Takaisin

Trivore rakensi auditoitavan tietoturvajohtamisjärjestelmän

Kun asiakkaiden ja lainsäädännön vaatimukset kiristyivät, identiteetinhallinnan asiantuntija Trivore Oy tarvitsi selkeän polun auditoitavan tietoturvan rakentamiseen.
Nuolia jotka lähtevät keskeltä kuvaa ulospäin. Keskellä sormenjälki. Kuva rasteroitu.
Päiväys
Toimitettu palvelu Tietoturva

Tietoturvajohtamisjärjestelmä, jota asiakkaat vaativat

Tietoturvajohtamisjärjestelmä on yritysjohdon työkalu järjestelmällisen ja laadukkaan tietoturvallisen yrityksen rakentamiseksi. Trivore Oy toimii yhteiskunnan luottamuksen kannalta kriittisellä alalla tarjoten identiteetinvarmistus- ja tunnistautumispalveluita. Yrityksellä oli jo kokemusta laatujärjestelmistä ISO 9001 -sertifioinnin myötä, joten prosessimainen ja laadukas toimintatapa oli osa yrityksen arkea ja johtamiskulttuuria. Tästä huolimatta asiakkaiden tiukentuvat vaatimukset ja uusi lainsäädäntö edellyttivät seuraavaa askelta: johdonmukaista ja todennettua tietoturvan hallintaa.

..asiakkaiden tiukentuvat vaatimukset ja uusi lainsäädäntö edellyttivät seuraavaa askelta: johdonmukaista ja todennettua tietoturvan hallintaa.

Trivoren johto tunnisti uuden tarpeen useiden asiakkaiden pyynnöistä: ei riittänyt, että tietoturva oli hyvällä tasolla, vaan sen taso oli myös pystyttävä osoittamaan kattavalla dokumentaatiolla ja prosesseilla. Isompien toimitusten saamiseksi oli oltava näyttö tietoturvan tasosta. Vaatimukset tulivat kyberturvallisuuslaista, julkisasiakkaiden salaisten tietojen käsittelyä koskevasta Katakrista sekä yleistyneestä ISO 27001 -standardista.

Syksyllä 2024 Trivoren johto asetti tavoitteeksi sertifiointivalmiuden saavuttamisen vuoden 2025 aikana. Tämä tarkoitti sellaisen tietoturvan johtamisjärjestelmän (ISMS) rakentamista, joka täyttäisi samanaikaisesti niin ISO 27001 -standardin, Katakri 2020 -vaatimusten kuin uuden kyberturvallisuuslain (NIS2) asettamat velvoitteet.

”Vaikka ISO 9001 -sertifiointimme on luonut meille vahvan pohjan laadukkaalle toiminnalle, tietoturva on oma maailmansa. Kyse ei ole enää vain prosessien noudattamisesta, vaan jatkuvasta riskien ennakoinnista ja hallinnasta. Halusimme varmistaa, että toimintamme on paitsi turvallista, myös läpinäkyvää ja auditoitavissa korkeimpien standardien mukaisesti.”

Trivoren toimitusjohtaja Mika Aromaa.

Ratkaisu: Järjestelmällinen eteneminen asiantuntijan tuella

Tietoturvajohtamisjärjestelmä, joka yhteensovittaisi lainsäädännön ja useiden standardien vaatimukset, tuntui aluksi haastavalta kokonaisuudelta. Sen sijaan, että Trivore olisi sitonut runsaasti omia resurssejaan ja opetellut vaatimusten yksityiskohtia tyhjästä, he päättivät hankkia ulkopuolisen asiantuntijan varmistamaan projektin etenemisen. Reson valikoitui kumppaniksi auttamaan kattavan tietoturvadokumentaation ja johtamisjärjestelmän rakentamisessa.

