Siirry sisältöön
Tampereen Tilapalvelut päätti rakentaa tietoturvallisuuden hallintajärjestelmänsä niin kattavaksi, että saisi sille vaativan ja arvostetun kansainvälisen sertifikaatin. Apua prosessiin löytyi Velora Verkkokaupan (ent. Tiera) kautta. ”Kyllä tuli hyvä fiilis, kun saavutimme työllämme jotain näin konkreettista”, sanoo ICT-päällikkö Antti Räsänen.
Tampereen Tilapalvelut
Elokuu 2023

”Tietoturvallisuus pitää ottaa tosissaan, koska Suomessakin on paljon verkkorikollisuutta ja tietovuotoja. Ja taustalla vaikuttaa EU:n NIS2-direktiivi, joka langettaa suuret sakot laiminlyönneistä”, Tampereen Tilapalvelujen ICT-päällikkö Antti Räsänen sanoo.

Tilapalvelut on Tampereen kaupungin omistama yhtiö, joka suunnittelee ja rakennuttaa julkisia kiinteistöjä sekä ylläpitää ja huoltaa niitä. Yhtiö sai tietoturvallisuuden hallintajärjestelmälleen ISO 27001 -sertifikaatin marraskuussa 2022. Sertifikaatti on omassa lajissaan harvinainen, koska Tampereen Tilapalvelut sai sen koko organisaationsa toiminnasta. Yleensä sertifikaatti haetaan vain tietylle toimintayksikölle.

”Olemme olleet tässä edelläkävijöitä, kuten monessa muussakin toiminnassa. Otimme Teamsinkin todelliseen käyttöön jo paljon ennen koronaa, koska se helpotti liikkuvaa työtämme. Teemme kaikki muutokset aina liiketoiminnan tarpeiden perusteella.”

Tampereen Tilapalvelut Antti Räsänen.

Tampereen Tilapalvelut ISO 27001 -sertifikaatti.

Sertifikaatti osoittaa, että Tampereen Tilapalvelut täyttää ISO 27001 -standardin tietoturvallisuuden hallinnalle asettamat vaatimukset muun muassa hallitsemalla tietoturvariskejä ja parantamalla tietoturvaa jatkuvasti. Kiwa Inspectan tekemä auditointi kattoi yhtiön rakennushankepalvelut, kiinteistökohteiden johtamisen ja kiinteistöjen ylläpitopalvelut tukitoimintoineen.

”Työ lähti liikkeelle yhtiömme hallituksen puheenjohtajan esityksestä ja toimitusjohtajamme vastuutti työn vetämisen minulle. Sertifikaatin hankkiminen vaatii paljon panostusta koko organisaatiolta, ja siksi on hyvä, että johto on sitoutunut prosessiin.”

Asiantuntijalta apua prosessin systemaattisuuteen

Tampereen Tilapalveluiden apuna olivat Atean ylläpitämän Velora Verkkokaupan asiantuntijat, jotka auttoivat tietoturvallisuuden hallintajärjestelmän suunnittelemisessa, toteuttamisessa ja sertifioinnin saavuttamisessa. Yhteistyö sisälsi muun muassa yhteisiä työpajoja standardin vaatimuksista, niiden käytännön toteutuksen suunnittelua ja dokumentointia.

Tilapalveluiden tietoturvallisuuden hallintajärjestelmä noudattaa nyt kansainvälisen ISO/IEC 27001:2013 -standardin vaatimuksia.

”Asiantunteva apu selkeyttää tietoturvallisuuden hallintajärjestelmän luomista ja koko tietoturvallisuuden sertifikaatin hakuprosessia”, Antti Räsänen sanoo.

Tietoturvallisuuden kehittäminen ei pysähdy sertifikaatin saamiseen. Tietoturvallisuuden hallintajärjestelmään kuuluu olennaisena osana esimerkiksi säännöllisen vaikuttavuuden mittaamisen, sisäisten auditointien ja riskien hallinnan perusteella tehtävä jatkuva parantaminen.

Tilapalveluiden tietoturvallisuuden hallintajärjestelmä.

Vaiheittainen eteneminen auttaa pitkässä prosessissa

Atealla on pitkä kokemus organisaatioiden tietoturvallisuuden hallintajärjestelmien kehittämisessä ja valmis palvelu, jonka avulla järjestelmä toteutetaan. Prosessi etenee vaiheittain ja siinä hyödynnetään työpajoja, joissa työskennellään yhdessä asiakkaan kanssa systemaattisesti.

