ISO/IEC 27001 on kansainvälinen viitestandardi tietoturvan hallintajärjestelmälle (ISMS). Sitä vaativat yhä useammin tilaajat, tarjouskilpailut, kyberriskivakuutuksenantajat tai pääsy tiettyihin vientimarkkinoihin - SYAGA tukee teitä kuiluanalyysistä sertifiointiauditoinnin valmisteluun asti.
ISO 27001 ei ole yleinen lakisääteinen velvoite, mutta siitä on tulossa väistämätön kaupallinen edellytys
ISO/IEC 27001 pysyy vapaaehtoisena hankkeena. Sitä vaaditaan silti yhä useammin tarjouskilpailuissa, suurten tilaajien toimesta, tietyiltä kyberriskivakuuttajilta, tai edellytyksenä pääsylle tiettyihin vientimarkkinoihin.
Suurin osa pk- ja keskisuurista yrityksistä ei ole aloittanut mitään jäsenneltyä tietoturvan hallintajärjestelmähanketta. Aihe koetaan monimutkaiseksi, tekniseksi ja pitkäksi.
Perinteiset sertifiointiprojektit sitovat tiiminne aikaa useiksi kuukausiksi ja merkitsevät huomattavaa investointia, joka on usein pk-yrityksen ulottumattomissa.
Tietohallintojohtajan tai tietoturvavastaavan sitominen kuukausiksi ISMS:n rakentamiseen ei ole toteuttamiskelpoista pk-yrityksessä, jossa jokaisella on jo useita rooleja.
Jäsennelty 3-vaiheinen hanke, joka nojaa samaan SYAGAn jo PSSI-Expressissä koeteltuun menetelmään
Rajaushaastattelu johdon ja tietojärjestelmävastaavan kanssa, sitten järjestelmällinen arviointi jokaisesta liitteen A (2022-painos) 93 tietoturvatoimenpiteestä, jaettuna 4 teemaan: organisatorinen, henkilöstö-, fyysinen ja teknologinen. Faktapohjaisen poikkeamaraportin toimitus.
Tietoturvapolitiikan (ISMS) laadinta tai päivitys, soveltuvuuslausunnon (DdA) laadinta, joka perustelee jokaisen 93 toimenpiteen soveltamisen tai poissulkemisen, ja priorisoidun korjaussuunnitelman laadinta vaiheessa 1 tunnistettujen poikkeamien korjaamiseksi.
Korjaussuunnitelman toteutuksen seuranta, dokumenttien tarkistus ja tiiminne valmistelu riippumattoman akkreditoidun sertifiointielimen tekemään auditointiin. SYAGA valmistelee teidät auditointiin; itse sertifioinnin myöntää tämä kolmas osapuoli.
ISO 27001 -sertifiointidossierin jäsentävät asiakirjat
Faktapohjainen arvio vaatimustenmukaisuustasostanne standardiin nähden.
ISO 27001 -sertifiointidossierin keskeinen normatiivinen asiakirja.
Standardin lausekkeiden 4-10 edellyttämä hallinta-asiakirja.
Etenemissuunnitelma tunnistettujen poikkeamien korjaamiseksi.
Asiakirjat, jotka tiiminne voi ottaa suoraan käyttöön.
Kaikki asiakirjat muodoissa, joita voitte kehittää.
ISO 27001 -ISMS risteää luonnollisesti useiden viitekehysten kanssa
Keskeinen viitekehys: lausekkeet 4-10 (hallintavaatimukset) ja liite A (93 tietoturvatoimenpidettä jaettuna 4 teemaan).
NIS2-direktiivin vaatimat kyberriskienhallintatoimenpiteet risteävät laajasti ISO 27001:n liitteen A toimenpiteiden kanssa. ISO 27001 -ISMS helpottaa NIS2-vaatimustenmukaisuutta kohdealan toimijoille.
ANSSIn (Ranskan tietoturvaviranomainen) tietoteknisen hygienian oppaan toimenpiteet risteävät merkittävästi ISO 27001:n liitteen A toimenpiteiden kanssa. Vastaavuus dokumentoitu korjaussuunnitelmassa.
GDPR:n artiklan 32 edellyttämät asianmukaiset tekniset ja organisatoriset toimenpiteet nojaavat samoihin hyviin käytäntöihin kuin ISO 27001:n liite A (pääsynhallinta, salaus, poikkeamien hallinta).
Jokainen ISO 27001 -projekti mitoitetaan laajuutenne ja nykyisen kypsyystasonne mukaan. Aina räätälöity tarjous.
Alkuperäinen tilannekuva poikkeamistanne
Kuiluanalyysistä auditoinnin valmisteluun
Sertifioinnin jälkeen tai jatkuvasti
Ota meihin yhteyttä saadaksesi räätälöidyn tarjouksen laajuutenne ja nykyisen kypsyystasonne mukaan.
Mitä ISO/IEC 27001 todella sanoo, selitettynä yksinkertaisesti. Jokainen kohta viittaa viralliseen lähteeseensä (ISO, AFNOR, COFRAC, ANSSI), päivitetty 17.7.2026.
ISO/IEC 27001 on tunnustettu menetelmä tietoihinne kohdistuvien uhkien tunnistamiseen, riskien hallintaan ja oikeiden suojausten käyttöönottoon, jotta tietonne pysyvät luottamuksellisina, saatavilla ja luotettavina. Se ei ole ohjelmisto, vaan yritykseen käyttöönotettava organisaatio.
Lähde: AFNOR CertificationToisin kuin muut menettelyt (kuten tietyille valtion järjestelmille pakollinen turvallisuushyväksyntä), ISO 27001 on vapaaehtoinen: se on sertifioiva standardi, ei yleinen sääntelyvelvoite. Valitsette sen rauhoittaaksenne asiakkaita, kumppaneita ja vakuuttajia.
Lähde: ANSSI (menetelmäseloste)Ei koskaan yritys itse, eikä konsultti: vain riippumaton ja akkreditoitu sertifiointielin voi myöntää sen (COFRAC on Ranskan ainoa akkreditointielin, perustettu 1994). Saatu sertifikaatti on voimassa 3 vuotta.
Lähde: COFRACAlustava arviointi (valinnainen), valmistelu, asiakirjojen tarkistus, paikan päällä tehtävä auditointi todellisen tilanteen todentamiseksi, sertifikaatin myöntäminen (3 vuotta), sitten vuosittainen valvontakäynti ja täydellinen uudistusauditointi 3 vuoden kuluttua. Mikään ei ole lopullisesti kiinteä.
Lähde: AFNOR CertificationAFNOR:n sertifioitujen yritysten keskuudessa tekemän tutkimuksen mukaan: 89 % havaitsi vähemmän tietoturvapoikkeamia, 83 %:lla on vahvemmat sisäiset tietoturvaprosessit, ja 88 % säilytti asiakkaita, jotka olisivat voineet lähteä ilman sertifiointia.
Lähde: AFNOR-tutkimus 2019Se on maailman käytetyin tietoturvastandardi ISO:n itsensä mukaan. Ja sertifiointielimiä valvova akkreditointi (kuten COFRAC Ranskassa) tunnustetaan kansainvälisesti maiden välisillä sopimuksilla, mikä helpottaa pääsyä markkinoille Euroopassa ja muualla.
Lähde: ISO (komitea JTC1/SC27)