Pääsynhallinta ja monivaiheinen todennus pk-yrityksille: ISO 27001:2022 A.8.2, A.8.3 ja GDPR:n käsittelyn turvallisuus

Pk-yrityksiin kohdistuu kohonnut riski heikon pääsynhallinnan ja puutteellisen todennuksen vuoksi. Tämä opas kuvaa, miten pääsynhallinta ja MFA sovitetaan ISO 27001:2022:n (A.8.2, A.8.3) ja GDPR:n vaatimuksiin siten, että vain oikeat henkilöt pääsevät arkaluonteisiin tietoihin ja järjestelmiin, tietoturvaloukkausten riski pienenee ja vaatimustenmukaisuus voidaan osoittaa.

Mikä on panoksena

Pk-yrityksille pääsynhallinta ja todennus ovat tietomurtojen, liiketoiminnan häiriöiden ja sääntelyyn perustuvien seuraamusten ehkäisemisen perusta. Kun pääsyä hallitaan puutteellisesti, riski ei rajoitu välittömiin taloudellisiin menetyksiin, vaan ulottuu mainehaittoihin, toiminnan keskeytyksiin ja merkittävään oikeudelliseen altistumiseen. ISO 27001:2022, erityisesti hallintakeinot A.8.2 (etuoikeutetut käyttöoikeudet) ja A.8.3 (tietoihin pääsyn rajoittaminen), edellyttää organisaatioilta tiukkaa hallintaa siitä, kuka pääsee mihinkin, erityisesti tileissä, joilla on korotetut käyttöoikeudet. GDPR:n 32 artikla lisää vaatimuspainetta edellyttämällä, että käytössä on teknisiä ja organisatorisia toimenpiteitä, kuten vahvat pääsynrajoitukset ja turvallinen todennus, jotta henkilötiedot ovat vain valtuutettujen henkilöiden saatavilla.

Heikon pääsynhallinnan operatiiviset vaikutukset näkyvät todellisissa poikkeamissa: yksi vaarantunut ylläpitäjätili voi johtaa koko järjestelmäympäristön vaarantumiseen, tietojen luvattomaan siirtoon ja viranomaistutkintoihin. Esimerkiksi pk-yritys, joka käyttää pilvialustoja ilman MFA:ta ylläpitäjätileillä, voi tietojenkalasteluhyökkäyksen jälkeen menettää pääsyn omiin järjestelmiinsä samalla, kun asiakastiedot altistuvat ja liiketoiminta lamaantuu. Valvontaviranomaiset, kuten GDPR:n mukaiset tietosuojaviranomaiset, odottavat selkeää näyttöä siitä, että pääsynhallinnan hallintakeinot on paitsi määritelty myös otettu käyttöön ja katselmoitu säännöllisesti.

Panokset kasvavat entisestään, kun pk-yritykset käyttävät ulkoistettuja kehittäjiä tai kolmansien osapuolten IT-palveluntarjoajia. Ilman tiukkaa käyttöoikeuksien hallintaa ulkoiset osapuolet voivat säilyttää tarpeettoman pääsyn, mikä synnyttää pysyviä haavoittuvuuksia. Pk-yritysten, jotka käsittelevät tai säilyttävät henkilötietoja, kuten asiakastietueita, HR-aineistoja tai asiakasprojektien tietoja, on pystyttävä osoittamaan, että pääsy on rajattu tiukasti vain niille, joilla on siihen perusteltu tarve, ja että etuoikeutettuihin tileihin sovelletaan tehostettuja tietoturvatoimenpiteitä, kuten MFA:ta. Tämän laiminlyönti voi johtaa sakkoihin, sopimusten menettämiseen ja asiakkaiden luottamuksen pysyvään heikentymiseen.

Kuvitellaan tilanne, jossa pieni konsulttiyritys ulkoistaa ohjelmistokehityksen. Jos tuotantojärjestelmien etuoikeutettua pääsyä ei valvota tiukasti eikä katselmoida säännöllisesti, lähtevä sopimuskumppani voi säilyttää pääsyn ja vaarantaa arkaluonteiset asiakastiedot. Jos tietoturvaloukkaus tapahtuu, sekä ISO 27001 että GDPR edellyttävät pk-yritykseltä näyttöä siitä, että sillä oli käytössä riittävät hallintakeinot, kuten yksilölliset käyttäjäidentiteetit, roolipohjaiset käyttöoikeudet ja vahva todennus. Ilman tätä yritys joutuu teknisen palautumisen lisäksi kohtaamaan oikeudelliset ja maineeseen liittyvät seuraukset.

