Tampereen Tilapalvelut päätti rakentaa tietoturvallisuuden hallintajärjestelmänsä niin kattavaksi, että saisi sille vaativan ja arvostetun kansainvälisen sertifikaatin. Apua prosessiin löytyi Tiera Verkkokaupan kautta. ”Kyllä tuli hyvä fiilis, kun saavutimme työllämme jotain näin konkreettista”, sanoo ICT-päällikkö Antti Räsänen.
Tampereen Tilapalvelut
”Tietoturvallisuus pitää ottaa tosissaan, koska Suomessakin on paljon verkkorikollisuutta ja tietovuotoja. Ja taustalla vaikuttaa EU:n NIS2-direktiivi, joka langettaa suuret sakot laiminlyönneistä”, Tampereen Tilapalvelujen ICT-päällikkö Antti Räsänen sanoo.
Tilapalvelut on Tampereen kaupungin omistama yhtiö, joka suunnittelee ja rakennuttaa julkisia kiinteistöjä sekä ylläpitää ja huoltaa niitä. Yhtiö sai tietoturvallisuuden hallintajärjestelmälleen ISO 27001 -sertifikaatin marraskuussa 2022. Sertifikaatti on omassa lajissaan harvinainen, koska Tampereen Tilapalvelut sai sen koko organisaationsa toiminnasta. Yleensä sertifikaatti haetaan vain tietylle toimintayksikölle.
”Olemme olleet tässä edelläkävijöitä, kuten monessa muussakin toiminnassa. Otimme Teamsinkin todelliseen käyttöön jo paljon ennen koronaa, koska se helpotti liikkuvaa työtämme. Teemme kaikki muutokset aina liiketoiminnan tarpeiden perusteella.”
Sertifikaatti osoittaa, että Tampereen Tilapalvelut täyttää ISO 27001 -standardin tietoturvallisuuden hallinnalle asettamat vaatimukset muun muassa hallitsemalla tietoturvariskejä ja parantamalla tietoturvaa jatkuvasti. Kiwa Inspectan tekemä auditointi kattoi yhtiön rakennushankepalvelut, kiinteistökohteiden johtamisen ja kiinteistöjen ylläpitopalvelut tukitoimintoineen.
”Työ lähti liikkeelle yhtiömme hallituksen puheenjohtajan esityksestä ja toimitusjohtajamme vastuutti työn vetämisen minulle. Sertifikaatin hankkiminen vaatii paljon panostusta koko organisaatiolta, ja siksi on hyvä, että johto on sitoutunut prosessiin.”
Asiantuntijalta apua prosessin systemaattisuuteen
Tampereen Tilapalveluiden apuna olivat Atean ylläpitämän Tiera Verkkokaupan asiantuntijat, jotka auttoivat tietoturvallisuuden hallintajärjestelmän suunnittelemisessa, toteuttamisessa ja sertifioinnin saavuttamisessa. Yhteistyö sisälsi muun muassa yhteisiä työpajoja standardin vaatimuksista, niiden käytännön toteutuksen suunnittelua ja dokumentointia.
Tilapalveluiden tietoturvallisuuden hallintajärjestelmä noudattaa nyt kansainvälisen ISO/IEC 27001:2013 -standardin vaatimuksia.
”Asiantunteva apu selkeyttää tietoturvallisuuden hallintajärjestelmän luomista ja koko tietoturvallisuuden sertifikaatin hakuprosessia”, Antti Räsänen sanoo.
Tietoturvallisuuden kehittäminen ei pysähdy sertifikaatin saamiseen. Tietoturvallisuuden hallintajärjestelmään kuuluu olennaisena osana esimerkiksi säännöllisen vaikuttavuuden mittaamisen, sisäisten auditointien ja riskien hallinnan perusteella tehtävä jatkuva parantaminen.
Vaiheittainen eteneminen auttaa pitkässä prosessissa
Atealla on pitkä kokemus organisaatioiden tietoturvallisuuden hallintajärjestelmien kehittämisessä ja valmis palvelu, jonka avulla järjestelmä toteutetaan. Prosessi etenee vaiheittain ja siinä hyödynnetään työpajoja, joissa työskennellään yhdessä asiakkaan kanssa systemaattisesti.
