⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
FI EN BG CS DA DE EL ES ET FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
Compliance ISO 27001 NIS2 DORA

Kuinka rakentaa käytännössä toimiva tietojenkalastelun torjuntakykyohjelma

Igor Petreski
14 min read
#ISO 27001:2022 #Riskienhallinta #Tietoturvapoikkeamien hallinta #Tietosuoja #Vaatimustenmukaisuus

Tekniset tietoturvahallintakeinot voivat olla vahvoja, mutta henkilöstö pysyy tietojenkalasteluhyökkäysten ensisijaisena kohteena. Tämä opas kuvaa jäsennellyn, ISO 27001 -standardin mukaisen tavan rakentaa tietojenkalastelun torjuntakykyohjelma, joka muuttaa henkilöstön haavoittuvuudesta vahvimmaksi puolustuslinjaksi, vähentää inhimillisiä virheitä ja täyttää NIS2:n ja DORA:n kaltaisten sääntelykehysten vaatimukset.

Mikä on panoksena

Tekniset suojauskeinot, kuten sähköpostisuodattimet ja päätelaitesuojaus, ovat välttämättömiä, mutta ne eivät ole aukottomia. Hyökkääjät tietävät, että helpoin reitti suojattuun verkkoon kulkee usein ihmisen kautta. Yksi klikkaus haitalliseen linkkiin voi ohittaa miljoonien puntien arvoisen tietoturvateknologian. Käyttäjätilit ovat kyberhyökkäysten yleisimmin kohdennettuja sisääntulopisteitä, ja onnistunut tietojenkalastelukampanja voi johtaa tunnistetietojen varkauteen, haittaohjelmatartuntaan ja luvattomaan pääsyyn. Seuraukset eivät ole pelkästään teknisiä, vaan niillä on suora liiketoiminnallinen vaikutus. Vaarantunut käyttäjätili voi johtaa vilpillisiin tilisiirtoihin, arkaluonteisten asiakastietojen paljastumiseen ja merkittäviin käyttökatkoihin, kun järjestelmiä puhdistetaan ja palautetaan.

Sääntely-ympäristö on yhtä vaativa. GDPR, NIS2 ja DORA edellyttävät nimenomaisesti, että organisaatiot toteuttavat turvallisuustoimenpiteitä, joihin sisältyvät jatkuva henkilöstön koulutus ja tietoisuuden ylläpitäminen. Esimerkiksi NIS2-direktiivin Article 21 edellyttää, että keskeiset ja tärkeät toimijat tarjoavat kyberturvallisuuskoulutusta ja edistävät kyberhygienian peruskäytäntöjä. Vastaavasti DORA:n Article 13 edellyttää, että finanssialan toimijat perustavat kattavat koulutusohjelmat. Kyvyttömyys osoittaa vahvaa tietoisuusohjelmaa voi johtaa merkittäviin seuraamuksiin, mainehaittaan ja asiakkaiden luottamuksen menettämiseen. Riski ei ole teoreettinen, vaan se kohdistuu suoraan taloudelliseen vakauteen ja oikeudelliseen asemaan. Inhimillinen virhe on keskeinen riskilähde, ja valvontaviranomaiset odottavat sen käsittelyä samalla vakavuudella kuin teknisten haavoittuvuuksien käsittelyä.

Kuvitellaan keskisuuri logistiikkayritys. Talousosaston työntekijä saa vakuuttavan sähköpostin, joka näyttää tulevan tutulta toimittajalta ja jossa pyydetään kiireellistä maksua uudelle pankkitilille. Sähköpostin allekirjoitus näyttää oikealta ja sävy on tuttu. Laskujen nopean käsittelyn paineessa työntekijä tekee siirron ilman suullista varmennusta. Päiviä myöhemmin oikea toimittaja soittaa erääntyneestä maksusta. Yritys on menettänyt 50 000 puntaa, ja sitä seuraava tutkinta aiheuttaa merkittävää häiriötä. Tämä poikkeama olisi ollut täysin estettävissä vahvalla tietojenkalastelun torjuntakykyohjelmalla, joka kouluttaa henkilöstön tunnistamaan varoitusmerkit ja varmentamaan poikkeavat pyynnöt erillisessä viestintäkanavassa.

