Mihin standardeihin nämä politiikat on yhdenmukaistettu?

Kokonaisuus on kartoitettu ISO/IEC 27001:2022- ja ISO/IEC 27002:2022 -standardeihin sekä GDPR:ään, EU NIS2:een, DORA:an, NIST SP 800-53 Rev.5:een, COBIT 2019:ään ja muihin.

Mitkä roolit on huomioitu?

Ylin johto, tietoturvajohtaja (CISO), vaatimustenmukaisuus, IT, henkilöstöhallinto, laki- ja vaatimustenmukaisuus, riskienhallinta, prosessinomistajat, koko henkilöstö sekä kolmannen osapuolen toimittajat on huomioitu koko kokonaisuudessa.

Sopiiko tämä kokonaisuus sekä IT- että ei-IT-toiminnoille?

Kyllä. Politiikat sisältävät IT-, operatiiviset, henkilöstöhallinnon, laki- ja vaatimustenmukaisuuden sekä liiketoimintaprosessit, eivät pelkästään teknologiset hallintakeinot.

Kattaako kokonaisuus jatkuvan parantamisen ja auditoinnin?

Kyllä. Kokonaisuus sisältää politiikat auditointiin, vaatimustenmukaisuuden jatkuvaan seurantaan, päivityksiin, CAPA-toimintoihin sekä poikkeaman jälkiarviointiin.

Onko poikkeukset ja riskin hyväksyminen standardoitu?

Poikkeusten ja riskin hyväksymisen hallinta on määritelty jokaisessa politiikassa, ja se edellyttää muodollista katselmointia sekä säännöllistä uusimista.

Täysi yrityspaketti (P01–P37)

Yleiskatsaus

Tämä kattava kokonaisuus sisältää 37 yritystason tietoturva-, tietosuoja- ja riskienhallintapolitiikkaa, jotka on yhdenmukaistettu ISO/IEC 27001:2022:n, globaalien sääntelyvaatimusten ja alan parhaiden käytäntöjen vaatimusten kanssa. Kokonaisuus kattaa johtamisen, IT:n, laki- ja vaatimustenmukaisuuden, operatiiviset toiminnot, auditoinnin, toimittajat, pilven, tietoturvapoikkeamiin reagoinnin, liiketoiminnan jatkuvuuden/katastrofipalautuksen (BCP/DR) ja paljon muuta. Suunniteltu tuottamaan täyden soveltamisalan vaatimustenmukaisuus, auditointivalmius ja tuki jatkuvan parantamisen toiminnalle.

Päästä päähän -vaatimustenmukaisuusviitekehys

Kattaa kaikki ISO 27001:2022 -lausekkeet, globaalit sääntelyvaatimukset sekä kaikki kriittiset IT-, tietoturva- ja liiketoiminta-alueet.

Auditointi- ja sertifiointivalmis

Auditoitavat hallintakeinot ja vaatimuskartoitukset ISO-, NIS2-, DORA-, GDPR- ja muihin viitekehyksiin.

Osastojen välinen kattavuus

Sisältää politiikat IT:lle, tietoturvalle, riskienhallinnalle, vaatimustenmukaisuudelle, laki- ja vaatimustenmukaisuudelle, henkilöstöhallinnolle, operatiivisille toiminnoille sekä kolmansien osapuolten hallinnalle.

Politiikkojen hallintotapa ja elinkaari

Määrittelee roolit, vastuut, versionhallinnan ja jatkuvan parantamisen prosessit.

Täytäntöönpano- ja poikkeusstandardit

Rakenteinen eskalointi, kurinpitotoimet ja riskiperusteiset poikkeustyönkulut kaikilla osa-alueilla.

