Fastroille ISO 27001 -sertifikaatti

- Kirjoittanut Kaisa Loijas, Projektipäällikkö

Nyt se on virallista! Ylpeinä voimme ilmoittaa, että Fastroi Oy on nyt ISO 27001:2013 -sertifioitu! Sertifiointi osoittaa, että Fastroi Oy noudattaa tietoturvaa koskevaa kansainvälistä standardia.

Mitä tämä tarkoittaa asiakkaillemme ja yhteistyökumppaneille?

Tuotteidemme käyttäjät kaikkialla maailmassa voivat luottaa siihen, että heidän tietojaan käsitellään ja säilytetään turvallisesti. Tietoturva ja yksityisyys ovat aina olleet tärkeitä sekä toiminnassamme että tuotteidemme suunnittelussa. Nyt voimme vahvistaa tämän virallisella ISO 27001 -sertifikaatilla. Se todistaa, että Fastroi Oy toimii kansainvälisen tietoturvasertifikaatin mukaiseksi.

Mitä sertifiointi tarkoittaa ja mikä on ISO 27001?

The International Organization for Standardization (ISO) on  kansainvälinen standardointijärjestö, joka hallinnoi eri alojen standardeja. Nykyisessä internetin ja digitaalisten verkkojen maailmassa, ISO-standardien teknologiaosioihin kiinnitetään yhä enemmän huomiota.

ISO 27001 -standardi asettaa yli 100 vaatimusta kattavalle tietoturvan johtamisjärjestelmälle (Information Security Management System, ISMS). Se määrittelee, kuinka organisaatioiden tulisi hallita ja käsitellä tietoja turvallisella tavalla ja millaisia ovat asianmukaiset tietoturvariskien valvonta- ja hallintatoimenpiteet. ISO 27001- standardi toimii  viitekehyksenä organisaation ISMS:lle. Standardi sisältää kaikki käytännöt ja prosessit, jotka liittyvät datan ja informaation hallintaan, käsittelyyn ja säilyttämiseen. ISO 27001 -standardi ei ole IT-järjestelmä, eikä se velvoita käyttämään erityisiä työkaluja, ratkaisuja tai menetelmiä. Sen sijaan se toimii vaatimusten tarkistuslistana. Standardi ottaa huomioon yrityksen koko toiminnan, mukaan lukien henkilöstöturvallisuus, viestintä ja toimittajasuhteet. Nämä ovat alueita, jotka jätetään huomioimatta monissa muissa tietoturvastandardeissa.  ISO 27001 on kattavin tietoturvastandardi ja se tarkoittaa asiakkaillemme parasta mahdollista tietoturvaa.

Mitä ISO 27001 -sertifiointi vaati yritykseltämme?

Aloitimme Fastroissa kattavan tietoturva- ja tietosuojatyön vuoden 2017 aikana. Perustimme liiketoimintayksiköiden rajat ylittävän tietoturva- ja tietosuojatyöryhmän. Siihen kuuluu mm. yrityksen tietosuojavastaava, tietoturvapäällikkö, tuotepäälliköt sekä muuta Fastroin henkilöstöä.

Tällä ryhmällä muodostimme laajan näkökulman tietosuojaan ja tietoturvaan. Koska haluamme soveltaa toiminnassamme alan parhaita käytäntöjä, valitsimme tarkan ja kattavan tietoturvan ja tietosuojan viitekehyksen työn pohjaksi. Nykymaailmassa kaiken kokoisten yritysten on tunnustettava tieto- ja kyberturvallisuuden merkitys, mutta pelkästään tietoturvaryhmän perustaminen tai IT-järjestelmän hankkiminen ei mielestämme riitä varmistamaan parasta mahdollista tietoturvaa. Siksi päädyimme ISO 27001 -standardiin. Se oli Fastroille luontainen valinta, koska olimme jo saaneet ISO 9001 -laatujohtamisjärjestelmän ja ISO 14001 -ympäristöjärjestelmän standardit.

ISO 27001 -standardin valinnan jälkeen, pystytimme ja otimme vuoden 2018 aikana käyttöön Fastroin Tietoturvan johtamisjärjestelmän standardin asettamien vaatimusten mukaisesti. Käytännössä tämä tarkoitti vastaamista Standardin tarkistuslistan 114:sta eri kohtaan tietoturvan alalla. Tämä sisälsi muun muassa runsaasti uusia toiminta- ja menettelytapojen, ohjeiden ja kuvauksien kirjoittamista ja soveltamista, henkilöstön koulutusta, fyysisen turvallisuuden vaatimuksia, verkkoturvallisuuden toimenpiteitä, salasanojen ja salaustekniikan tarkistamista sekä todentamista jne. ISO 27001 -standardissa on erittäin kattava lähestymistapa tietoturvallisuuden hallintaan, joten standardin noudattaminen oli meille melkoinen sitoumus. Pidimme kuitenkin kiinni tavoitteestamme, parhaasta mahdollisesta tietoturvan tasosta ja etenimme Fastroin johdon jatkuvalla tuella suunnitelman mukaisesti.

Standardin vaatimustenmukaisuuden arvioinnit aloitettiin keväällä 2019, kun suoritimme Fastroissa laajan sisäisen auditoinnin. Ulkoisen auditoinnin prosessi alkoi toukokuussa 2019. Nämä suoritti kansainvälinen sertifiointiin akkreditoitu organisaatio DNV GL.

Ensimmäistä kertaa sertifikaattia hakevan yrityksen ulkoinen auditointi tapahtui kahdessa erillisessä vaiheessa. Auditoinneista muodostui kattava poikkileikkaus koko Fastroin  toiminnasta tietoturvan alueella. Ensimmäisessä vaiheessa tarkastus keskittyi Fastroin tietoturvan johtamisjärjestelmään ja toisessa vaiheessa erityisesti Fastroin toimintaan sekä tarjoamiimme tuotteisiin ja palveluihin.

Mitä seuraavaksi? – Elämää sertifioinnin jälkeen

ISO 27001: 2013 -sertifioinnilla, Fastroi ja sen henkilöstö vahvistavat jatkuvan sitoutumisen tietoturvallisuuskäytäntöihin sekä riskienhallintaan. Vertailemalla toimintatapojamme ja menettelyjämme tämän kansainvälisesti tunnustetun tietoturvastandardin kanssa, asiakkaamme voivat olla varmoja tarjoamastamme tietoturvasta ja tietosuojasta.

Virallisen ISO 27001 -sertifikaatin saaminen on meille vasta ensimmäinen askel. Vaikka olemme nyt ansainneet standardin, ei työ koskaan lopu: Sitoudumme jatkossakin parhaan mahdollisen tietoturvan ja yksityisyyden suojan jatkuvaan parantamiseen.

Kategoriat: Yritys