”Käymme aluksi läpi, mitä standardi vaatii hallintajärjestelmältä eli miten tietoturvallisuutta pitää hallita ja johtaa, jotta se olisi standardin parhaiden käytäntöjen mukainen. Sen jälkeen suunnittelemme ja määrittelemme yhdessä, miten vaatimukset otetaan huomioon asiakkaan toiminnassa ja toimintaympäristössä. Käytännössä tämä tarkoittaa sekä uusien toimintatapojen määrittämistä ja dokumentointia että vanhojen toimintatapojen ja dokumenttien muokkaamista standardin vaatimusten mukaisiksi”, Atean konsultti Antti Lehmussaari kertoo.
Suunnitelmallisesta tietoturvallisuuden hallintajärjestelmästä on hyötyä niin itse organisaatiolle kuin sen yhteistyökumppaneille ja asiakkaillekin. ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä on merkki organisaation toiminnan luotettavuudesta ja siitä, että se panostaa tietoturvallisuuteen ja siihen liittyvien riskien hallintaan.
” Tietoturvallisuuden hallintajärjestelmä tukee toiminnan jatkuvuuden turvaamista huomioimalla tietoturvallisuuden kokonaisvaltaisesti ja edistämällä tietoturvallisuuden jatkuvaa parantamista. Lisäksi se mahdollistaa resurssien kohdistamisen oikein riskiperusteisella tietoturvallisuuden hallinnalla ja selkeyttämällä tietoturvan tilannekuvaa”, Antti Lehmussaari sanoo.
Atean Account Manager Ari Harjula kannustaa kaikkia yrityksiä rakentamaan oman tietoturvallisuuden hallintajärjestelmän ja hakemaan sille laatuleiman sertifikaatista.
”Erityisesti yrityksen johdon kannattaa huomioida tämä, kun se haluaa kehittää omaa organisaatiotaan ja parantaa tietoturvallisuuden hallintaa.”
Tiera Verkkokauppa -puitesopimukset helpottavat ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja
Tampereen Tilapalvelut on Kuntien Tiera Oy:n osakas. Kuntien Tiera Oy on yli 390 kuntatoimijan omistama osakeyhtiö ja yhteiskunnallinen yritys, joka kehittää kuntien, kaupunkien ja hyvinvointialueiden ICT-palveluja verkostomaisesti yhteistyössä omistaja-asiakkaiden sekä muiden julkisten- ja kaupallisten toimijoiden kanssa.
Atean ylläpitämä Tiera Verkkokauppa on Suomen kattavin, kuntakentän käyttöön suunniteltu dynaaminen hankintajärjestelmä. Se helpottaa ja tehostaa kuntatoimijoiden ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja.
Tampereen Tilapalvelut Oy
- Suunnittelee ja rakennuttaa julkisia kiinteistöjä sekä ylläpitää ja huoltaa niitä.
- Tampereen kaupungin in house -yhtiö, jonka suurin asiakas on Tampereen kaupunki.
- Työllistää 240 asiantuntijaa.
- Liikevaihto 158 miljoonaa euroa vuonna 2022.
Mikä on ISO/IEC 27001 -standardi
- ISO/IEC 27001 -standardi sisältää vaatimuksia tietoturvan hallinnan järjestelmän (ISMS) perustamiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle. Standardin keskeisiä vaatimuksia ovat muun muassa:
- Riskienhallinta: Organisaation on tunnistettava, arvioitava ja käsiteltävä tietoturvariskit.
- Jatkuvan parantamisen lähestymistapa.
- Säännöllinen auditointi.
- Johtaminen: Johdon on osoitettava johtajuutta ja sitoutumista tietoturvan hallintaan.
- Viestintä: Tietoturvaviestinnän käytännöt on määritettävä huomioiden sekä sisäiset että ulkoiset sidosryhmät.
- Dokumentointi: ISMS:n on oltava dokumentoitu.
- Tietoturvapolitiikka: Dokumentoitu tietoturvapolitiikka määrittelee tietoturvan hallinnan yleiset tavoitteet ja suuntaviivat.
- Tietoturvatavoitteet: Organisaation on asetettava tietoturvatavoitteet ja suunniteltava kuinka se voi ne saavuttaa.