Lue koko yleiskatsaus

Täysi yrityspaketti (P01–P37) on tiukasti jäsennelty, versionhallittu 37 tietoturva- ja riskienhallintapolitiikan kokonaisuus, joka kattaa kaikki ISO/IEC 27001:2022 -sertifiointiin ja jatkuvaan vaatimustenmukaisuuteen tarvittavat ydin-, tuki- ja erikoistoiminnot johtavien kansainvälisten standardien ja sääntelyvaatimusten (GDPR, EU NIS2, DORA, NIST, COBIT ja muut) mukaisesti. Jokainen politiikka noudattaa yhtenäistä rakennetta: se kuvaa tarkoituksen, ISMS:n soveltamisalan (osasto-, järjestelmä- tai prosessipohjaisesti), tavoitteet, yksityiskohtaiset roolit ja vastuut, hallintotavan, käyttöönoton ja teknologiset hallintakeinot -vaatimukset, riskien käsittely- ja poikkeusprosessit, täytäntöönpano- ja kurinpitomekanismit, katselmointi- ja päivitysvaatimukset sekä eksplisiittiset kartoitukset standardeihin ja sääntelylausekkeisiin. Tukevien politiikkojen ja prosessidokumentaation ristiinviittaukset on kuvattu, mikä varmistaa jäljitettävyyden ja yhtenäisen tietoturvallisuuden hallintajärjestelmän rakenteen. Politiikat käsittelevät kaikki yritystason turvallisuuden ulottuvuudet: strategisesta ISMS-hallintotavasta (P1–P2) käyttäytymiseen ja pääsynhallintakontrolleihin (P3–P7), omaisuudenhallintaan, tietosuojaan ja tiedon luokitteluun, aina edistyneisiin teknisiin aiheisiin kuten kryptografia, haavoittuvuuksien hallinta, turvallinen kehittäminen, toimittaja-/kolmansien osapuolten riskit, pilvi, operatiivisen teknologian (OT) järjestelmät ja IoT-järjestelmät, tietoturvapoikkeamiin reagointi, auditointinäytön hallinta sekä liiketoiminnan jatkuvuus/katastrofipalautus (BCP/DR). Erikoiskattavuus sisältää sosiaalisen median/ulkoisen viestinnän, mobiilin/omien laitteiden käytön (BYOD), forensiikan sekä auditointi- ja laki-/sääntelyvaatimusten noudattamisen. Rakenne edellyttää jatkuvaa katselmointia (vähintään vuosittain tai poikkeamien, auditointihavaintojen tai sääntelymuutosten seurauksena), nimeää politiikan omistajat (tietoturvajohtaja (CISO), laki- ja vaatimustenmukaisuus, ylin johto, prosessitason omistajat) ja integroi jatkuvan parantamisen ja CAPA-menettelyt. Jokainen politiikka mahdollistaa riskiperusteiset poikkeukset ja edellyttää, että ne dokumentoidaan, perustellaan, riskien arvioinnilla arvioidaan, hyväksytään, kirjataan lokiin ja vuosittaisella uudelleenvalidoinnilla tai kiintein väliajoin (neljännesvuosittain, puolivuosittain tai automatisoitujen herätteiden perusteella) validoidaan uudelleen. Vaatimustenvastaisuus voi johtaa korjaaviin toimenpiteisiin, käyttöoikeuksien perumiseen, kurinpitotoimiin, työsuhteen päättämiseen, laki- ja sääntelyasioiden eskalointiin tai sopimuksen keskeyttämiseen (kolmansille osapuolille). Auditointi, vaatimustenmukaisuuden jatkuva seuranta, auditointinäytön hallinta ja forensiikka on eksplisiittisesti kodifioitu, mikä tukee sekä sisäisiä että ulkoisia sertifiointeja, viranomaistarkastuksia ja tutkintoja. Kaikki tekniset politiikat viittaavat vaatimuksiin tarkastuslokituksesta, tietoturvatyökalujen integraatioista (esim. SIEM, MDM-vastaavat kontrollit, haavoittuvuusskannaukset, CSPM), poikkeamien/hälytysten käsittelystä sekä tietojen säilytyspolitiikan vaatimuksista. Koko kokonaisuuden läpi toistuvat teemat korostavat jatkuvan parantamisen toimintaa, puolustettavuutta ja kaikkien kontrollitoimintojen jäljitettävyyttä, täysin ISO/IEC 27001:2022 -standardin painotuksen mukaisesti (operatiivinen integraatio, toimivalta ja vastuuvelvollisuus sekä rakenteinen riskienhallintakehys). Kytkennät liiketoiminta-, laki- ja tietosuojavaatimuksiin (kuten GDPR, DORA) sekä operatiivisiin yksiköihin varmistavat, ettei synny siiloja tai aukkoja. Politiikat viittaavat ja operationalisoivat keskeisiä käsitteitä kuten vähimmän etuoikeuden periaate, politiikkojen elinkaaren hallinta, tehtävien eriyttäminen sekä tietoturvatietoinen käyttäytyminen. Täysi yrityspaketti on suunniteltu maksimoimaan sertifiointivalmius, jatkuva vaatimustenmukaisuus ja resilienssi dynaamisissa riski- ja sääntely-ympäristöissä, ja jokainen politiikka on kartoitettu sovellettaviin viitekehyksiin ja valmis koko organisaation käyttöönottoon.

