Auditointi

Auditoinnin onnistumisessa keskeisellä sijalla on työtä tekevän asiantuntijan vahva työkokemus ja laaja-alainen osaaminen. JRComplex Oy:n Jouni Rosenlöf on työskennellyt vaativien tietoturvallisuusauditointien parissa jo vuodesta 1998 lähtien. Täällä voit käydä arvioimassa osaamista.

Tietoturvallisuusauditoinnin avulla voidaan saada kokonaisnäkemys tietoturvallisuuden olennaisista riskeistä. Auditointi kohdistuu asiakkaan liiketoiminnalle olennaisiin järjestelmiin, tietoverkkoon tai toimintaprosessiin. Auditoinnista saatavan tiedon avulla riskienhallintaa voidaan kehittää ja kohdentaa tietoturvallisuusinvestointeja tarkemmin. Auditointi tehdään haastattelemalla vastuuhenkilöt, tutustumalla soveltuvin osin dokumentaatioon sekä tarkastamalla tekniset kohdejärjestelmät. Tehdyn työn pohjalta annetaan riippumaton arvio tietoturvallisuuden nykytilasta. Havaintojen pohjalta tehtävä riskiarvio perustuu JRComplexin käyttämään riskiluokitukseen ja soveltuvin osin seuraaviin lähteisiin:

  • Standardit
  • Valtionhallinnon tietoturvallisuuden ohjeistukset (Vahti)
  • CERT turvallisuussuositukset
  • Tietoturvapolitiikat, ohjeistukset ja tavoitemäärittelyt
  • Lakisääteiset vaatimukset

Arvioinneissa painotetaan asiantuntijan kokemusta vastaavien ympäristöjen turvallisuusratkaisuista sekä tietoturvallisuusalan ns. ”best practise” suosituksia.

Tarkastuksessa mahdollisesti havaitun tietoturvariskin todennäköisyyden arvio perustuu asiantuntijan kokemukseen vastaavien riskien toteutumasta vastaavissa tilanteissa ja ympäristöissä. Riskiarvioinnissa huomioidaan riskiin vaikuttavien mahdollisten kompensoivien kontrollien vaikutus esim. riski olemassa, mutta tehokas valvonta mahdollistaa tietoturvapoikkeaman tehokkaan havaitsemisen ja siten pienentää tai rajoittaa riskiä.

Jokaisesta tarkastuksessa havaitusta riskistä annetaan suositus, jolla riskiä voidaan pienentää. Suositus perustuu tarkastajan kokemukseen vastaavien riskien hallinnasta, sekä asiakkaan vastuuhenkilöiden haastatteluihin.

Auditointiprojektin sisältö

Auditoinnin tehokkuuden maksimoimiseksi asiakkaalle suositellaan auditoinnin tarkkaa kohdentamista, esim.

  • Tietty palvelu ja järjestelmä
  • Tietyn datan tai informaation käsittely
  • Tietty tietoturvallisuuteen olennaisesti vaikuttava prosessi, esim. poikkeamien havaitseminen
  • Vastuuhenkilöiden tietoturvaosaaminen ja tietoisuus
  • Teknisiin ratkaisuihin liittyvät olennaiset riskit

 

Tarkastuksessa huomioidaan mm. seuraavia asioita:

  • Tietoturvadokumentaatio on olemassa ja asianmukainen
  • Käytännön menettelytapoihin ei sisälly merkittäviä riskejä
  • Vastuualueet ja toimintaohjeet ovat selkeät
  • Tietoturvallisuuden hallintaan on olemassa riittävät työvälineet, resurssit ja tekniset mahdollisuudet
  • Tietoturvallisuusosaaminen on riittävää
  • Käytännön menettelytavat vastaavat tavoitteita ja tietoturvaohjeistuksia
  • Tietoturvallisuuden hallinta on järjestelmällistä ja säännöllistä
  • Tietoturvallisuuden testaaminen on systemaattista
  • Tietoturvallisuusvalvonta pystyy havaitsemaan määritellyt tietoturvatapahtumat
  • Tietoturvatapahtumien raportointi on systemaattista ja selkeää