Miltä hyvä näyttää

Kypsä pk-yrityksen pääsynhallintaympäristö perustuu käyttöoikeuksien selkeään ja riskiperusteiseen myöntämiseen, vahvaan todennukseen, mukaan lukien MFA arkaluonteisille tileille, sekä säännölliseen katselmointiin siitä, kenellä on pääsy mihinkin. ISO 27001:2022 A.8.2 ja A.8.3 asettavat odotuksen siitä, että etuoikeutettuja tilejä hallitaan tiukasti ja pääsy tietoihin rajataan vain niille, jotka sitä aidosti tarvitsevat. GDPR:n 32 artikla edellyttää, että nämä hallintakeinot eivät ole vain dokumentoituja vaan myös toiminnassa, mikä osoitetaan auditointijäljillä, käyttäjäkatselmoinneilla ja käyttöönottoa koskevalla näytöllä.

Onnistuminen tarkoittaa, että seuraavat tulokset ovat nähtävissä ja todennettavissa:

• Roolipohjainen käyttöoikeuksien hallinta (RBAC): Pääsy järjestelmiin ja tietoihin myönnetään tehtäväroolien perusteella, ei tilapäisten pyyntöjen pohjalta. Tämä varmistaa, että käyttäjät saavat vain tehtäviensä hoitamiseen tarvittavat käyttöoikeudet, eivät enempää.
• Etuoikeutetun pääsyn hallinta: Tilejä, joilla on ylläpito- tai korotettuja käyttöoikeuksia, on mahdollisimman vähän; niitä hallitaan tiukasti ja niihin sovelletaan lisäsuojatoimia, kuten MFA:ta ja tehostettua valvontaa.
• MFA siellä, missä sillä on merkitystä: Monivaiheinen todennus otetaan käyttöön kaikille korkean riskin tileille, erityisesti etäkäyttöön, pilviympäristön hallintakonsoleihin ja henkilötietoja käsitteleviin järjestelmiin.
• Käyttöoikeuskatselmoinnit ja käyttöoikeuksien poistaminen: Säännölliset katselmoinnit aikataulutetaan sen varmistamiseksi, että pääsy on vain nykyisellä henkilöstöllä ja sopimuskumppaneilla; lähtijöiden tai roolia vaihtavien henkilöiden pääsy poistetaan viipymättä.
• Auditoitavuus ja näyttö: Yritys pystyy tuottamaan nopeasti tallenteet siitä, kenellä oli pääsy mihin järjestelmiin ja milloin, mukaan lukien todennusyritysten lokit ja käyttöoikeuksien korotukset.
• Toimittajien ja ulkoistetun kehityksen pääsy: Kolmansien osapuolten ja ulkoistettujen kehittäjien pääsyä hallitaan samoilla vaatimuksilla kuin sisäisten käyttäjien pääsyä, ja käytössä ovat selkeät perehdytys-, valvonta- ja poistumismenettelyt.
• Politiikkalähtöinen toimeenpano: Kaikki pääsyä koskevat päätökset perustuvat muodollisiin ja ajan tasalla oleviin politiikkoihin, jotka viestitään, katselmoidaan ja pannaan täytäntöön koko organisaatiossa.

Esimerkiksi pieni ohjelmistostartup, jossa on oma tiimi ja useita ulkoisia kehittäjiä, ottaa RBAC:n käyttöön pilvi-infrastruktuurissaan, edellyttää MFA:ta kaikilta ylläpitäjätileiltä ja katselmoi käyttäjien pääsyn kuukausittain. Kun ulkoinen kehittäjä päättää projektin, hänen käyttöoikeutensa poistetaan välittömästi, ja auditointilokit vahvistavat poistamisen. Jos asiakas pyytää näyttöä GDPR-vaatimustenmukaisuudesta, startup voi toimittaa pääsynhallintapolitiikkansa, käyttäjien käyttölokit ja MFA-määrityksiä koskevat tallenteet osoittaakseen yhdenmukaisuuden ISO 27001:n ja GDPR:n vaatimusten kanssa.