Sisältö

Täysi ISMS-kattavuus: P1–P37

Laki-/sääntely- ja tietosuojahallintakeinot

Omaisuus-, pilvi-, toimittaja- ja kehityspolitiikat

Auditointi ja vaatimustenmukaisuuden jatkuva seuranta (ISMS, GDPR, NIS2, DORA)

Tietoturvapoikkeamiin reagointi, forensiikka, BCP/DR

Mobiili-, etätyö-, sosiaalinen media- ja IoT/OT-tietoturva

Kehysmääräysten noudattaminen

Kehys	Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022	4.2 5.1 5.2 5.3 5.10 6.1 6.2 7.2 7.3 8.1 8.32 9.1 9.2 9.3 10.1
ISO/IEC 27002:2022	5.1 5.2 5.3 5.5 5.7 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 6.1 6.2 6.3 6.5 6.7 7.7 8.1 8.2 8.3 8.11 8.12 8.13 8.15 8.16 8.17 8.20 8.21 8.22 8.24 8.25 8.26 8.27 8.28 8.29 8.30 8.31 8.32 8.33
NIST SP 800-53 Rev.5	AC-1 AC-2 AC-4 AC-5 AC-6 AC-8 AC-17 AC-19 AU-2 AU-6 AU-8 AU-9 AU-12 BAI03 BAI05 BAI07 CA-2 CA-3 CA-5 CA-7 CM-2 CM-6 CP-1 CP-2 CP-9 CP-10 DSS01 DSS02 DSS04 DSS05 DSS06 IA-1 IA-2 IA-4 IA-5 IR-1 IR-4 IR-5 IR-6 IR-9 MEAO1 MEA03 MP-5 MP-6 PL-1 PL-2 PL-4 PL-8 PM-1 PM-5 PM-11 PM-13 PM-21 PM-23 PS-4 PS-5 PS-7 PT-2 PT-3 RA-3 RA-5 R-1 SA-3 SA-4 SA-9 SA-9(5)SA-10 SA-11 SA-15 SC-7 SC-12 SC-12(3)SC-13 SC-17 SC-28 SC-28(1)SC-32 SC-45 SI-2 SI-3 SI-4 SI-10 SR-3 SR-5
EU GDPR	Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78
EU NIS2	Article 15 Article 20 Article 21 Article 21(2)Article 21(3)Article 23 Article 27
EU DORA	Article 5 Article 5(2)Article 6 Article 6(2)(d)Article 8 Article 9 Article 9(2)Article 10 Article 10(1)Article 10(2)(e)Article 10(2)(f)Article 11 Article 11(1)(c)Article 12 Article 13 Article 15 Article 16 Article 17 Article 17(1)Article 17(3)Article 19 Article 25 Article 28 Article 28(1)Article 28(2)Article 30
COBIT 2019	APO01 APO07 APO09 APO10 APO12 APO13.02 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09.01 DSS01 DSS01.03 DSS01.04 DSS01.05 DSS01.07 DSS02 DSS04 DSS05 DSS05.01 DSS05.02 DSS05.04 DSS06.06 MEA01 MEA03
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Kehys

Katetut lausekkeet / Kontrollit

ISO/IEC 27001:2022

4.2 5.1 5.2 5.3 5.10 6.1 6.2 7.2 7.3 8.1 8.32 9.1 9.2 9.3 10.1

ISO/IEC 27002:2022

5.1 5.2 5.3 5.5 5.7 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 6.1 6.2 6.3 6.5 6.7 7.7 8.1 8.2 8.3 8.11 8.12 8.13 8.15 8.16 8.17 8.20 8.21 8.22 8.24 8.25 8.26 8.27 8.28 8.29 8.30 8.31 8.32 8.33

NIST SP 800-53 Rev.5

EU GDPR

Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78

EU NIS2

Article 15 Article 20 Article 21 Article 21(2)Article 21(3)Article 23 Article 27

EU DORA

COBIT 2019

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Liittyvät käytännöt

Aikasynkronointipolitiikka

Varmistaa tarkan ajanpidon, lokien korreloinnin ja tapahtumien jäljitettävyyden kaikissa ympäristöissä.

Turvallisen kehittämisen politiikka

Määrittelee turvalliset SDLC-prosessit, koodauskäytännöt ja koodikatselmointivelvoitteet ohjelmisto- ja järjestelmäkehitykselle.

