­ti­fioin­nin aikana sitou­tu­mi­sensa tie­to­tur­van ja tie­to­suo­jan kehit­tä­mi­seen.

Matka ei ole ohi

Mei­talle myön­net­tiin ISO 27001-ser­ti­fi­kaatti kesällä 2023. ISO 27001-ser­ti­fi­kaat­timme kat­taa sisäis­ten ja ulkois­ten ICT‑, talous- ja hen­ki­lös­tö­pal­ve­lui­den kehi­tyk­sen, tuo­tan­non, logis­tii­kan, pro­jek­toin­nin, käyt­töö­no­tot, han­kin­nat, tuen, val­von­nan ja yllä­pi­don Meita Oy:lle, sen omis­taja-asiak­kaille sekä nii­den omis­ta­mille yhtiöille. Tuo­tamme näitä Meita Oy:n toi­mi­pis­teissä, asiak­kaan tiloissa annet­taessa lähi­tu­ki­pal­ve­lua, yhtiön kone­sa­leissa, tie­to­lii­ken­teessä ja pil­vi­pal­ve­luissa. Ser­ti­fiointi kat­taa näin Mei­tan toi­min­nan ja toi­mi­pis­teet koko­nai­suu­des­saan.

Mat­kamme ISO 27001:n parissa ei kui­ten­kaan pääty ser­ti­fi­kaa­tin saa­mi­seen, vaan mat­kamme on vasta alussa. Pyrimme aktii­vi­sesti ja jat­ku­vasti löy­tä­mään toi­min­nas­tamme paran­nus­mah­dol­li­suuk­sia, kehit­täen näin omaa toi­min­taamme enti­ses­tään. Näin pys­tymme tar­joa­maan asiak­kail­lemme entistä tie­to­tur­val­li­sem­pia pal­ve­luita, pys­tyen vas­taa­maan jat­ku­vasti muut­tu­van maa­il­man tie­to­turva- ja tie­to­suo­ja­haas­tei­siin.

Haluan tämän blo­gi­kir­joi­tuk­sen lopussa vielä ker­ran kiit­tää kaik­kia mei­ta­lai­sia siitä työstä, jonka olette teh­neet tie­to­tur­van ja tie­to­suo­jan eteen. Eri­tyi­sesti haluan kiit­tää Mei­tan osaa­vaa pro­jek­ti­pääl­lik­köä, ISO 27001-ser­ti­fioin­nin aikana haas­ta­tel­tuja Mei­tan asian­tun­ti­joita sekä Mei­tan tie­to­tur­va­työ­ryh­mää ja tts-ohjaus­ryh­mää. Haluan myös kiit­tää Mei­tan erin­omai­sia asiak­kaita siitä, miten te spar­raatte Mei­taa kehit­tä­mään ja paran­ta­maan Mei­tan tuot­ta­mia pal­ve­luita enti­ses­tään.  Mei­tassa on mei­nin­kiä!

Joona Turu­nen
Mei­tan tie­to­suo­ja­vas­taava ja Mei­tan ISO 27001-ydin­työ­ryh­män jäsen