STANDARDI ISO/IEC 27001:2022 - ISMS

Valmistautukaa ISO 27001 -sertifiointiin
menettämättä 6 kuukautta

ISO/IEC 27001 on kansainvälinen viitestandardi tietoturvan hallintajärjestelmälle (ISMS). Sitä vaativat yhä useammin tilaajat, tarjouskilpailut, kyberriskivakuutuksenantajat tai pääsy tiettyihin vientimarkkinoihin - SYAGA tukee teitä kuiluanalyysistä sertifiointiauditoinnin valmisteluun asti.

93
Liitteen A toimenpidettä (2022)
4
Tietoturvateemaa
7
Hallintalauseketta (4-10)
1
Toimitettu soveltuvuuslausunto

Konteksti

ISO 27001 ei ole yleinen lakisääteinen velvoite, mutta siitä on tulossa väistämätön kaupallinen edellytys

📋

Vapaaehtoinen sertifiointi, mutta yhä useammin vaadittu

ISO/IEC 27001 pysyy vapaaehtoisena hankkeena. Sitä vaaditaan silti yhä useammin tarjouskilpailuissa, suurten tilaajien toimesta, tietyiltä kyberriskivakuuttajilta, tai edellytyksenä pääsylle tiettyihin vientimarkkinoihin.

🔒

Harva pk-yritys on muodostanut ISMS:ää

Suurin osa pk- ja keskisuurista yrityksistä ei ole aloittanut mitään jäsenneltyä tietoturvan hallintajärjestelmähanketta. Aihe koetaan monimutkaiseksi, tekniseksi ja pitkäksi.

💰

Pitkät ja kalliit tukiprosessit

Perinteiset sertifiointiprojektit sitovat tiiminne aikaa useiksi kuukausiksi ja merkitsevät huomattavaa investointia, joka on usein pk-yrityksen ulottumattomissa.

IT-tiiminne on jo ylikuormitettu

Tietohallintojohtajan tai tietoturvavastaavan sitominen kuukausiksi ISMS:n rakentamiseen ei ole toteuttamiskelpoista pk-yrityksessä, jossa jokaisella on jo useita rooleja.

ISO27001-Express-menetelmä

Jäsennelty 3-vaiheinen hanke, joka nojaa samaan SYAGAn jo PSSI-Expressissä koeteltuun menetelmään

1
Vaihe 1 - Kuiluanalyysi

Liitteen A 93 toimenpiteen arviointi

Rajaushaastattelu johdon ja tietojärjestelmävastaavan kanssa, sitten järjestelmällinen arviointi jokaisesta liitteen A (2022-painos) 93 tietoturvatoimenpiteestä, jaettuna 4 teemaan: organisatorinen, henkilöstö-, fyysinen ja teknologinen. Faktapohjaisen poikkeamaraportin toimitus.

2
Vaihe 2 - ISMS:n dokumentointi

Tietoturvapolitiikka, soveltuvuuslausunto ja korjaussuunnitelma

Tietoturvapolitiikan (ISMS) laadinta tai päivitys, soveltuvuuslausunnon (DdA) laadinta, joka perustelee jokaisen 93 toimenpiteen soveltamisen tai poissulkemisen, ja priorisoidun korjaussuunnitelman laadinta vaiheessa 1 tunnistettujen poikkeamien korjaamiseksi.

3
Vaihe 3 - Tuki sertifiointiin

Sertifiointielimen auditoinnin valmistelu

Korjaussuunnitelman toteutuksen seuranta, dokumenttien tarkistus ja tiiminne valmistelu riippumattoman akkreditoidun sertifiointielimen tekemään auditointiin. SYAGA valmistelee teidät auditointiin; itse sertifioinnin myöntää tämä kolmas osapuoli.

Mitä saatte

ISO 27001 -sertifiointidossierin jäsentävät asiakirjat

📊

Kuiluanalyysiraportti

Faktapohjainen arvio vaatimustenmukaisuustasostanne standardiin nähden.

  • Liitteen A 93 toimenpiteen arviointi
  • Tila toimenpidekohtaisesti: vaatimustenmukainen / osittainen / ei-vaatimustenmukainen
  • Yhteenveto teemoittain (organisatorinen, henkilöstö-, fyysinen, teknologinen)
  • Faktapohjaiset havainnot, ilman arvoarvostelmia
🔐

Soveltuvuuslausunto (DdA)

ISO 27001 -sertifiointidossierin keskeinen normatiivinen asiakirja.

  • Sovellettu/poissuljettu-tila jokaiselle 93 toimenpiteelle
  • Jokaisen poissulkemisen perustelu
  • Viittaus ISMS-asiakirjoihin
  • Valmis esitettäväksi sertifiointielimelle
📝

Tietoturvapolitiikka (ISMS)

Standardin lausekkeiden 4-10 edellyttämä hallinta-asiakirja.