Hallintotavan roolit ja vastuut -politiikka

Määrittelee tässä asiakirjassa viitatun hallintorakenteen ja toimivaltahierarkian.

Puhtaan pöydän ja puhtaan näytön käytäntö

Määrittää hallintakeinot arkaluonteisten tietojen suojaamiseksi edellyttämällä asiakirjojen ja työasemien turvallista käsittelyä.

Päätelaitesuojaus ja haittaohjelmien torjunta -politiikka

Edellyttää teknisiä haittaohjelmasuojaushallintakeinoja ja laitteiden koventamistoimia päätelaitteille ja mobiililaitteille.

Auditointi ja vaatimustenmukaisuuden jatkuva seuranta -politiikka

Kuvaa auditointivaatimukset, aikataulut, CAPA-seurannan ja auditointinäytön säilytyksen sisäistä ja ulkoista vaatimustenmukaisuutta varten.

P01 Tietoturvapolitiikka

Määrittää kokonaisvaltaisen tietoturvaohjelman ja kuvaa johdon vastuut politiikan hyväksynnästä ja strategisesta valvonnasta.

Hyväksyttävän käytön politiikka

Varmistaa tietoturvatietoinen käyttäytyminen ja tietovarallisuuden hyväksyttävän käsittelyn.

Pääsynhallintapolitiikka

Operationalisoi tästä yläpolitiikasta johdetut pääsynhallintakontrollit.

P05 Muutoksenhallintapolitiikka

Varmistaa, että hallintorakenteisiin, rooleihin tai vastuisiin kohdistuvat muutokset ovat dokumentoidun hyväksynnän ja muutoksiin liittyvän riskinarvioinnin piirissä.

Riskienhallintapolitiikka

Tarjoaa riskiperusteisen kontekstin hallintakeinojen valintaan ja jäännösriskin hyväksyntäpäätöksiin.

Perehdytys- ja työsuhteen päättämispolitiikka

Varmistaa kontrollien myöntämis- ja käyttöoikeuksien perumisprosessit henkilöstön elinkaaren muutoksissa.

Tietoturvatietoisuus- ja koulutuspolitiikka

Varmistaa, että henkilöstö tuntee tietoturvavastuunsa ja saa tietovarallisuuden suojaamiseen tarvittavan koulutuksen.

Etätyöpolitiikka

Laajentaa hyväksyttävän käytön politiikan vaatimukset etä- ja hybridityöympäristöihin.

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka

Ohjaa käyttöoikeuksien myöntämis- ja käyttöoikeuksien poistamistoimintojen teknologiset hallintakeinot käyttäjien käyttöoikeuksien hallinnan tuen osana.

Omaisuudenhallintapolitiikka

Tukee laitteiden ja tallennusvälineiden seurantaa ja turvallista käsittelyä sekä kytkee omaisuuden luokittelun hallintakeinoihin.

Tietojen luokittelu- ja merkintäpolitiikka

Määrittää pakolliset luokittelusäännöt omaisuuserille, jotka ohjaavat merkintää, käsittelyä ja hävitysmenetelmämenettelyjä.

Tietojen säilytys- ja hävityspolitiikka

Määrittää säilytys- ja turvallisen hävityksen vaatimukset tallenteille ja varmistaa lakisääteisten velvoitteiden ja liiketoimintatarpeiden noudattamisen.

Varmuuskopiointi- ja palautuspolitiikka

Määrittää vaatimukset varmuuskopiointijärjestelmien ja katastrofipalautusympäristöjen toiminnoille operatiivisen resilienssin ja eheyden vaatimusten tueksi.

Tietojen maskaus- ja pseudonymisointipolitiikka

Varmistaa maskaus- ja pseudonymisointipäätökset tietosuojavaatimustenmukaisuuteen ja riskien vähentämiseen.

Tietosuoja- ja tietosuojapolitiikka

Tarjoaa perustason tietosuojavaatimukset ja integroi sisäänrakennetun tietoturvan periaatteen toimintoihin.

Kryptografisten hallintakeinojen politiikka

Kuvaa salaus-, avaintenhallinta- ja kryptografiavaatimukset kaikille yrityksen järjestelmille ja tietotiloille.

Haavoittuvuuksien ja korjauspäivitysten hallintapolitiikka

Määrittää vaatimukset järjestelmäpaikkaustoiminnalle, korjaaville toimenpiteille, palvelutasosopimusten (SLA:t) tasoille ja haavoittuvuuksien hallintatoiminnalle teknisen resilienssin varmistamiseksi.