Miltä hyvä näyttää

Onnistunut tietojenkalastelun torjuntakykyohjelma siirtää organisaation reaktiivisesta toimintatavasta ennakoivaan toimintatapaan. Se rakentaa tietoturvatietoista kulttuuria, jossa työntekijät eivät ole pelkkiä koulutuksen passiivisia vastaanottajia vaan aktiivisia osallistujia organisaation puolustuksessa. Tätä tilaa määrittävät mitattavat käyttäytymisen parannukset ja inhimillisiin tekijöihin liittyvän riskin konkreettinen pieneneminen. Se vastaa suoraan ISO/IEC 27001:2022 -standardin vaatimuksiin, erityisesti tietoisuutta koskevaan kohtaan 7.3 ja liitteen A hallintakeinoon A.6.3, joka koskee tietoturvatietoisuutta, koulutusta ja opetusta. Hyvä tarkoittaa henkilöstöä, joka ymmärtää tietoturvavastuunsa ja jolla on niiden täyttämiseen tarvittava osaaminen.

Tässä tavoitetilassa työntekijät tunnistavat ja raportoivat epäilyttävät sähköpostit luottavaisesti sen sijaan, että he sivuuttaisivat ne tai pahimmillaan klikkaisivat niitä. Raportointiprosessi on yksinkertainen, tunnettu ja integroitu päivittäiseen työnkulkuun. Kun simuloitu tietojenkalastelukampanja toteutetaan, klikkausprosentit ovat matalia ja laskevat johdonmukaisesti, kun taas raportointitiheys on korkea ja kasvaa. Nämä tiedot tarjoavat auditoijille, johdolle ja valvontaviranomaisille selkeää näyttöä ohjelman vaikuttavuudesta. Vielä tärkeämpää on, että ne osoittavat henkilöstön muodostaneen inhimillisen palomuurin, joka pystyy havaitsemaan uhkia, jotka automatisoiduilta järjestelmiltä voivat jäädä huomaamatta. Tämä valppauden kulttuuri on kyberhygienian ydinosatekijä ja keskeinen periaate nykyaikaisessa sääntelyssä, kuten NIS2:ssa.

Kuvitellaan ohjelmistokehitykseen erikoistunut pk-yritys, jossa kehittäjä saa pitkälle räätälöidyn kohdennetun tietojenkalasteluviestin. Viesti näyttää tulevan projektipäälliköltä ja sisältää linkin asiakirjaan, jota kuvataan “kiireellisiksi projektimääritysten muutoksiksi”. Kehittäjä on koulutettu suhtautumaan kriittisesti odottamattomiin kiireellisiin pyyntöihin ja huomaa, että lähettäjän sähköpostiosoite on hienovaraisesti virheellinen. Klikkaamisen sijaan hän käyttää sähköpostiohjelman erillistä “raportoi tietojenkalastelu” -painiketta. Tietoturvatiimi saa välittömästi hälytyksen, analysoi uhan ja estää haitallisen verkkotunnuksen koko organisaatiossa, mikä ehkäisee mahdollisen tietoturvaloukkauksen. Tämä on tavoitetila: koulutettu ja tietoinen työntekijä toimii kriittisenä sensorina organisaation tietoturvajärjestelmässä.

Käytännön etenemismalli

Kestävän tietojenkalastelun torjuntakykyohjelman rakentaminen on järjestelmällinen prosessi, ei kertaluonteinen tapahtuma. Se edellyttää jäsenneltyä lähestymistapaa, jossa yhdistyvät arviointi, koulutus ja jatkuva vahvistaminen. Kun toteutus jaetaan hallittaviin vaiheisiin, eteneminen nopeutuu ja arvo voidaan osoittaa varhain. Tämä etenemismalli varmistaa, ettei ohjelma ole vain vaatimustenmukaisuuden muodollinen rastitus, vaan parantaa aidosti tietoturvan tilaa. Toteutusoppaamme Zenith Blueprint tarjoaa yleisen viitekehyksen tämäntyyppisen tietoisuushankkeen integroimiseksi tietoturvallisuuden hallintajärjestelmään (ISMS).1