Zenith Blueprint

Käytännön etenemispolku

Standardien ja säädösten vieminen pk-yrityksen päivittäiseen toimintaan edellyttää konkreettisia, vaiheittaisia toimia. Matka alkaa siitä, että ymmärretään, missä käyttöoikeuksiin liittyvät riskit sijaitsevat, säännöt kirjataan ja käyttöön otetaan yrityksen kokoon ja uhkaympäristöön sopivat tekniset hallintakeinot. Zenith Controls -kirjasto tarjoaa käytännöllisen viitekehyksen kunkin vaatimuksen kartoittamiseen operatiivisiin hallintakeinoihin, kun taas Pääsynhallintapolitiikka määrittää säännöt ja odotukset kaikille käyttäjille ja järjestelmille.

Vaihe 1: Kartoita omaisuuserät ja tiedot

Ennen kuin pääsyä voidaan hallita, on tiedettävä, mitä suojataan. Aloita laatimalla inventaario kriittisistä omaisuuseristä, palvelimista, pilvialustoista, tietokannoista, lähdekoodivarastoista ja sovelluksista. Tunnista kunkin omaisuuserän osalta, millaisia tietoja siinä säilytetään tai käsitellään, ja kiinnitä erityistä huomiota GDPR:n piiriin kuuluviin henkilötietoihin. Tämä kartoitus tukee sekä ISO 27001:n että GDPR:n 30 artiklan vaatimuksia ja muodostaa perustan pääsyä koskeville päätöksille.

Esimerkiksi SaaS-ratkaisuja toimittava pk-yritys dokumentoi asiakastietokantansa, sisäiset HR-tallenteensa ja lähdekoodivarastonsa erillisiksi omaisuuseriksi, joilla kullakin on erilainen riskiprofiili ja erilaiset käyttöoikeustarpeet.

Vaihe 2: Määritä roolit ja myönnä pääsy

Kun omaisuuserät on kartoitettu, määritä organisaation käyttäjäroolit, kuten ylläpitäjä, kehittäjä, HR, taloushallinto ja ulkoinen sopimuskumppani. Jokaisella roolilla on oltava selkeä kuvaus siitä, mihin järjestelmiin ja tietoihin se voi päästä. Vähimpien oikeuksien periaatetta sovelletaan: käyttäjillä on oltava vain työnsä edellyttämät vähimmäiskäyttöoikeudet. Dokumentoi nämä roolimäärittelyt ja käyttöoikeuksien myöntämiset sekä varmista, että johto katselmoi ja hyväksyy ne.

Hyvä esimerkki on markkinointitoimisto, joka rajaa pääsyn talousjärjestelmään talouspäällikölle ja estää muiden kuin välttämättömien henkilöiden pääsyn asiakastietokansioihin; poikkeukset edellyttävät dokumentoitua hyväksyntää.

Vaihe 3: Toteuta tekniset hallintakeinot

Ota käyttöön tekniset mekanismit, joilla pääsynrajoitukset ja todennusvaatimukset pannaan täytäntöön. Tähän kuuluu:

• MFA:n käyttöönotto kaikille etuoikeutetuille ja etäkäyttöön liittyville tileille, erityisesti pilviympäristön hallintakonsoleille, VPN-yhteyksille ja henkilötietoja käsitteleville järjestelmille.
• RBAC:n tai käyttöoikeuslistojen (ACL) määrittäminen tiedostojakoihin, tietokantoihin ja sovelluksiin.
• Yksilöllisten käyttäjäidentiteettien varmistaminen kaikille tileille; jaettuja kirjautumistunnuksia ei käytetä.
• Salasanojen monimutkaisuusvaatimusten ja säännöllisten vaihtokäytäntöjen soveltaminen.
• Hälytysten määrittäminen epäonnistuneista kirjautumisyrityksistä, käyttöoikeuksien korotuksista ja poikkeavista käyttökuvioista.

Esimerkiksi pieni lakitoimisto käyttää Microsoft 365:tä siten, että MFA on käytössä koko henkilöstölle, SharePointissa on roolipohjaiset käyttöoikeudet ja kaikki pääsy arkaluonteisiin asiakastiedostoihin kirjataan lokiin. Hälytykset ilmoittavat IT-vastaavalle kaikista epäonnistuneista ylläpitäjäkirjautumisyrityksistä.

