Skip to main content
Ota yhteyttä
      Mitä ISO 27001 varmistaa?

      Kokonaisvaltainen viitekehys tietoturvan johtamiseen

      ISO 27001 -sertifiointi on investointi, joka maksaa itsensä takaisin luottamuksena, riskien pienenemisenä ja uusina liiketoimintamahdollisuuksina.

      • Rakenne tietoturvan johtamiseen

        Standardi antaa rakenteen tietoturvan hallinnan, riskienarvioinnin ja jatkuvan parantamisen toteuttamiseen. Läpinäkyvät prosessit mahdollistavat riskien ennakoinnin ja hallinnan.

      • Vaatimustenmukaisuuden osoittaminen

        Sertifiointi helpottaa viranomaisten ja asiakkaiden vaatimuksiin vastaamista – NIS2-direktiivi, toimittaja-arvioinnit ja sopimusvaatimukset katetaan yhdellä sertifikaatilla.

      • Laajennettavissa lisästandardeilla

        ISO 27001 toimii perustana koko tietoturvaportfoliolle. Sertifioinnin yhteydessä voidaan arvioida pilvi- ja tietosuojalaajennukset sekä muut ISO-standardit integroituna kokonaisuutena.

      Tyypilliset laajennusstandardit ISO 27001:n yhteydessä

      Pilvipalvelut ja henkilötiedot

      ISO/IEC 27017: Pilvipalveluiden tietoturva

      ISO 27017 vähentää pilviympäristöjen riskejä määrittelemällä lisäkontrolleja, kuten jaetun vastuun mallin ja tietojen palauttamisen, parantaen siten kokonaisturvallisuutta.

       

      ISO/IEC 27018: Henkilötiedot julkisissa pilvipalveluissa

      Kansainvälinen viitekehys henkilötietojen (PII) käsittelyn turvallisuuteen pilviympäristöissä tukee tietosuojavelvoitteiden hallintaa ja vähentää riskejä.

      Olli Knuuti
      Olli Knuuti

      Information Security Assessments

      KPMG in Finland

      ISO 27001 -sertifioinnin hyödyt organisaatiolle

      Miksi sertifioida ISO 27001?

      people_outline

      Luottamuksen kasvu ja kilpailuaseman vahvistuminen

      Avaa ovia uusille asiakkaille ja markkinoille erityisesti kansainvälisessä kaupassa, julkisella sektorilla ja suuryrityksissä, joissa ISO 27001 on usein pakollinen vaatimus tarjouspyynnöissä. Sertifikaatti korvaa asiakasauditoinnit.

      rule

      Säädöstenmukaisuus ja juridinen suoja

      Sertifiointi helpottaa useiden säädösten – GDPR, NIS2-direktiivi, toimialakohtaiset vaatimukset – noudattamista yhtenäisen viitekehyksen kautta. Yksi sertifikaatti kattaa laajan joukon vaatimuksia.

      filter_center_focus

      Riskienhallinnan tehostuminen

      Järjestelmällinen riskien arviointi, kontrollit ja seuranta pienentävät tietomurron todennäköisyyttä ja vaikutuksia. Riskiperusteinen lähestymistapa kohdentaa suojakontrollit sinne, missä niitä eniten tarvitaan.

      network_node

      Operatiivinen tehokkuus

      Prosessien systematisointi ja dokumentointi vähentää päällekkäistä työtä ja poistaa tehottomuuksia. Selkeät toimintamallit nopeuttavat päätöksentekoa ja vähentävät virheitä tietoturvaan liittyvissä tilanteissa.

      Sertifiointiprosessi

      Miten ISO 27001 -sertifiointi etenee käytännössä?

      • Suunnittelu

        Haastattelut ja asiakkaalta tarvittavat dokumentit sovitaan jo suunnitteluvaiheessa, jotta projektin eteneminen ei viivästy.

      • Esiauditointi

        Esiauditointivaiheessa huomioidaan, että sertifioinnin kohteella on riittävät ja vaatimukset täyttävät prosessit sekä sitä tukeva dokumentaatio. 

      • Sertifiointi

        Sertifiointiauditoinnissa varmistetaan hallintajärjestelmän tehokas ja vaatimustenmukainen implementointi sertifioitavan kohteen luona.

      • Jatkuva seuranta

        Seuranta-auditoinneissa varmistetaan, että hallintajärjestelmä toimii tehokkaasti myös sertifiointiauditointien välillä.

      Hallintajärjestelmän rakentaminen

      Tyypillisesti 6-18 kk riippuen organisaation koosta ja valmiustasosta

      Esiauditoinnista sertifikaattiin

      Sertifikaatti toimitetaan pääsääntöisesti 2kk - 5kk välillä esiauditoinnin aloittamisesta, riippuen asiakkaan kanssa sovittavasta aikataulutuksesta.

