ISO/IEC 27001: Elmo parantaa Beweshipin tietoturva- ja riskienhallintakäytäntöjä

Oy Beweship Ab on toisessa polvessa toimiva suomalainen perheyritys, joka tarjoaa monipuolisia logistiikka- ja huolintapalveluja. Yritys hyödyntää maailmanlaajuista partneriverkostoa, mihin sisältyy olennaisena vaatimus, että tietoturva-asiat on asianmukaisesti dokumentoitu, ja taustalla olevat järjestelmät ja asetukset on tarkastettu.

Beweshipin ja Elmon yhteistyö sai alkunsa vuonna 2020, kun Beweshipin liiketoimintatarpeet muuttuivat ja tarvittiin lisää tilaa kehittyä ja kasvaa.

Beweshipin keskeinen sisäinen tarve oli kehittää ja laajentaa yrityksen dokumentoitua tapaa toimia. Oli selkeytettävä johtamisjärjestelmä ja vastuualueet. Ulkoisena tarpeena oli asiakaskuntamme luottamuksen vahvistaminen, varatoimitusjohtaja Juha Määttä kertoo.

Tietoturvan hallintajärjestelmä ISO/IEC 27001 – viitekehyksellä

ISO/IEC 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvan hallintajärjestelmälle (ISMS, Information Security Management System). Standardin tarkoituksena on auttaa organisaatioita suojaamaan tietojaan systemaattisesti ja tehokkaasti. Standardi kattaa muun muassa riskienhallinnan, tietoturvapolitiikat, prosessit ja toimenpiteet, jotka estävät tietojen väärinkäytön, menetyksen tai vahingoittumisen.

Elmo toteutti Beweshipin tietoturvan hallintajärjestelmän ISO/IEC 27001 -standardin mukaisesti sovitussa aikatauluissa, noin puolessa vuodessa.

Standardi on laaja, ja sisältää myös johtamiseen ja henkilöstöhallintoon liittyviä asioita. On jatkuvuussuunnittelua ja palautussuunnittelua yllättävien tilanteiden varalta, Määttä kuvailee.

Ohjelmistoissa on käyttöönoton yhteydessä tietyt perusasetukset olemassa, mutta turvallisuusasetusten säätäminen yhtiön tietoturvapolitiikkaa vastaavaksi on hyvä toteuttaa yhteistyössä kokeiden osaajien kanssa. Saamme Elmolta välittömästi apua, jos joudumme esimerkiksi kyberhyökkäyksen tai vastaavaan kohteeksi. Meillä on suojaavat hälytysjärjestelmät olemassa, ja kaikki tietoturvan hallinnointi tapahtuu keskitetysti, Määttä täsmentää.

ISO/IEC 27001 kattaa kaikki tiedon turvaamisen osa-alueet, kuten:

1. Tietojen luottamuksellisuus: varmistetaan, että vain valtuutetut henkilöt pääsevät käsiksi arkaluontoisiin tietoihin.
2. Tietojen eheys: varmistetaan, että tiedot eivät muutu tai vääristy ilman asianmukaista valvontaa.
3. Tietojen saatavuus: varmistetaan, että tiedot ovat saatavilla silloin, kun niitä tarvitaan.

Yhteistyö Elmon kanssa vie eteenpäin

Elmo auttoi Beweshipiä dokumentoimaan tietoturvan hallintajärjestelmään prosessit ja johtamisen järjestelmät, esimerkiksi sen, miten yhteistyökumppaneiden taustat tarkistetaan, mitä sisältyy henkilöstöhallintaan, millaisia tarkastuksia tehdään ja miten riskienhallinta on toteutettu.

Elmon osaaminen on vakuuttanut Beweshipillä läpi koko organisaation. Elmo on jo toteuttanut henkilöstön tietoturvaan liittyviä koulutuksia, joita tullaan laajentamaan ja jatkamaan. Tietoturvakoulutuksia tullaan järjestämään koko konsernissa, niin tytär- kuin emoyhtiössä.

Olemme olleet erittäin tyytyväisiä yhteistyöhön Elmon kanssa. Dokumentointi pakottaa päivittämään omia toimintatapoja ja miettimään dokumentoinnin kannalta, mikä on oikea tapa toimia. Koko dokumentaation päivittäminen on iso ja raskas projekti, jos olisimme toteuttaneet sen muulla tavoin. Meidän päässä ei ollut juurikaan vaivannäköä, kun käytännön työ ja toteutus hoidettiin Elmolla. Vaikka tietoturvajärjestelmämme on nyt standardin mukaisesti toteutettu, sertifiointia emme toistaiseksi tarvitse, sillä emme ole tietoturvayritys.

ISO/IEC 27001 -standardi auttaa organisaatioita hallitsemaan ja suojaamaan tiedonhallinnan riskejä ja luomaan organisaation sisäisiä käytäntöjä, jotka tukevat turvallisuutta ja luottamusta tiedon käsittelyssä. Standardin täyttäminen voi myös parantaa organisaation mainetta ja kilpailukykyä, sillä se osoittaa sitoutumisen korkeisiin tietoturvavaatimuksiin.

Syitä ottaa ISO/IEC 27001 -sertifioitu kumppani tietoturvan hallintajärjestelmän rakentamiseen:

● Tietoturvan hallintajärjestelmän rakentamisen prosessin koko ja kesto
● Ulkopuolisen asiantuntijan osaamisen hyödyntäminen
● Organisaation omien resurssien puute
● Omien resurssien säästäminen
● Ulkoistamisen helppous ja vaivattomuus