Vaihe 4: Hallitse käyttäjän elinkaarta

Käyttöoikeuksien hallinta ei ole kertaluonteinen tehtävä. Luo menettelyt perehdytykselle, roolimuutoksille ja poistumiselle. Kun henkilö aloittaa, hänen käyttöoikeutensa myönnetään roolin mukaisesti. Kun rooli muuttuu tai henkilö lähtee, käyttöoikeudet päivitetään tai poistetaan viipymättä. Säilytä tallenteet kaikista käyttöoikeusmuutoksista auditointia varten.

Käytännön esimerkki: fintech-alan pk-yritys ylläpitää aloittajien, roolinvaihtajien ja lähtijöiden rekisteriä. Kun kehittäjä lähtee, hänen pääsynsä lähdekoodivarastoihin ja tuotantojärjestelmiin poistetaan samana päivänä, ja lokit tarkistetaan vahvistusta varten.

Vaihe 5: Katselmoi ja auditoi pääsy

Aikatauluta säännölliset, vähintään neljännesvuosittaiset katselmoinnit kaikista käyttäjätileistä ja niiden käyttöoikeuksista. Tarkista orvot käyttäjätilit, liialliset käyttöoikeudet ja tilit, jotka eivät enää vastaa nykyisiä rooleja. Dokumentoi katselmointiprosessi ja tehdyt toimenpiteet. Tämä tukee sekä ISO 27001:n että GDPR:n osoitusvelvollisuusvaatimuksia.

Esimerkiksi design-toimisto tekee neljännesvuosittaiset käyttöoikeuskatselmoinnit yksinkertaisen taulukon avulla. Kukin osastopäällikkö vahvistaa nykyisen henkilöstön ja käyttöoikeudet, ja IT-päällikkö poistaa käyttämättömät tunnukset käytöstä.

Vaihe 6: Laajenna hallintakeinot toimittajiin ja ulkoistettuihin kehittäjiin

Kun työskentelet kolmansien osapuolten kanssa, varmista, että ne noudattavat pääsynhallintavaatimuksiasi. Edellytä ulkoisilta kehittäjiltä yksilöllisiä tilejä, MFA:n käyttöä ja pääsyn rajaamista vain niihin järjestelmiin ja tietoihin, joita heidän työnsä edellyttää. Poista heidän pääsynsä viipymättä sopimuksen päättyessä. Dokumentoi hyväksynnät ja riskin hyväksyminen kaikille poikkeuksille.

Tosielämän esimerkki: pk-yritys ulkoistaa verkkokehityksen ja myöntää ulkoiselle tiimille aikarajoitetun käyttöoikeuden staging-ympäristöön, jossa MFA on pakollinen. Pääsy poistetaan projektin päättyessä, ja lokit säilytetään auditointia varten.

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka¹

Pääsynhallintapolitiikka²

Zenith Controls³

Politiikat, joilla varmistetaan jatkuvuus

Politiikat ovat kestävän pääsynhallinnan selkäranka. Ne määrittävät odotukset, jakavat vastuut ja toimivat viitekohtana auditoinneissa ja tutkinnassa. Pk-yrityksille Pääsynhallintapolitiikka on perustava asiakirja: se kattaa, miten pääsy myönnetään, katselmoidaan ja poistetaan, ja se edellyttää teknisiä hallintakeinoja, kuten MFA:ta arkaluonteisille järjestelmille. Tätä politiikkaa sovelletaan yhdessä siihen liittyvien politiikkojen kanssa, kuten Käyttäjätilien ja käyttöoikeuksien hallintapolitiikan, Turvallisen kehityksen politiikan sekä Tietosuoja- ja yksityisyydensuojapolitiikan kanssa.

Vahvan pääsynhallintapolitiikan on:

• Määritettävä, kuka hyväksyy ja katselmoi kunkin järjestelmän käyttöoikeudet.
• Edellytettävä MFA:ta etuoikeutettuun käyttöön ja etäkäyttöön.
• Määritettävä prosessi käyttäjien perehdytykselle, roolimuutoksille ja poistumiselle.
• Edellytettävä säännöllisiä käyttöoikeuskatselmointeja ja tulosten dokumentointia.
• Edellytettävä, että kaikilla käyttäjillä on yksilölliset käyttäjäidentiteetit ja että jaetut tunnukset ovat kiellettyjä.
• Viitattava teknisiin standardeihin, jotka koskevat salasanojen monimutkaisuusvaatimuksia, istunnon aikakatkaisuja ja lokitusta.