Vaihe 1: perustan luominen ja lähtötason arviointi

Ennen kuin torjuntakykyä voidaan rakentaa, lähtötilanne on ymmärrettävä. Ensimmäisessä vaiheessa määritetään henkilöstön nykyisen tietoisuuden perustaso ja tunnistetaan eri rooleissa tarvittavat osaamiset. Tämä tarkoittaa enemmän kuin oletusta siitä, että kaikille riittää sama yleiskoulutus. Taloushallinnon henkilöstö kohtaa erilaisia uhkia kuin ohjelmistokehittäjät. Perusteellinen arviointi auttaa kohdentamaan ohjelman vaikuttavasti ja varmistamaan, että sisältö on kohderyhmälle relevanttia ja sitouttavaa. Tämä on linjassa ISO 27001 -standardin kohdan 7.2 kanssa, joka edellyttää, että organisaatiot varmistavat henkilöstön pätevyyden asianmukaisen koulutuksen ja opetuksen perusteella.

  • Tunnista tarvittavat osaamiset: Kartoita eri rooleissa tarvittava tietoturvaosaaminen. Esimerkiksi henkilöstöhallinnon henkilöstön on ymmärrettävä henkilötietojen turvallinen käsittely, kun taas IT-järjestelmänvalvojat tarvitsevat syvällistä osaamista turvallisesta konfiguroinnista.
  • Arvioi nykyinen tietoisuustaso: Toteuta aluksi ennalta ilmoittamaton tietojenkalastelusimulaatio lähtötason klikkausprosentin määrittämiseksi. Tämä antaa konkreettisen mittarin, johon tulevaa parannusta voidaan verrata.
  • Määritä ohjelman tavoitteet: Aseta selkeät ja mitattavat tavoitteet. Esimerkiksi: “Vähennetään tietojenkalastelusimulaation klikkausprosenttia 50 % kuuden kuukauden kuluessa” tai “Nostetaan tietojenkalastelun raportointiaste 75 %:iin vuoden kuluessa.”
  • Valitse työkalut: Valitse alusta koulutusten toimittamiseen ja simulaatioiden toteuttamiseen. Varmista, että se tarjoaa yksityiskohtaista analytiikkaa käyttäjien suoriutumisesta ja raportoinnista.

Vaihe 2: sisällön kehittäminen ja alkuvaiheen koulutus

Kun lähtötaso ja tavoitteet ovat selvät, seuraava vaihe on ydinkoulutussisällön kehittäminen ja toteuttaminen. Tässä vaiheessa aletaan korjata vaiheessa 1 tunnistettuja osaamispuutteita. Keskeistä on tehdä koulutuksesta käytännönläheistä, relevanttia ja jatkuvaa. Yksi vuosittainen koulutustilaisuus ei riitä. Tehokkaat ohjelmat upottavat tietoturvatietoisuuden koko työntekijän elinkaareen ensimmäisestä työpäivästä alkaen. Tavoitteena on antaa jokaiselle henkilölle valmiudet tunnistaa ja välttää yleisiä uhkia, kuten tietojenkalastelu ja haittaohjelmat.

  • Kehitä roolipohjaisia koulutusmoduuleja: Laadi erityissisältöjä korkean riskin osastoille. Taloushallinnon tiimien tulee saada koulutusta yrityssähköpostin vaarantamiseen perustuvista huijauksista ja laskupetoksista, kun taas kehittäjille tarjotaan koulutusta turvallisen ohjelmoinnin käytännöistä.
  • Käynnistä perustason koulutus: Ota käyttöön pakollinen tietoturvatietoisuusmoduuli kaikille työntekijöille. Sen tulee kattaa tietojenkalastelun, salasanojen turvallisen käytön, sosiaalisen manipuloinnin ja tietoturvapoikkeaman raportoinnin perusteet.
  • Integroi koulutus perehdytykseen: Varmista, että kaikki uudet työntekijät suorittavat tietoturvatietoisuuskoulutuksen osana perehdytysprosessia. Tämä asettaa selkeät odotukset heti ensimmäisestä päivästä alkaen. Hyödynnä tilaisuus keskeisten politiikkojen hyväksymisen dokumentointiin.

