Ajankohtaista >> Uutiset >> 201801 Gap-analyysi ja esisertifiointi ISO 27001-sertifioinnissa

GAP-analyysi ja esisertifiointi auttavat ISO 27001 -sertifiointiin valmistautumisessa

Sidebar Image

GAP-analyysi ja esisertifiointi ISO 27001 -sertifioinnissa

11.1.2018

Milloin yrityksen on ajankohtaista hankkia GAP-analyysi ja esisertifiointi?

GAP-analyysi on hyvä tehdä, kun tietoturvallisuuden hallintajärjestelmän prosessit ja menettelyt on pääosin luotu ja dokumentoitu.

Esisertifiointi kannattaa tehdä GAP-analyysin jälkeen ennen varsinaista sertifiointiauditointia. Silloin järjestelmä on dokumentoitu ja otettu käyttöön, ja tietoturvallisuuden hallintajärjestelmän toiminnasta on kertynyt riittävästi näyttöä.

GAP-analyysi valmistaa esiarviointiin

GAP-analyysissä arvioidaan tietoturvallisuuden hallintajärjestelmän dokumentaatiota ja tallenteita suhteessa standardin ISO 27001 vaatimuksiin. GAP-analyysiraportti antaa hyvän näkemyksen tietoturvallisuuden hallintajärjestelmän dokumentoiduista prosesseista ja menettelytavoista. Analyysissa kartoitetaan mahdolliset puutteet, virheet tai heikkoudet, jotka vaativat toimenpiteitä ennen esisertifiointia. Tulosraportti toimitetaan asiakkaalle järjestelmän kehittämisen tueksi.

Esiarviointi tutustuttaa auditointiprosessiin

Esisertifioinnissa arvioidaan, miten hyvin tietoturvallisuuden hallintajärjestelmä vastaa standardin ISO 27001 vaatimuksia. Arviointiin sisältyy soveltamisalan, soveltuvuuslausunnon (SoA) ja tietoturvariskien käsittelysuunnitelman riippumaton katselmus.

Organisaatio saa yleiskuvan siitä, miltä osin järjestelmä täyttää standardin vaatimukset ja missä havaitaan selkeitä puutteita, kehitettävää dokumentoinnissa tai käytännön toteutuksessa. Esisertifioinnissa tunnistetaan asiat, joita kannattaa kehittää ennen varsinaista sertifiointiarviointia.

Esisertifiointi on myös hyvä keino tutustua auditointiprosessiin ja sen muodollisiin yksityiskohtiin. Auditoija käy arvioinnin loppukokouksessa läpi esisertifioinnissa tehdyt havainnot. Asiakkaalle toimitetaan myös esisertifiointiraportti, jossa havainnot, mahdolliset puutteet ja kehitysmahdollisuudet ovat kirjattuina.

Esisertifioinnin ja GAP-analyysin hyödyt

  • Asiantuntijan arvio tietoturvallisuuden hallintajärjestelmästä ja sen käyttöönotosta
  • Riippumattoman kolmannen osapuolen arvio
  • Tieto järjestelmän kypsyystasosta ja sertifiointivalmiudesta
  • Tieto havaituista mahdollisista puutteista ja potentiaalisista kehityskohteista
  • Kustannussäästö, sillä tarpeettomien kulujen syntyminen voidaan estää
  • Tietoturvallisuuden hallintajärjestelmän soveltamisalan tarkastelu

VTT Expert Services ISO 27001 -sertifioijana

Teemme standardin ISO 27001 mukaisia tietoturvallisuuden hallintajärjestelmän GAP-analyyseja, esiarviointeja, arviointeja ja sertifiointeja. Kokeneet arvioijamme auttavat yritystänne tietoturvallisuuden hallintajärjestelmän sertifiointiin liittyvissä asioissa.​

Uutisen julkaisi 11.1.2018 VTT Expert Services, joka on nyt nimetään Eurofins Expert Services ja osa Eurofins Groupia.