Esimerkiksi pk-yrityksen pääsynhallintapolitiikka voi todeta, että vain toimitusjohtaja tai IT-vastaava voi hyväksyä ylläpitokäyttöoikeuden, että MFA vaaditaan kaikille pilviympäristön ylläpitäjätileille ja että henkilöstön lähtiessä tilien käytöstäpoiston prosessi kuvataan yksityiskohtaisesti. Politiikka katselmoidaan vuosittain ja aina, kun järjestelmissä tai lakisääteisissä vaatimuksissa tapahtuu merkittävä muutos.

Pääsynhallintapolitiikka²

Tarkistuslistat

Tarkistuslistat auttavat pk-yrityksiä viemään pääsynhallinnan ja MFA:n vaatimukset käytäntöön ja varmistavat, ettei kriittisiä vaiheita jää tekemättä. Jokainen vaihe — rakentaminen, käyttö ja varmentaminen — edellyttää omaa painopistettään ja kurinalaisuuttaan.

Rakenna: pk-yrityksen pääsynhallinnan ja MFA:n perusta

Kun pääsynhallintaa perustetaan tai uudistetaan, pk-yritys tarvitsee selkeän rakentamisvaiheen tarkistuslistan varmistaakseen, että kaikki perustavat osat ovat paikallaan. Tässä vaiheessa keskitytään arkkitehtuurin oikeaan rakenteeseen ja jatkuvan toiminnan perustason määrittämiseen.

• Inventoi kaikki järjestelmät, sovellukset ja tietovarastot.
• Tunnista ja luokittele tiedot sekä merkitse henkilötiedot erityisiä hallintakeinoja varten.
• Määritä käyttäjäroolit ja kartoita kunkin roolin käyttöoikeusvaatimukset.
• Laadi ja hyväksy pääsynhallinnan ja käyttöoikeuksien hallinnan politiikat.
• Valitse ja määritä tekniset hallintakeinot, kuten MFA-ratkaisut, RBAC ja salasanapolitiikat.
• Määritä turvalliset perehdytys- ja poistumismenettelyt kaikille käyttäjille, myös kolmansille osapuolille.
• Dokumentoi kaikki pääsyä koskevat päätökset ja säilytä tallenteet auditointia varten.

Esimerkiksi uutta pilviympäristöä käyttöönotettaessa pk-yritys listaa kaikki käyttäjät, luokittelee arkaluonteiset tiedot, ottaa MFA:n käyttöön ylläpitäjille ja dokumentoi pääsynhallintapolitiikan ennen käyttöönottoa.

Käytä: päivittäinen pääsynhallinnan ja MFA:n hallinta

Kun hallintakeinot on rakennettu, jatkuvassa käytössä on kyse kurinalaisuuden ylläpitämisestä ja muutoksiin vastaamisesta. Tässä vaiheessa keskitytään rutiinihallintaan, valvontaan ja jatkuvaan noudattamiseen.

• Sovella MFA:ta etuoikeutetuille, etäkäyttöön liittyville ja arkaluonteisille tileille.
• Katselmoi ja hyväksy kaikki uudet käyttöoikeuspyynnöt dokumentoitujen roolien perusteella.
• Valvo kirjautumisyrityksiä, käyttöoikeuksien korotuksia ja pääsyä arkaluonteisiin tietoihin.
• Päivitä käyttöoikeudet viipymättä, kun käyttäjät vaihtavat roolia tai lähtevät.
• Kouluta henkilöstö turvallisiin todennus- ja pääsynhallintakäytäntöihin.
• Varmista, että kolmansien osapuolten pääsy on aikarajoitettua ja sitä katselmoidaan säännöllisesti.

Käytännön esimerkki: vähittäiskaupan pk-yrityksen IT-vastaava tarkistaa säännöllisesti MFA-hallintanäkymän, katselmoi käyttölokit ja vahvistaa osastopäälliköiden kanssa ennen uusien käyttöoikeuksien myöntämistä.

Varmenna: auditointi ja katselmointi vaatimustenmukaisuuden osoittamiseksi

Varmentaminen on kriittistä vaatimustenmukaisuuden osoittamiseksi ja puutteiden tunnistamiseksi. Tässä vaiheessa tehdään aikataulutettuja ja ad hoc -katselmointeja, auditointeja ja hallintakeinojen testausta.