Vaihe 3: simulaatiot, raportointi ja palaute

Pelkkä koulutus ei riitä; toimintaa on testattava ja vahvistettava. Tässä vaiheessa toteutetaan säännöllisiä, hallittuja tietojenkalastelusimulaatioita, jotka tarjoavat työntekijöille turvallisen ympäristön harjoitella taitojaan. Yhtä tärkeää on luoda kitkaton prosessi epäilyttävien viestien raportointiin. Kun työntekijä raportoi mahdollisesta uhasta, hän tuottaa arvokasta reaaliaikaista uhkatietoa. Organisaation reagointi näihin ilmoituksiin on ratkaisevaa luottamuksen rakentamiseksi ja tulevan raportoinnin kannustamiseksi. Selkeä ja käytännöllinen tietoturvapoikkeamien hallinta- ja reagointisuunnitelma on tässä vaiheessa välttämätön.

  • Aikatauluta säännölliset tietojenkalastelusimulaatiot: Siirry lähtötason testistä säännölliseen simulaatiorutiiniin, esimerkiksi kuukausittain tai neljännesvuosittain. Vaihtele mallipohjien vaikeustasoa ja teemoja, jotta työntekijöiden valppaus säilyy.
  • Luo yksinkertainen raportointimekanismi: Ota sähköpostiohjelmassa käyttöön “raportoi tietojenkalastelu” -painike. Sen avulla käyttäjät voivat ilmoittaa epäilyttävistä sähköposteista yhdellä klikkauksella ilman epävarmuutta tai ylimääräisiä vaiheita.
  • Anna välitön palaute: Kun käyttäjä klikkaa simulaatiolinkkiä, anna heti rakentavaa ja ei-rankaisevaa palautetta, jossa selitetään huomaamatta jääneet varoitusmerkit. Jos käyttäjä raportoi simulaation, lähetä automaattinen kiitosviesti myönteisen toiminnan vahvistamiseksi.
  • Analysoi ja jaa tulokset: Seuraa mittareita, kuten klikkausprosentteja, raportointitiheyttä ja raportointiin kulunutta aikaa. Jaa anonymisoidut, ylätason tulokset johdolle ja laajemmalle henkilöstölle edistymisen osoittamiseksi ja sitoutumisen ylläpitämiseksi.

Politiikat, jotka vakiinnuttavat toiminnan

Onnistunut tietojenkalastelun torjuntakykyohjelma ei voi toimia irrallaan. Sen tueksi tarvitaan selkeä ja sovellettavissa oleva politiikkakehys, joka virallistaa odotukset, määrittää vastuut ja integroi tietoturvatietoisuuden organisaation toimintatapaan. Politiikat muuttavat strategiset tavoitteet operatiivisiksi säännöiksi, jotka ohjaavat työntekijöiden toimintaa ja luovat perustan vastuun osoitettavuudelle. Ilman tätä dokumentoitua perustaa koulutustoimet voivat näyttäytyä vapaaehtoisina ja niiden vaikutus heikkenee ajan myötä. Keskeinen asiakirja on tietoturvatietoisuus- ja koulutuspolitiikka.2 Tämä politiikka antaa virallisen perustan koko ohjelmalle perehdytyksestä jatkuvaan koulutukseen.

Tämän ydinpolitiikan ei tule olla erillinen asiakirja. Se on liitettävä muihin keskeisiin hallinnointiasiakirjoihin yhtenäisen tietoturvakulttuurin luomiseksi. Esimerkiksi hyväksyttävän käytön politiikka3 määrittää perussäännöt yrityksen teknologian käytölle ja tarjoaa luontevan paikan viitata työntekijöiden vastuuseen pysyä valppaana tietojenkalastelua vastaan. Kun tietoturvatapahtuma tapahtuu, tietoturvapoikkeamien hallintapolitiikan4 tulee määrittää selkeästi vaiheet, joiden mukaisesti työntekijä raportoi tapahtuman. Näin raportoidusta tietojenkalasteluyrityksestä saatu tieto käsitellään nopeasti ja tehokkaasti. Yhdessä nämä politiikat muodostavat toisiinsa kytkeytyvien hallintakeinojen järjestelmän, joka vahvistaa turvallista toimintaa.

Esimerkiksi tietoturvallisuuden hallintajärjestelmän neljännesvuosittaisessa katselmuksessa tietoturvajohtaja esittelee uusimmat tietojenkalastelusimulaatioiden tulokset. Tulokset osoittavat lievän nousun laskupetoksiin liittyvien mallipohjien klikkauksissa. Tiimi päättää päivittää tietoturvatietoisuus- ja koulutuspolitiikan niin, että talousosastolle määrätään ennen seuraavaa vuosineljännestä erityinen kohdennettu koulutus. Päätös dokumentoidaan, ja päivitetty politiikka viestitään kaikille asiaankuuluville työntekijöille. Näin ohjelma mukautuu esiin nouseviin riskeihin jäsennellyllä ja auditoitavissa olevalla tavalla.

