Auditoinnin tarkoitus on antaa riippumaton arvio tietoturvallisuuden nykytilasta
Tietoturvallisuusauditoinnin avulla voidaan saada kokonaisnäkemys tietoturvallisuuden olennaisista riskeistä. Auditointi kohdistuu asiakkaan liiketoiminnalle olennaisiin järjestelmiin, tietoverkkoon tai toimintaprosessiin.
Auditoinnista saatavan tiedon avulla riskienhallintaa voidaan kehittää ja kohdentaa tietoturvallisuusinvestointeja tarkemmin. Auditointi tehdään haastattelemalla vastuuhenkilöt, tutustumalla soveltuvin osin dokumentaatioon sekä tarkastamalla tekniset kohdejärjestelmät. Tehdyn työn pohjalta annetaan riippumaton arvio tietoturvallisuuden nykytilasta.
Auditoinnin onnistumisessa keskeisellä sijalla on työtä tekevän asiantuntijan vahva työkokemus. Voit tutustua täällä projekteihimme.
Riippumaton auditoinnin suorittaminen
Auditoinnin riskiarvio
Havaintojen pohjalta tehtävä riskiarvio perustuu JRComplexin käyttämään riskiluokitukseen ja soveltuvin osin seuraaviin lähteisiin:
Standardit
Valtionhallinnon tietoturvallisuuden ohjeistukset (Vahti)
CERT turvallisuussuositukset
Tietoturvapolitiikat, ohjeistukset ja tavoitemäärittelyt
Lakisääteiset vaatimukset
Arvioinneissa painotetaan asiantuntijan kokemusta vastaavien ympäristöjen turvallisuusratkaisuista sekä tietoturvallisuusalan ns. ”best practise” suosituksia.
Tietoturvariskin todennäköisyys
Tarkastuksessa mahdollisesti havaitun tietoturvariskin todennäköisyyden arvio perustuu asiantuntijan kokemukseen vastaavien riskien toteutumasta vastaavissa tilanteissa ja ympäristöissä.
Riskiarvioinnissa huomioidaan riskiin vaikuttavien mahdollisten kompensoivien kontrollien vaikutus esim. riski olemassa, mutta tehokas valvonta mahdollistaa tietoturvapoikkeaman tehokkaan havaitsemisen ja siten pienentää tai rajoittaa riskiä.
Jokaisesta tarkastuksessa havaitusta riskistä annetaan suositus, jolla riskiä voidaan pienentää.
Suositus perustuu tarkastajan kokemukseen vastaavien riskien hallinnasta, sekä asiakkaan vastuuhenkilöiden haastatteluihin.
Tarkenna auditoinnin kohde
Auditointiprojektin sisältö
Auditoinnin tehokkuuden maksimoimiseksi asiakkaalle suositellaan auditoinnin tarkkaa kohdentamista, esim.
Tietty palvelu ja järjestelmä
Tietyn datan tai informaation käsittely
Tietty tietoturvallisuuteen olennaisesti vaikuttava prosessi, esim. poikkeamien havaitseminen
Vastuuhenkilöiden tietoturvaosaaminen ja tietoisuus
Teknisiin ratkaisuihin liittyvät olennaiset riskit
Auditointiprojekti
Tarkastuksessa huomioidaan
Tietoturvadokumentaatio on olemassa ja asianmukainen
Käytännön menettelytapoihin ei sisälly merkittäviä riskejä
Vastuualueet ja toimintaohjeet ovat selkeät
Tietoturvallisuuden hallintaan on olemassa riittävät työvälineet, resurssit ja tekniset mahdollisuudet
Tietoturvallisuusosaaminen on riittävää
Käytännön menettelytavat vastaavat tavoitteita ja tietoturvaohjeistuksia
Tietoturvallisuuden hallinta on järjestelmällistä ja säännöllistä
Tietoturvallisuuden testaaminen on systemaattista
Tietoturvallisuusvalvonta pystyy havaitsemaan määritellyt tietoturvatapahtumat
Tietoturvatapahtumien raportointi on systemaattista ja selkeää