Primellä panostamme tietoturvaan. Tämä näkyy myös kaksi kertaa vuodessa pidettävissä sisäisissä tietoturva auditoinneissa.
Primelle on myönnetty ISO 27001 tietoturvasertifikaatti ja sen hallintakeinojen mukaan toimiminen varmistetaan säännöllisillä auditoinneilla. Sisäisissä auditoinneissa varmistamme, että noudatamme sertifikaattia ja parannamme tietoturvaa jatkuvasti. Olemme jakaneet sertifikaatin hallintakeinot pieniin osiin, jotta prosessi olisi mahdollisimman kevyt. Auditoinnit kuitenkin kattavat muutaman vuoden sisällä kaikki hallintakeinot. Saamme auditoinnin sisältöön apua ja ohjeistuksia omistajaltamme TSS konsernilta.
Meillä Primellä on 6 koulutettua auditoijaa, jotka pyörittävät auditointeja parin hengen voimin puolivuosittain. Viimeisimmän pidimme toukokuussa ja syksyn auditointi on aikataulutettu syyskuulle.
Toimin itsekin sisäisenä auditoijana. Halusin kokeilla sitä, jotta saisin laajemman kuvan organisaatiostamme ja erilaisista tehtävistä. Auditoijana pääsen myös tunnistamaan kehityskohteita ja ehdottamaan ratkaisuja niihin. Suosittelen auditoijaksi lähtemistä kaikille erilaisilla taustoilla, sillä tehtävässä on uutta ja mielenkiintoista opittavaa ihan jokaiselle.
Sisäisenä auditoijana toimiessani olen oppinut paljon käytännöistä, standardeista ja ihmisistä. Jokainen auditoitava on erilainen ja antaa uusia näkökulmia. Tämä itseasiassa onkin hauskinta auditoinneissa. Jokaisella on oma käsityksensä samoista asioista ja niistä eroavaisuuksista lopulta yleensä löytää poikkeamat.
Keväällä pidimme sisäiset auditoinnit Organisaation toimintaympäristöstä, johtajuudesta ja tukitoiminnoista. Samalla kolme uusinta auditoijaamme saivat kuunnella ja olla mukana auditointitilanteessa auditoijan roolissa ensimmäistä kertaa.
Auditoinnissa ei ilmennyt poikkeamia, joka on samalla loistavaa ja harmillista. Poikkeamat nimittäin varmistavat, että yrityksemme toimintatavat kehittyvät jatkuvasti eteenpäin. Kehityskohtia kuitenkin nousi muutama, joten lähdimme edistämään niitä heti tietoturvan kehitysjonomme kautta. Onneksi meiltä löytyi myös useita vahvuuksia, kuten viestintä ja säännönmukainen tietoturvakoulutus!
Sisäisen auditoinnin lisäksi meillä tehdään myös kerran vuodessa ulkoinen auditointi ISO 27001 sertifikaatin osalta. Tämän olemme tähän mennessä läpäisseet ilman poikkeamia.
Miten teillä huolehditaan tietoturvasta? Entä milloin olette viimeksi pitäneet sisäisen auditoinnin?