  • ISMS:n laajuus ja konteksti
  • Tietoturvaroolit ja vastuut
  • Riskienhallintaprosessi
  • Jatkuvan parantamisen sykli (PDCA)
🎯

Priorisoitu korjaussuunnitelma

Etenemissuunnitelma tunnistettujen poikkeamien korjaamiseksi.

  • Toimenpiteet priorisoituna
  • Organisatoriset ja tekniset toimenpiteet
  • Edistymisen seuranta
  • Asteittainen valmistautuminen auditointiin
📄

Operatiiviset menettelyt

Asiakirjat, jotka tiiminne voi ottaa suoraan käyttöön.

  • Tietoturvapoikkeamien hallinta
  • Käyttöoikeuksien ja identiteettien hallinta
  • Muutosten hallinta
  • IT-käyttösäännöstö
💻

Muokattavat tiedostot

Kaikki asiakirjat muodoissa, joita voitte kehittää.

  • Itsenäinen HTML (avattavissa missä tahansa selaimessa)
  • Korkealaatuinen PDF (A4-tulostus)
  • Muokattava DOCX (Microsoft Word)
  • Päivitys jokaisessa vuosikatsauksessa

Yhteiskäyttöinen dokumentaatiopohja

ISO 27001 -ISMS risteää luonnollisesti useiden viitekehysten kanssa

ISO

ISO/IEC 27001:2022

Keskeinen viitekehys: lausekkeet 4-10 (hallintavaatimukset) ja liite A (93 tietoturvatoimenpidettä jaettuna 4 teemaan).

N2

Yhteys NIS2:een

NIS2-direktiivin vaatimat kyberriskienhallintatoimenpiteet risteävät laajasti ISO 27001:n liitteen A toimenpiteiden kanssa. ISO 27001 -ISMS helpottaa NIS2-vaatimustenmukaisuutta kohdealan toimijoille.

AN

ANSSI-opas - Tietotekninen hygienia

ANSSIn (Ranskan tietoturvaviranomainen) tietoteknisen hygienian oppaan toimenpiteet risteävät merkittävästi ISO 27001:n liitteen A toimenpiteiden kanssa. Vastaavuus dokumentoitu korjaussuunnitelmassa.

RG

GDPR (Art. 32)

GDPR:n artiklan 32 edellyttämät asianmukaiset tekniset ja organisatoriset toimenpiteet nojaavat samoihin hyviin käytäntöihin kuin ISO 27001:n liite A (pääsynhallinta, salaus, poikkeamien hallinta).

Tilanteeseenne räätälöidyt tarjoukset

Jokainen ISO 27001 -projekti mitoitetaan laajuutenne ja nykyisen kypsyystasonne mukaan. Aina räätälöity tarjous.

Kuiluanalyysi

Alkuperäinen tilannekuva poikkeamistanne

Tarjouksesta
laajuuden ja henkilöstömäärän mukaan
  • Liitteen A 93 toimenpiteen arviointi
  • Faktapohjainen havaintoraportti
  • Yhteenveto tietoturvateemoittain
  • Esittely johdolle
  • HTML + PDF + DOCX -muodot
Pyydä tarjous

Vuosihuolto

Sertifioinnin jälkeen tai jatkuvasti

Tarjouksesta
laajuuden ja henkilöstömäärän mukaan
  • ISMS:n vuosittainen katsaus
  • Soveltuvuuslausunnon päivitys
  • Korjaussuunnitelman ajantasaistus
  • Valvonta-auditointeihin valmistautuminen
Pyydä tarjous