Verkkoturvallisuuspolitiikka

Määrittää vaatimukset sisäisten ja ulkoisten verkkojen suojaamiseksi ja turvallisen viestinnän varmistamiseksi.

Lokitus- ja valvontapolitiikka

Määrittää lokien tuottamisen, seurantatoiminnot ja keskitetyt hälytysvaatimukset kaikille ISMS:n soveltamisalan järjestelmille.

Sovellustietoturvavaatimusten politiikka

Edellyttää tekniset vaatimukset sovelluskerroksen tietoturvalle, todennustoiminnoille ja turvalliselle integraatiolle.

Kolmannen osapuolen ja toimittajien tietoturvapolitiikka

Määrittää tietoturvavaatimukset turvallisten suhteiden perustamiseen, hallintaan ja ylläpitoon kolmannen osapuolen toimittajien ja kolmannen osapuolen palveluntarjoajatoimijoiden kanssa.

Pilven käyttöpolitiikka

Määrittää vaatimukset pilvilaskentapalvelujen ja -alustojen toimintojen turvalliseen, vaatimustenmukaiseen ja vastuulliseen käyttöön.

Ulkoistetun kehityksen politiikka

Edellyttää SDLC-käytännöt, sopimuslausekkeet ja koodin tietoturvavelvoitteet kaikelle ulkoisten toimittajien toteuttamalle ohjelmisto-/järjestelmäkehitykselle.

Testidatan ja testiympäristön politiikka

Määrittää vaatimukset testiympäristöjen ja testidatan hallintaan luottamuksellisuus-, eheys- ja operatiivisten vaatimusten varmistamiseksi.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Määrittää rakenteen ja prosessit poikkeamien havaitsemis- ja eskalointitoiminnoille, poikkeamien raportointitoiminnoille, poikkeamien luokittelu- ja priorisointitoiminnoille sekä poikkeaman jälkiarviointitoiminnoille.

Todisteiden keruun ja forensiikan politiikka

Määrittää menettelyt digitaalisen auditointinäyttöaineiston keruulle, säilytykselle ja laki- ja vaatimustenmukaisuusketjulle (chain-of-custody).

Liiketoiminnan jatkuvuuden ja katastrofipalautuksen politiikka

Määrittää organisatoriset hallintakeinot jatkuvuuden, resilienssin sekä katastrofipalautuksen suunnitteluun ja toteutukseen.

Mobiililaitteiden ja BYOD:n politiikka

Määrittää hallintakeinot mobiililaitteiden ja omien laitteiden käytön (BYOD) käytölle yrityksen järjestelmiin ja tietoihin pääsyssä.

IoT- ja OT-tietoturvapolitiikka

Määrittää tekniset ja hallintotapavaatimukset IoT-järjestelmien ja operatiivisen teknologian (OT) järjestelmien kokonaisuuksille operatiivisen tai kyberkompromissin estämiseksi.

Sosiaalisen median ja ulkoisen viestinnän politiikka

Määrittää vaatimukset ja rajoitukset ulospäin suuntautuvalle viestinnälle, julkisille viesteille ja virallisille lausunnoille.

Laki- ja sääntelyvaatimusten noudattamisen politiikka

Määrittää organisaation lakisääteisten velvoitteiden, sääntelyvelvoitteiden ja sopimuksenmukaisuuden viitekehyksen sekä integraation ISMS-toimintoihin.

Tietoa Clarysecin käytännöistä - Täysi yrityspaketti (P01–P37)

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä sanoja; se vaatii selkeyttä, vastuuvelvollisuutta ja rakennetta, joka skaalautuu organisaatiosi mukana. Geneeriset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Osoitamme vastuut nykyaikaisessa yrityksessä esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat toimikunnat, mikä varmistaa selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida tiettyjä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva vaatimustenmukaisuus riskienhallinta Sisäinen tarkastus laki- ja vaatimustenmukaisuus Ylin johto hankinta hallintotapa Toimittajahallinta

🏷️ Aiheen kattavuus

P01 Tietoturvapolitiikka roolit ja vastuut riskienhallinta turvallinen järjestelmäkehityksen elinkaari (SDLC) kolmansien osapuolten riskienhallinta vaatimustenmukaisuuden hallinta liiketoiminnan jatkuvuuden hallinta tietoturvaoperaatiokeskus (SOC) tietoturvatestaus tietoturvan KPI-mittarit johdon sitoutuminen laki- ja vaatimustenmukaisuus tietoturvan hallinto