      Sertifikaatti voimassa

      Kolme vuotta

      Miksi valita KPMG?

      FINAS-akkreditoitu. Traficomin hyväksymä. Riippumaton. 

      article

      Kaikki sertifioinnit yhdeltä toimijalta

      Ei tarvetta vaihtaa toimijaa standardista toiseen.

      Sertifioimme seuraavia standardeja:

      • ISO/IEC 27001 tietoturvan hallintajärjestelmä
      • Laajennukset: ISO/IEC 27017 (pilvipalvelujen turvallisuus), ISO/IEC 27018 (henkilötietojen suoja pilvessä)
      • ISO/IEC 27701 (PIMS), ISO/IEC 22301 (jatkuvuus), ISO/IEC 42001 (tekoälyn hallintajärjestelmä)
      • Viranomaisvaatimukset: Katakri 2020Kanta- ja Findata‑auditoinnit
      • ISO/IEC 9001:2015 -standardiin perustuvat laadunhallintajärjestelmät IT-palvelunhallinnan, IT-palvelutuotannon ja sovelluskehityksen toimialoille
      gavel

      Virallinen arviointilaitos

      Toimimme FINAS-akkreditoituna sertifiointielimenä ja Traficomin hyväksymänä tietoturvallisuuden arviointilaitoksena – riippumattomasti ja jatkuvan viranomaisvalvonnan alaisena.

      enhanced_encryption

      Turvallisuusluokka II

      Oma tiedonkäsittelymme on hyväksytty Turvallisuusluokalle II. Asiakastietosi käsitellään vaatimusten mukaisessa ympäristössä koko sertifiointiprosessin ajan.

       

      diversity_3

      Vankka asiantuntemus

      Useamman kymmenen vuoden kokemus eri toimialoilla toimivien yksityisten ja julkisten organisaatioiden sertifiointitarpeista.

      Lue lisää osaamisestamme

      KPMG auttaa organisaatioita vahvistamaan tietoturvaa, täyttämään NIS2‑vaatimukset ja hallitsemaan kyberriskejä. Tutustu tietoturvapalveluihimme, jotka tukevat liiketoiminnan jatkuvuutta ja suojaavat kriittistä dataa.
      Lue lisää

      Viranomaisauditoinnit , ISO-sertifioinnit ja varmennelausunnot parantavat organisaatiosi tehokkuutta ja riskienhallintaa.
      Lue lisää

      Varmista tietoturvasi vaatimustenmukaisuus.
      Lue lisää

      Kyberkestävyyssäädös koskee kaikkia digitaalisia elementtejä sisältäviä tuotteita.
      Lue lisää
      UKK

      Iso 27001 -sertifiointi

      ISO/IEC 27001 on kansainvälinen standardi tietoturvallisuuden hallintajärjestelmälle (ISMS, Information Security Management System). Se määrittelee vaatimukset, joiden mukaan organisaatio tunnistaa, arvioi ja hallitsee tietoturvariskejä systemaattisesti. Standardi koskee kaikkia organisaation tietoja niiden muodosta riippumatta.

      NIS2-direktiivi edellyttää keskeisiltä ja tärkeiltä toimijoilta riittäviä tietoturvatoimenpiteitä ja riskienhallintaa. ISO 27001 -sertifiointi kattaa suoraan NIS2:n edellyttämät tekniset ja hallinnolliset toimenpiteet ja on käytännössä tehokkain tapa osoittaa vaatimustenmukaisuus.

      ISO 27001 -sertifioinnin yhteydessä voidaan arvioida ISO/IEC 27017 (pilvipalveluiden tietoturva) ja ISO/IEC 27018 (henkilötietojen suojaaminen julkisissa pilvipalveluissa). Lisäksi ISO 27701 (tietosuoja/PIMS), ISO 22301 (jatkuvuus) ja ISO 42001 (tekoälyn hallinta) voidaan integroida samaan auditointiprosessiin.

      Kyllä. ISO 27701 rakentuu ISO 27001:n päälle ja se voidaan sertifioida integroituna laajennuksena. Integroitu auditointi on kustannustehokkaampi kuin kaksi erillistä auditointia, koska suuri osa vaatimuksista ja prosesseista on yhteisiä.

      Valmis aloittamaan ISO 27001 -sertifioinnin?


      Ota yhteyttä, arvioimme lähtötilanteesi ja ehdotamme sopivimman etenemispolun organisaatiollesi. 



      Tutustu asiantuntijoihimme

      Olli Knuuti
      Olli Knuuti

      Information Security Assessments

      KPMG in Finland

      Antti Laurila

      Cyber Advisory

      KPMG in Finland

      Lauri Kaipainen

      Cyber Advisory

      KPMG in Finland