Tarkistuslistat

Jotta ohjelma olisi kattava ja tehokas, työ kannattaa jakaa selkeisiin vaiheisiin: perustan rakentamiseen, päivittäiseen operointiin ja vaikutuksen todentamiseen. Nämä tarkistuslistat tarjoavat käytännön ohjeen jokaiseen vaiheeseen, auttavat etenemään suunnitelmallisesti ja varmistavat, että auditoijien ja valvontaviranomaisten odotukset täyttyvät. Hyvin dokumentoitua ohjelmaa on huomattavasti helpompi puolustaa auditoinnissa.

Rakenna: tietojenkalastelun torjuntakykyohjelman rakentaminen

Vahva perusta on ratkaiseva pitkän aikavälin onnistumiselle. Tämä alkuvaihe sisältää strategisen suunnittelun, resurssien varmistamisen ja ohjelman ydinosien suunnittelun. Vaiheen kiirehtiminen johtaa usein yleisluonteiseen ja tehottomaan koulutukseen, joka ei sitouta työntekijöitä eikä vastaa organisaation erityistä riskiprofiilia. Kun ohjelma rakennetaan huolellisesti, se näkyy parempana tietoturvan tilana ja häiriönsietokykyisempänä henkilöstönä.

  • Määritä ohjelmalle selkeät tavoitteet ja keskeiset suorituskykymittarit (KPI).
  • Varmista johdon sitoutuminen sekä riittävä budjetti työkaluille ja resursseille.
  • Toteuta lähtötason tietojenkalastelusimulaatio alkuperäisen haavoittuvuuden mittaamiseksi.
  • Tunnista korkean riskin käyttäjäryhmät ja niihin kohdistuvat erityiset uhat.
  • Kehitä tai hanki perustason ja roolikohtainen koulutussisältö.
  • Integroi tietoturvatietoisuuskoulutus uusien työntekijöiden perehdytysprosessiin.
  • Luo käyttäjille yksinkertainen yhden klikkauksen prosessi epäilyttävien sähköpostien raportointiin.

Operoi: ohjelman vauhdin ylläpitäminen

Käynnistämisen jälkeen tietojenkalastelun torjuntakykyohjelma edellyttää jatkuvaa työtä pysyäkseen vaikuttavana. Tämä operatiivinen vaihe tarkoittaa säännöllisten toimenpiteiden ylläpitämistä, jotta tietoturva säilyy kaikkien työntekijöiden mielessä. Siihen kuuluvat simulaatioiden toteuttaminen, tuloksista viestiminen ja ohjelman mukauttaminen suoriutumistietojen sekä kehittyvän uhkaympäristön perusteella. Tässä vaiheessa kertaluonteinen projekti muutetaan kestäväksi liiketoimintaprosessiksi.

  • Aikatauluta ja toteuta säännöllisiä tietojenkalastelusimulaatioita vaihtelevilla mallipohjilla ja vaikeustasoilla.
  • Anna simulaatiolinkkejä klikanneille käyttäjille välitöntä, kouluttavaa palautetta.
  • Kuittaa ja kiitä käyttäjiä, jotka raportoivat simuloidut ja todelliset tietojenkalasteluviestit oikein.
  • Julkaise sidosryhmille säännöllisiä anonymisoituja raportteja ohjelman suorituskyvystä.
  • Toimita jatkuvaa tietoisuussisältöä uutiskirjeiden, vinkkien tai sisäisen viestinnän kautta.
  • Päivitä koulutusmoduulit vuosittain tai silloin, kun merkittäviä uusia uhkia ilmenee.