”Käymme aluksi läpi, mitä standardi vaatii hallintajärjestelmältä eli miten tietoturvallisuutta pitää hallita ja johtaa, jotta se olisi standardin parhaiden käytäntöjen mukainen. Sen jälkeen suunnittelemme ja määrittelemme yhdessä, miten vaatimukset otetaan huomioon asiakkaan toiminnassa ja toimintaympäristössä. Käytännössä tämä tarkoittaa sekä uusien toimintatapojen määrittämistä ja dokumentointia että vanhojen toimintatapojen ja dokumenttien muokkaamista standardin vaatimusten mukaisiksi”, Atean konsultti Antti Lehmussaari kertoo.

Suunnitelmallisesta tietoturvallisuuden hallintajärjestelmästä on hyötyä niin itse organisaatiolle kuin sen yhteistyökumppaneille ja asiakkaillekin. ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä on merkki organisaation toiminnan luotettavuudesta ja siitä, että se panostaa tietoturvallisuuteen ja siihen liittyvien riskien hallintaan.

Velora Verkkokauppa Tampereen Tilapalvelut Oy.

”Tietoturvallisuuden hallintajärjestelmä tukee toiminnan jatkuvuuden turvaamista huomioimalla tietoturvallisuuden kokonaisvaltaisesti ja edistämällä tietoturvallisuuden jatkuvaa parantamista. Lisäksi se mahdollistaa resurssien kohdistamisen oikein riskiperusteisella tietoturvallisuuden hallinnalla ja selkeyttämällä tietoturvan tilannekuvaa”, Antti Lehmussaari sanoo.

Atean Account Manager Ari Harjula kannustaa kaikkia yrityksiä rakentamaan oman tietoturvallisuuden hallintajärjestelmän ja hakemaan sille laatuleiman sertifikaatista.

”Erityisesti yrityksen johdon kannattaa huomioida tämä, kun se haluaa kehittää omaa organisaatiotaan ja parantaa tietoturvallisuuden hallintaa.”

Tampereen Tilapalvelut Oy

  • Suunnittelee ja rakennuttaa julkisia kiinteistöjä sekä ylläpitää ja huoltaa niitä.
  • Tampereen kaupungin in house -yhtiö, jonka suurin asiakas on Tampereen kaupunki.
  • Työllistää 240 asiantuntijaa.
  • Liikevaihto 158 miljoonaa euroa vuonna 2022.

Velora Verkkokauppa -puitesopimukset helpottavat ICT-laitteiden, -ohjelmistojen ja -palveluiden hankintoja


Atean ylläpitämät Velora Verkkokauppa ja Velora Verkkokauppa plus tarjoavat valmiiksi kilpailutetut ICT-laitteet, -ohjelmistot ja -palvelut, muodostaen yhdessä Suomen kattavimman ja kustannustehokkaimman hankintakanavan kunnille ja hyvinvointialueille. Ne helpottavat merkittävästi julkisen sektorin ICT-hankintoja.

Mikä on ISO/IEC 27001 -standardi

  • ISO/IEC 27001 -standardi sisältää vaatimuksia tietoturvan hallinnan järjestelmän (ISMS) perustamiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle. Standardin keskeisiä vaatimuksia ovat muun muassa:
  • Riskienhallinta: Organisaation on tunnistettava, arvioitava ja käsiteltävä tietoturvariskit.
  • Jatkuvan parantamisen lähestymistapa.
  • Säännöllinen auditointi.
  • Johtaminen: Johdon on osoitettava johtajuutta ja sitoutumista tietoturvan hallintaan.
  • Viestintä: Tietoturvaviestinnän käytännöt on määritettävä huomioiden sekä sisäiset että ulkoiset sidosryhmät.
  • Dokumentointi: ISMS:n on oltava dokumentoitu.
  • Tietoturvapolitiikka: Dokumentoitu tietoturvapolitiikka määrittelee tietoturvan hallinnan yleiset tavoitteet ja suuntaviivat.
  • Tietoturvatavoitteet: Organisaation on asetettava tietoturvatavoitteet ja suunniteltava kuinka se voi ne saavuttaa.