Tie­to­tur­van sisäi­nen audi­tointi — osa Mei­tan tie­to­tur­van hal­lin­ta­jär­jes­tel­mää

Tässä on kuva Meitan toimiston käytävältä, jossa oven vieressä on roll up

Audi­toin­teja on monen­lai­sia

Mei­tassa teh­dään ja Mei­taan koh­dis­te­taan monia eri­lai­sia tie­to­tur­van audi­toin­teja. Han­kin­to­jen yhtey­dessä me Mei­talla esi­mer­kiksi arvioimme pal­ve­lun­toi­mit­ta­jien tie­to­tur­vaa. Vaa­dimme han­kit­ta­vilta jär­jes­tel­miltä tie­to­turva- ja tie­to­suo­jao­mi­nai­suuk­sia sekä koh­dis­tamme samalla tie­to­turva- ja tie­to­suo­ja­vaa­ti­muk­sia myös jär­jes­tel­män­toi­mit­ta­jiin. Tällä tavalla var­mis­tamme yhteis­työ­kump­pa­nei­demme tie­to­tur­van ja tie­to­suo­jan ole­van sel­lai­sella tasolla, että niin Mei­tan kuin sen asiak­kai­den tie­to­jen luot­ta­muk­sel­li­suus, eheys ja saa­ta­vuus pysy­vät hyvällä tasolla. Tämä on esi­merkki Mei­tan teke­mästä toi­seen osa­puo­leen koh­dis­tu­vasta audi­toin­nista. Vaa­ti­mus pal­ve­lun­toi­mit­ta­jiin koh­dis­tu­vista tie­to­turva- ja tie­to­suo­ja­vaa­ti­muk­sista tulee sekä tie­to­suoja-ase­tuk­sesta että ISO 27001-stan­dar­dista.

Meita on myös pal­ve­lu­toi­mit­ta­jana audi­toitu monen osa­puo­len toi­mesta. Tuore esi­merkki tästä on audi­tointi, joka koh­dis­tet­tiin Mei­taan ISO 27001-ser­ti­fioin­nin yhtey­dessä. Lisää tästä ser­ti­fioin­nista voit lukea elo­kuun 2023 blo­gi­teks­tistä Mat­kamme kohti ISO 27001-ser­ti­fioin­tia. Tässä audi­toin­nissa Mei­tasta riip­pu­ma­ton audi­toija eli kol­mas osa­puoli audi­toi Mei­tan tie­to­tur­van hal­lin­ta­jär­jes­tel­män ISO 27001-stan­dar­dia var­ten. Audi­toin­nin lop­pu­tu­lok­sena Mei­talle myön­net­tiin ISO 27001-ser­ti­fi­kaatti.

Sisäi­nen audi­toin­nin suo­rit­ta­mi­nen

Osa Mei­tan tie­to­tur­van hal­lin­ta­jär­jes­tel­mää (jota audi­toi­tiin ISO 27001-ser­ti­foin­nin yhtey­dessä) on Mei­tan sisäi­nen tie­to­tur­van audi­tointi. Sisäi­sessä audi­toin­nissa orga­ni­saa­tio audi­toi itse­ään. Me arvioimme Mei­talla omaa tie­to­tur­van hal­lin­ta­jär­jes­tel­määmme vuo­den ympäri tie­to­tur­va­pääl­li­kön joh­dolla. Mei­tan sisäi­sen tie­to­tur­van audi­toin­nin ryhmä sisäl­tää kah­dek­san hen­ki­löä, jotka ovat käy­neet läpi tie­to­tur­van sisäi­sen audi­toin­nin kou­lu­tuk­sen. Sisäi­sen tie­to­tur­van audi­toin­ti­ryh­män jäse­net käy­vät läpi koko Mei­tan toi­min­nan suun­ni­tel­man mukai­sesti. Sisäi­sen tie­to­tur­van audi­tointi kat­taa koko Mei­tan toi­min­nan ja kaikki yksi­köt. ISO 27001-stan­dar­dia vas­ten teh­dyn tie­to­tur­van sisäi­sen audi­toin­nin vah­vuus on sen kat­ta­vuus. Käymme kai­kissa sisäi­sissä audi­toin­neissa läpi moni­puo­li­sesti eri tie­to­tur­van osa-alueita sään­nön­mu­kai­sesti ja suun­ni­tel­mien mukai­sesti. Yksit­täi­siä sisäi­siä audi­toin­teja joh­taa joh­tava audi­toija, jonka roo­lissa voi toi­mia eri hen­ki­löitä. Joh­ta­van audi­toi­jan tukena on myös muita sisäi­siä audi­toi­jia.

Sisäi­nen audi­tointi tuot­taa ajan­koh­taista tie­toa

Sisäi­sen audi­toin­nin avulla saamme Mei­talla jat­ku­vasti kat­ta­vaa tie­toa siitä, miten pys­tymme paran­ta­maan tie­to­tur­vamme tasoa enti­ses­tään. Saamme tark­kaa tie­toa siitä, missä tie­to­tur­van hal­lin­ta­jär­jes­tel­män osa-alueilla me olemme hyviä ja missä mei­dän tulisi kehit­tyä. Me tie­to­tur­van sisäi­set audi­toi­jat emme löydä vain heik­kouk­sia, vaan löy­dämme myös yhtiömme ja tii­miemme vah­vuuk­sia. Myös nämä kir­ja­taan ylös sisäi­sen audi­toin­nin aikana. Kan­nus­tamme sisäi­sen audi­toin­nin aikana haas­ta­tel­ta­via hen­ki­löitä ole­maan avoi­mia vas­tauk­sis­saan ja saam­me­kin sisäi­sen audi­toin­nin aikana haas­ta­tel­ta­vilta pal­jon myös paran­nuseh­do­tuk­sia siitä, miten me pys­tymme nos­ta­maan tie­to­tur­van tasoamme. Sisäi­sen audi­toin­nin haas­tat­te­lu­jen jäl­keen käymme audi­toin­nin lop­pu­tu­lok­set läpi haas­ta­tel­ta­vien hen­ki­löi­den kanssa. Poik­kea­mien kor­jauk­selle teh­dään suun­ni­tel­mat ja kor­jauk­set aika­tau­lu­te­taan.

Joona Turu­nen
Mei­tan tie­to­suo­ja­vas­taava ja yksi Mei­tan tie­to­tur­van sisäi­sistä audi­toi­jista