• Tee neljännesvuosittaiset käyttöoikeuskatselmoinnit ja tarkista orvot tai liialliset käyttöoikeudet.
• Auditoi MFA:n soveltaminen ja testaa ohitusyritykset.
• Katselmoi lokit epäilyttävän tai luvattoman pääsyn varalta.
• Tuota näyttö käyttöoikeuskatselmoinneista ja MFA-määrityksistä auditointeja tai asiakkaiden pyyntöjä varten.
• Päivitä politiikat ja tekniset hallintakeinot havaintojen tai poikkeamien perusteella.

Esimerkiksi logistiikka-alan pk-yritys valmistautuu asiakasauditointiin viemällä käyttölokit, katselmoimalla MFA-raportit ja päivittämällä pääsynhallintapolitiikkansa viimeaikaisten muutosten mukaiseksi.

Zenith Blueprint⁴

Yleiset sudenkuopat

Moni pk-yritys kompastuu pääsynhallinnan ja MFA:n toteutukseen usein resurssirajoitteiden, epäselvien vastuiden tai epämuodollisiin käytäntöihin liiallisen luottamisen vuoksi. Yleisimmät sudenkuopat ovat:

• Jaetut tunnukset: Geneeristen kirjautumistunnusten, kuten “admin” tai “developer”, käyttö heikentää osoitusvelvollisuutta ja tekee mahdottomaksi jäljittää toimia yksittäisiin henkilöihin. Tämä on yleinen auditointihavainto ja suora poikkeama sekä ISO 27001:n että GDPR:n odotuksista.
• MFA-puutteet: MFA:n soveltaminen vain osaan tileistä tai sen soveltamatta jättäminen etäkäyttöön ja etuoikeutettuun pääsyyn jättää kriittiset järjestelmät alttiiksi. Hyökkääjät kohdistavat usein juuri näihin heikkoihin kohtiin.
• Vanhentuneet käyttöoikeudet: Lähtijöiden tai roolia vaihtavien henkilöiden käyttöoikeuksien poistamisen laiminlyönti luo käyttämättömien tunnusten joukon, jota voidaan hyödyntää. Pk-yritykset sivuuttavat tämän usein erityisesti sopimuskumppaneiden ja kolmansien osapuolten osalta.
• Harvat katselmoinnit: Säännöllisten käyttöoikeuskatselmointien ohittaminen tarkoittaa, että ongelmat jäävät havaitsematta. Ilman aikataulutettuja tarkastuksia orvot käyttäjätilit ja käyttöoikeuksien hallitsematon kasautuminen lisääntyvät.
• Politiikan ajautuminen irti käytännöstä: Politiikkojen päivittämättä jättäminen järjestelmien tai lakisääteisten vaatimusten muuttuessa johtaa hallintakeinoihin, jotka eivät vastaa todellisuutta. Tämä on erityisen riskialtista uusien pilvialustojen käyttöönoton yhteydessä tai merkittävien liiketoimintamuutosten jälkeen.
• Toimittajiin liittyvät katvealueet: Oletus siitä, että kolmannen osapuolen palveluntarjoajat tai ulkoistetut kehittäjät hallitsevat oman pääsynsä turvallisesti, on vakava riski. Pk-yritysten on sovellettava omia vaatimuksiaan ja varmistettava niiden noudattaminen.

Esimerkiksi digitaalisen markkinoinnin pk-yrityksessä entinen sopimuskumppani säilytti pääsyn asiakaskampanjoihin kuukausia lähdön jälkeen, koska poistumismenettelyn tarkastuksia ei ollut ja käytössä oli jaettuja kirjautumistunnuksia. Tämä havaittiin vasta asiakkaan pyytämässä käyttöoikeuskatselmoinnissa, mikä korosti tiukempien hallintakeinojen ja säännöllisten auditointien tarvetta.

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka¹

Seuraavat vaiheet

• Aloita kattavalla ISMS- ja pääsynhallintatyökalupakilla: Zenith Suite
• Päivitä kattavaan pk-yritysten ja suuryritysten vaatimustenmukaisuuspakettiin: Complete SME + Enterprise Combo Pack
• Suojaa pk-yrityksesi räätälöidyllä vaatimustenmukaisuuden ja pääsynhallinnan paketilla: Full SME Pack

Viitteet