Toimeksianto alkoi loppuvuodesta 2024. Alkuperäinen arvio tarvittavasta työstä tarkentui projektin edetessä, kun havaittiin, että vaatimusten täyttämiseksi tarvittavien uusien dokumenttien ja prosessien määrä oli odotettua suurempi. Aktiivisen ja avoimen vuoropuhelun kautta projekti eteni suunnitelmallisesti, vaikka sen laajuus kasvoikin. Aluksi päätettiin täyttää ja auditoida julkishallinnon Katakrin vaatimukset ja siitä edetä ISO 27001 -auditointia kohti.

Tutustu tietoturvapalveluihimme

”Resonin valinnassa painoi heidän asiantuntemuksensa niin juridiikan kuin tietoturvankin osalta. Etsimme kumppania, joka pystyisi viemään projektia järjestelmällisesti eteenpäin. Ulkopuolinen asiantuntija varmisti, että projekti eteni sovitusti ja tarjosi selkeän suunnan hetkinä, jolloin vaatimusten laajuus tuntui haastavalta.”

Yrityksen perustaja Kari Mattsson

Toimeksiannon pääkohdat:

  • Johtamisjärjestelmän perustan luominen: Resonin asiantuntijat auttoivat Trivorea rakentamaan loogisen ja yhtenäisen kokonaisuuden. Tämä kattoi kaikki keskeiset osa-alueet tietoturvapolitiikasta ja riskienhallinnasta aina teknisiin ohjeistuksiin, kuten verkon turvallisuuteen ja lokitukseen.
  • Useiden standardien yhteensovittaminen: Projekti varmisti, että rakennettu järjestelmä on linjassa useiden eri viitekehysten kanssa. Tämä säästää merkittävästi aikaa ja vaivaa tulevaisuudessa, kun samoilla prosesseilla voidaan osoittaa vaatimustenmukaisuus eri sidosryhmille ja auditoijille.
  • Käytännönläheiset ja ylläpidettävät ohjeistukset: Tavoitteena oli luoda selkeitä ja käytäntöön vietäviä ohjeita, jotka tukevat Trivoren päivittäistä toimintaa ja jatkuvaa parantamista. Reson auttoi sitomaan ohjeistuksen seurannan esimerkiksi johdon raportteihin ja avainlukuihin.

Lopputulos: vankka perusta ja sertifiointivalmius

Resonin tuella Trivore on edennyt matkallaan kohti sertifioitua tietoturvajohtamisjärjestelmää. Yrityksellä on nyt olemassa vankka perusta, joka ei ainoastaan täytä lainsäädännön ja asiakkaiden vaatimuksia, vaan myös vahvistaa yrityksen mainetta luotettavana ja tietoturvallisena kumppanina. Kolme merkittävää viitekehystä – NIS2, ISO 27001 ja Katakri – ovat nyt kiinteä osa yrityksen toimintaa. Ensimmäiset auditointikokemukset näyttävät, että yrityksen johtamisjärjestelmän laatu on kohdallaan, vaikka työtä riittää tulevaisuudessakin. Tietoturvan kehittäminen johtamisjärjestelmän avulla on jatkossa kuitenkin johdolle selkeää ja johdonmukaista. Asiakkaille sekä loppukäyttäjille tietoturvajohtamisjärjestelmä tarjoaa turvaa.

Konkreettiset hyödyt ja kasvanut luottamus

Projektin hyödyt ulottuivat sertifiointivalmiutta laajemmalle. Yhteistyö Resonin kanssa vapautti merkittävästi Trivoren omien asiantuntijoiden aikaa, kun valmista mallia ja selkeää projektinjohtoa ei tarvinnut luoda tyhjästä. Samalla prosessi itsessään oli opettavainen: se syvensi sekä johdon että henkilöstön ymmärrystä ja vahvisti luottamusta yhtiön omiin tietoturvaprosesseihin. Tämä antoi myös vahvan viestin eteenpäin. Niille asiakkaille, jotka edellyttivät auditointeja, järjestelmällinen eteneminen osoitti konkreettisesti, että Trivore on sitoutunut ja valmis toimimaan luotettavana kumppanina nyt ja tulevaisuudessa.