Todenna: ohjelman vaikuttavuuden auditointi

Todentamisessa osoitetaan, että ohjelma toimii. Tämä edellyttää näytön keräämistä ja esittämistä auditoijille, valvontaviranomaisille ja ylimmälle johdolle. Tehokas ohjelma perustuu dataan, ja sen tulee pystyä osoittamaan selkeä investoinnin tuotto riskin pienenemisen kautta. Auditoijat etsivät objektiivista näyttöä, eivät pelkkiä väitteitä. Jäsennellyn hallintakeinokirjaston, kuten Zenith Controls, käyttö voi auttaa varmistamaan, että näyttö vastaa ISO 27001:n kaltaisia standardeja.5

  • Säilytä yksityiskohtainen dokumentaatio kaikista koulutustoiminnoista, mukaan lukien aikataulut ja läsnäolotiedot.
  • Säilytä kopiot kaikista käytetyistä koulutusmateriaaleista ja tietojenkalastelusimulaatioiden mallipohjista.
  • Seuraa ja dokumentoi tietojenkalastelusimulaatioiden klikkausprosentit ja raportointitiheydet ajan kuluessa.
  • Kerää näyttöä poikkeaman jälkiarvioinneista, joissa tietojenkalastelu on ollut juurisyy.
  • Toteuta säännöllisiä arviointeja, kuten haastatteluja tai tietotestejä, osaamisen säilymisen arvioimiseksi.
  • Varaudu osoittamaan auditoijille, miten ohjelma on mitattavasti vähentänyt inhimillisiin tekijöihin liittyvää riskiä.

Yleiset sudenkuopat

Hyvistä aikomuksista huolimatta tietojenkalastelun torjuntakykyohjelmat eivät aina tuota tuloksia. Näiden yleisten virheiden välttäminen on yhtä tärkeää kuin parhaiden käytäntöjen noudattaminen. Kun tunnistat nämä riskit etukäteen, voit suunnitella ohjelman, joka on sitouttava, vaikuttava ja kestävä.

  • Koulutuksen käsitteleminen kertaluonteisena tapahtumana. Tietoturvatietoisuus ei ole kertaluonteinen tehtävä. Se edellyttää jatkuvaa vahvistamista. Vuosittainen koulutustilaisuus unohtuu nopeasti eikä rakenna pysyvää tietoturvakulttuuria.
  • Syyllistämisen kulttuurin luominen. Käyttäjien rankaiseminen tietojenkalastelusimulaatioissa epäonnistumisesta on haitallista. Se vähentää raportointia ja luo pelkoa, jolloin tietoturvaongelmat jäävät piiloon. Tavoite on koulutus, ei kurinpito.
  • Epärealististen tai yleisluonteisten simulaatioiden käyttäminen. Jos tietojenkalastelumallipohjat ovat ilmeisen tekaistuja tai eivät liity organisaation toimintaympäristöön, työntekijät oppivat tunnistamaan simulaatiot mutta eivät todellisia hyökkäyksiä.
  • Johtoryhmän sivuuttaminen. Hyökkääjät kohdistavat usein erittäin personoituja kohdennettuja tietojenkalasteluhyökkäyksiä ylimpään johtoon. Ylimmän johdon ja heidän assistenttiensa on oltava mukana koulutuksessa ja simulaatioissa.
  • Raportoinnin tekeminen vaikeaksi. Jos työntekijän täytyy etsiä ohjeita epäilyttävän sähköpostin raportointiin, hän tekee sen harvemmin. Yksinkertainen yhden klikkauksen raportointipainike on välttämätön.
  • Raportoituihin poikkeamiin reagoimatta jättäminen. Kun käyttäjät raportoivat todellisista tietojenkalasteluviesteistä, he tuottavat kriittistä uhkatietoa. Jos tietoturvatiimi ei kuittaa ilmoituksia tai ryhdy toimiin niiden perusteella, käyttäjät lakkaavat raportoimasta.

Seuraavat vaiheet

Häiriönsietokykyisen inhimillisen palomuurin rakentaminen on olennainen osa nykyaikaista tietoturvastrategiaa. Toteuttamalla jäsennellyn ja jatkuvan tietojenkalastelutietoisuusohjelman voit vähentää tietoturvaloukkauksen riskiä merkittävästi ja osoittaa keskeisten säädösten mukaisuuden.

Viitteet

  1. Clarysec. (2025). Zenith ISMS Implementation Blueprint↩︎

  2. Clarysec. (2025). P8S Information Security Awareness and Training Policy↩︎

  3. Clarysec. (2025). P3S Acceptable Use Policy↩︎

  4. Clarysec. (2025). P30S Incident Response Policy↩︎

  5. Clarysec. (2025). Zenith Controls Library for ISO 27001:2022↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles