Kaksi vuotta sitten isosisko sai iloista postia Helsingin seurakuntayhtymältä. Kutsun juhlimaan...
Tietoturva TSS Primellä – miksi halusimme ISO 27001 sertifikaatin?
Mitä jos merikaapelit katkeaa? Entä jos palvelinsali tuhoutuu? Minne henkilötiedot on oikeasti tallennettu? Mitä voisi pahimmillaan käydä, jos meidän tietoturva pettää?
Näihin ja moniin muihin vaikeisiin kysymyksiin jouduimme vastaamaan kartoittaessamme, kuvatessamme ja kehittäessämme TSS Primen tietoturvakäytäntöjä. Ohjelmistomme kautta käsitellään paljon henkilötietoa. Osa siitä on arkaluonteista. Asiakkaamme rekisterinpitäjinä luottavat siihen, että käsittelemme heidän tietojaan kuten kuuluukin ja haluamme olla sen luottamuksen arvoisia. Tästä syystä päätimme vankentaa tietoturvaa standardin ja sertifioinnin avulla.
ISO 27001 oli luonteva valinta. Onhan se maailman tunnetuin tietoturvastandardi, joka asettaa tiukat vaatimukset organisaation tietoturvan hallintajärjestelmälle. Apuna oli myös Arterin ARC-ohjelmisto, jota käytimme tietoturvan hallintajärjestelmän mallintamiseen ja dokumentaation kotipesänä. Arterin konsulteilta saimme hyvin tukea ja apua hallintajärjestelmän rakentamiseen.
Hallintajärjestelmän rakentaminen ja sen sertifiointi toteutettiin TSS Finlandin (TSS Primen emoyhtiö) tasolla, joten se koskee TSS Primen lisäksi myös muita konsernin yhtiöitä Suomessa. Yhteinen sertifikaatti mahdollisti parhaiden käytäntöjen jakamisen ja yhdessä oppimisen. Voimme myös esim. auditoida toisiamme ristiin, jolloin kyvykkyys ja tietoturva molemmilla puolilla vahvistuu entisestään.
Lähde: Kiwa Inspecta sertifikaattihaku
TSS Primen koko henkilöstö osallistui tietoturvan hallintajärjestelmän rakentamiseen ja auditointihaastattelut kattoivat lähes koko henkilöstön. Opimme tästä paljon ja saimme monia parannuksia tietoturvan hallintaan aikaan. Tietoturvariskejä kartoittaessa saimme hyvää näkökulmaa siihen, mitkä toiminnassamme ovat kriittisiä pisteitä ja mitä suojatoimia meidän kannattaa vielä toteuttaa.
Sertifiointi oli antoisa kokemus, mutta tietoturvan kehittäminen ei siihen jää. Määrittelemämme hallintajärjestelmän mukaan toimiminen, riskien säännöllinen kartoittaminen ja toimintatapojen jatkuva parantaminen eivät lopu koskaan. Ja hyvä niin, sillä tietoturva on tänään tärkeämpää, kuin ehkä koskaan aikaisemmin.