Tietoturvapolitiikka – SME

Tämä tietoturvapolitiikka (P01S) on pk-yrityksille suunnattu kyberturvallisuuden hallintakehys, joka on laadittu organisaatioille, joilta puuttuvat omistautuneet IT-tiimit tai erikoistuneet tietoturvaroolit. Sen ensisijainen tarkoitus on osoittaa organisaation sitoutuminen asiakas- ja liiketoimintatietojen suojaamiseen täytäntöönpantavien, käytännöllisten toimenpiteiden avulla. Politiikka on suunniteltu selkeillä, yksinkertaistetuilla vastuilla ja nimeää toimitusjohtajan tai nimetyn delegoidun vastuuvelvolliseksi kaikissa tietoturvaan liittyvissä asioissa. Tämä lähestymistapa mahdollistaa pienemmille yrityksille vahvat kontrollit, rakenteen ja vastuuvelvollisuuden sekä tukee suoraa ISO/IEC 27001:2022 -vaatimustenmukaisuutta. Tämän politiikan soveltamisala on tarkoituksella laaja ja kattaa kaikki henkilöt, yritysomistajat, toimitusjohtajat, työntekijät, urakoitsijat ja myös kolmannen osapuolen palveluntarjoajat, jotka käyttävät tai hallinnoivat organisaation tietoja ja järjestelmiä. Kaikki ympäristöt, mukaan lukien toimisto-, etä- ja pilviympäristöt, sisältyvät, samoin kuin kaikki tietovarallisuuden tyypit digitaalisista fyysisiin tallenteisiin. Politiikka luettelee nimenomaiset tavoitteet, kuten selkeiden vastuiden osoittamisen, asiakas- ja liiketoimintatietojen suojaamisen, turvallisuuden sisällyttämisen liiketoimintaprosesseihin sekä tietoisuus- ja vastuuvelvollisuuskulttuurin kehittämisen ei-teknisen henkilöstön keskuudessa. Yksi politiikan keskeisistä hyödyistä on roolien ja vastuiden käytännöllinen jäsentely. Pk-yrityksissä, joissa roolit usein limittyvät, toimitusjohtaja tai yritysomistaja on vastuuvelvollinen tietoturvatuloksista ja varmistaa valvonnan myös silloin, kun tehtäviä delegoidaan. Nimetyt työntekijät tai ulkoiset IT-palveluntarjoajat voivat hoitaa päivittäisiä tietoturvatoimia, mutta valvonta pysyy keskitetysti toimitusjohtajalla, mikä varmistaa politiikan yhdenmukaisuuden ja toiminnan johdonmukaisuuden. Politiikan osiot käsittelevät hallintotavan keskeisiä vaatimuksia, kuten säännölliset tietoturvakatselmukset (vähintään vuosittain), delegoinnin dokumentointi, ulkoisten palveluntarjoajien hallintotapa sekä vaatimukset poikkeamien välittömälle eskaloinnille toimitusjohtajalle. Politiikan toteutus edellyttää tietoturvatietoisuutta koko henkilöstöltä ja korostaa vahvoja salasanoja, turvallista tietojen käsittelyä, poikkeamien raportointia sekä perustason kontrollien, kuten varmuuskopiointijärjestelmien ja virustorjunnan päivitysten, soveltamista. Toimitusjohtajan on säännöllisesti varmistettava ja dokumentoitava näiden kontrollien noudattaminen. Riskiosio edellyttää yksinkertaisia, rutiininomaisia riskien arviointeja ja sallii dokumentoidut poikkeukset, edellyttäen että ne hyväksytään ja katselmoidaan vuosittain. Täytäntöönpano on selkeä: pakollinen noudattaminen koko henkilöstölle ja kolmansille osapuolille sekä määritelty vaste rikkomuksiin. Toimitusjohtajan tehtävänä on myös johtaa vuosittainen politiikan katselmointi ISO/IEC 27001 -yhteensopivuuden ylläpitämiseksi ja viestiä päivityksistä viipymättä koko organisaatiossa. Huomionarvoista on, että SME-politiikkana (johon viittaa P01S:n 'S' ja toimitusjohtajan rooli) tämä asiakirja on mukautettu yrityksille ilman tietoturvajohtajaa (CISO), tietoturvaoperaatiokeskusta (SOC) tai erikoistunutta IT-henkilöstöä, mutta se varmistaa silti ISO/IEC 27001:2022 -vaatimustenmukaisuuden. Se kytkeytyy tiiviisti muihin SME-politiikkoihin hallintotavan, pääsynhallinnan, tietoturvatietoisuuden, tietosuojan ja tietoturvapoikkeamiin reagoinnin osalta ja korostaa, että täysi sertifiointi ja tietoturvallisuuden kypsyystaso voidaan saavuttaa myös pienemmissä organisaatioissa toteuttamalla jäsenneltyjä, saavutettavia ja dokumentoituja politiikkoja.