Usein kysytyt kysymykset

Mikä on ISO/IEC 27001 -standardi?
ISO/IEC 27001 on kansainvälinen viitestandardi tietoturvan hallintajärjestelmän (ISMS) käyttöönotolle. Vuoden 2022 painoksessa se on jäsennelty lausekkeisiin 4-10 (hallintavaatimukset: konteksti, johtajuus, suunnittelu, tuki, toiminta, arviointi, parantaminen) ja liitteeseen A, joka sisältää 93 tietoturvatoimenpidettä jaettuna 4 teemaan: organisatorinen, henkilöstö-, fyysinen ja teknologinen.
Onko ISO 27001 pakollinen yritykselleni?
Ei, ISO 27001 on vapaaehtoinen sertifiointi, toisin kuin sääntelytekstit kuten NIS2. Sitä vaaditaan sen sijaan yhä useammin käytännössä: tarjouskilpailut, suurten tilaajien vaatimukset, kyberriskivakuutusehdot, tai pääsy tiettyihin vientimarkkinoihin. Se on strateginen valinta enemmän kuin yleinen lakisääteinen velvoite.
Myöntääkö SYAGA sertifioinnin?
Ei. ISO 27001 -sertifioinnin myöntää yksinomaan riippumaton akkreditoitu sertifiointielin ulkoisen auditoinnin jälkeen. SYAGA tukee teitä valmistautumisessa (kuiluanalyysi, ISMS-dokumentaatio, korjaussuunnitelma, tiiminne valmistelu), mutta ei itse myönnä sertifikaattia.
Mikä on soveltuvuuslausunto (DdA)?
DdA on sertifiointidossierin pakollinen normatiivinen asiakirja. Se listaa jokaisen liitteen A 93 toimenpiteestä ja täsmentää, sovelletaanko sitä vai suljetaanko se pois, vastaavan perustelun kanssa. Se on yksi eniten tarkastelluista asiakirjoista sertifiointiauditoinnin yhteydessä.
Kuinka paljon tiimieni aikaa tarvitaan?
Suurimman osan työstä (arviointi, dokumenttien laadinta, korjaussuunnitelma) tekevät auditoijamme. Tiiminne osallistuu lähinnä alustavaan rajaushaastatteluun ja esittelytilaisuuksiin. Sertifiointihankkeen kokonaiskesto riippuu vahvasti laajuudestanne ja lähtökypsyydestänne; se arvioidaan tapauskohtaisesti tarjouksessa.
Miksi SYAGA on pätevä tukemaan minua?
SYAGA Consulting on tehnyt tietojärjestelmien tietoturva-auditointeja vuodesta 2009. Auditoijamme työskentelevät eri kokoisten asiakkaiden kanssa useilla toimialoilla. ISO27001-Expressissä käytetty kuiluanalyysi- ja dokumentaatiogenerointimenetelmä nojaa samaan moottoriin, jota käytetään muissa vaatimustenmukaisuustukipalveluissamme (PSSI-Express).
SYAGA tukee teitä ISMS:änne ja sertifiointidossierianne valmistellessanne. Itse ISO/IEC 27001 -sertifioinnin myöntää riippumaton akkreditoitu sertifiointielin, joka ei ole sidoksissa SYAGAan. Tämä sisältö on tukityökalu, eikä se ole oikeudellinen lausunto.

Valmiina jäsentämään ISO 27001 -hankkeenne?

Ota meihin yhteyttä saadaksesi räätälöidyn tarjouksen laajuutenne ja nykyisen kypsyystasonne mukaan.

Sääntelyseuranta - viralliset lähteet

Mitä ISO/IEC 27001 todella sanoo, selitettynä yksinkertaisesti. Jokainen kohta viittaa viralliseen lähteeseensä (ISO, AFNOR, COFRAC, ANSSI), päivitetty 17.7.2026.

Mitä se konkreettisesti on?

ISO/IEC 27001 on tunnustettu menetelmä tietoihinne kohdistuvien uhkien tunnistamiseen, riskien hallintaan ja oikeiden suojausten käyttöönottoon, jotta tietonne pysyvät luottamuksellisina, saatavilla ja luotettavina. Se ei ole ohjelmisto, vaan yritykseen käyttöönotettava organisaatio.

Lähde: AFNOR Certification

Se on valinta, ei laki

Toisin kuin muut menettelyt (kuten tietyille valtion järjestelmille pakollinen turvallisuushyväksyntä), ISO 27001 on vapaaehtoinen: se on sertifioiva standardi, ei yleinen sääntelyvelvoite. Valitsette sen rauhoittaaksenne asiakkaita, kumppaneita ja vakuuttajia.

Lähde: ANSSI (menetelmäseloste)

Kuka myöntää sertifikaatin?

Ei koskaan yritys itse, eikä konsultti: vain riippumaton ja akkreditoitu sertifiointielin voi myöntää sen (COFRAC on Ranskan ainoa akkreditointielin, perustettu 1994). Saatu sertifikaatti on voimassa 3 vuotta.

Lähde: COFRAC

Prosessi 6 vaiheessa

Alustava arviointi (valinnainen), valmistelu, asiakirjojen tarkistus, paikan päällä tehtävä auditointi todellisen tilanteen todentamiseksi, sertifikaatin myöntäminen (3 vuotta), sitten vuosittainen valvontakäynti ja täydellinen uudistusauditointi 3 vuoden kuluttua. Mikään ei ole lopullisesti kiinteä.

Lähde: AFNOR Certification

Kannattaako se todella?

AFNOR:n sertifioitujen yritysten keskuudessa tekemän tutkimuksen mukaan: 89 % havaitsi vähemmän tietoturvapoikkeamia, 83 %:lla on vahvemmat sisäiset tietoturvaprosessit, ja 88 % säilytti asiakkaita, jotka olisivat voineet lähteä ilman sertifiointia.

Lähde: AFNOR-tutkimus 2019

Tunnustettu kaikkialla, ei vain Ranskassa

Se on maailman käytetyin tietoturvastandardi ISO:n itsensä mukaan. Ja sertifiointielimiä valvova akkreditointi (kuten COFRAC Ranskassa) tunnustetaan kansainvälisesti maiden välisillä sopimuksilla, mikä helpottaa pääsyä markkinoille Euroopassa ja muualla.

Lähde: ISO (komitea JTC1/SC27)