Tietojenkalastelun torjuntakykyohjelman rakentaminen: ISO 27001 -opas

Tietojenkalastelu on edelleen hyökkääjien keskeinen sisäänpääsyreitti, koska se hyödyntää inhimillisiä virheitä teknisten suojausten ohittamiseen. Yleinen vuosittainen koulutus ei riitä. Tässä oppaassa kuvataan, miten rakennetaan vahva ja mitattava tietojenkalastelun torjuntakykyohjelma ISO 27001:2022 -standardin hallintakeinojen A.6.3 ja A.6.4 avulla, jotta organisaatio voi luoda tietoturvatietoisen kulttuurin ja osoittaa riskin konkreettisen vähentymisen.

Mikä on vaakalaudalla

Yksi klikkaus haitalliseen linkkiin voi horjuttaa koko organisaation tietoturvan tilaa. Tietojenkalastelu ei ole pelkkä IT-haitta, vaan kriittinen liiketoimintariski, jonka ketjuuntuvat seuraukset voivat uhata toiminnan vakautta, taloudellista asemaa ja asiakkaiden luottamusta. Välitön vaikutus on usein taloudellinen: petollisista tilisiirroista kiristyshaittaohjelmista palautumisen lamauttaviin kustannuksiin. Vahinko ulottuu kuitenkin paljon syvemmälle. Onnistunut tietojenkalasteluhyökkäys, joka johtaa henkilötietojen tietoturvaloukkaukseen, käynnistää kiireellisen kilpajuoksun sääntelyvelvoitteiden täyttämiseksi, kuten GDPR:n 72 tunnin ilmoitusajan noudattamiseksi, ja altistaa organisaation merkittäville sakoille ja oikeudellisille toimille.

Suorien taloudellisten ja oikeudellisten seuraamusten lisäksi toiminnallinen häiriö voi olla katastrofaalinen. Järjestelmät muuttuvat käyttökelvottomiksi, kriittiset liiketoimintaprosessit pysähtyvät ja tuottavuus romahtaa, kun tiimit siirretään rajaamis- ja palautustoimiin. Sisäinen kaaos näkyy ulospäin mainehaittana. Asiakkaat menettävät luottamuksensa organisaatioon, joka ei pysty suojaamaan heidän tietojaan, kumppanit suhtautuvat varauksella toisiinsa kytkeytyneisiin järjestelmiin ja brändin arvo heikkenee. ISO 27005:n kaltaiset viitekehykset tunnistavat ihmistekijän keskeiseksi riskilähteeksi, ja NIS2:n ja DORA:n kaltaiset säädökset edellyttävät nykyisin nimenomaisesti vahvaa tietoturvakoulutusta häiriönsietokyvyn rakentamiseksi. Vahvan inhimillisen palomuurin rakentamatta jättäminen ei ole enää pelkkä tietoturva-aukko, vaan perustavanlaatuinen hallinto- ja riskienhallintavirhe.

Esimerkiksi pienen tilitoimiston työntekijä klikkaa tietojenkalastelulinkkiä, joka on naamioitu asiakkaan laskuksi. Tämä asentaa kiristyshaittaohjelman, joka salaa kaikki asiakastiedostot viikkoa ennen veroilmoitusten määräaikoja. Yritys kohtaa välittömän taloudellisen menetyksen lunnasvaatimuksesta, sääntelysakot henkilötietojen tietoturvaloukkauksesta ja menettää useita pitkäaikaisia asiakkaita, jotka eivät enää luota yritykseen arkaluonteisten taloustietojensa käsittelijänä.

Miltä hyvä näyttää

Onnistunut tietojenkalastelun torjuntakykyohjelma muuttaa tietoturvan teknisestä siilosta yhteiseksi organisaatiovastuuksi. Se rakentaa kulttuurin, jossa työntekijät eivät ole heikoin lenkki vaan ensimmäinen puolustuslinja. Tätä tilaa määrittää ennakoiva valppaus, ei reaktiivinen pelko. Onnistumista ei mitata yksinomaan simuloitujen tietojenkalasteluviestien matalalla klikkausprosentilla, vaan korkealla ja nopealla ilmoitusprosentilla. Kun työntekijät havaitsevat jotain epäilyttävää, heidän välitön ja sisäistetty toimintatapansa on ilmoittaa siitä selkeän ja yksinkertaisen kanavan kautta luottaen siihen, että heidän toimintansa on arvokasta. Tämä käyttäytymisen muutos on ohjelman keskeinen tavoite.

Tätä tavoitetilaa tukee ISO 27001:2022 -standardin hallintakeinojen järjestelmällinen soveltaminen. Hallintakeino A.6.3, joka kattaa tietoturvatietoisuuden, koulutuksen ja perehdyttämisen, muodostaa jatkuvan oppimisen viitekehyksen. Kyse ei ole kertaluonteisesta tapahtumasta vaan jatkuvasta ohjelmasta, jossa koulutus on osallistavaa, asiaankuuluvaa ja roolikohtaista. Sitä täydentää hallintakeino A.6.4, kurinpitomenettely, joka antaa muodollisen, oikeudenmukaisen ja yhdenmukaisen rakenteen toistuvan huolimattoman toiminnan käsittelyyn. Kaiken perustana on johdon sitoutuminen, kuten kohta 5.1 edellyttää. Kun ylin johto tukee ohjelmaa näkyvästi ja osallistuu siihen, se viestii ohjelman merkityksen koko organisaatiolle.

Kuvitellaan markkinointitoimisto, joka toteuttaa tietojenkalastelusimulaatioita neljännesvuosittain. Kun nuorempi suunnittelija ilmoittaa erityisen uskottavasta testisähköpostista, joka jäljittelee uuden asiakkaan pyyntöä, tietoturvatiimi ei ainoastaan kiitä häntä henkilökohtaisesti vaan antaa myös julkisen tunnustuksen hänen huolellisuudestaan koko yrityksen uutiskirjeessä. Tämä yksinkertainen teko vahvistaa toivottua käyttäytymistä, kannustaa muita vastaavaan valppauteen ja muuttaa rutiininomaisen koulutusharjoituksen vahvaksi kulttuuriseksi tuen osoitukseksi tietoturvaohjelmalle.

Käytännön etenemismalli

Tehokkaan tietojenkalastelun torjuntakykyohjelman rakentaminen on jatkuvan parantamisen matka, ei yksittäinen projekti, jolla on selkeä päätepiste. Se edellyttää jäsenneltyä ja vaiheistettua lähestymistapaa, jossa edetään perustason suunnittelusta jatkuvaan optimointiin. Kun prosessi jaetaan vaiheisiin, voidaan kasvattaa vauhtia, osoittaa varhaisia onnistumisia ja juurruttaa tietoturvakäyttäytyminen syvälle organisaation kulttuuriin. Näin ohjelma ei jää vaatimustenmukaisuuden tarkistuslistan rastiksi, vaan siitä tulee dynaaminen puolustusmekanismi, joka mukautuu kehittyviin uhkiin. Jokainen vaihe rakentuu edellisen päälle ja muodostaa kypsän, mitattavan ja kestävän tietoturvaresurssin.

Vaihe 1: perustan luominen (viikot 1–4)

Ensimmäinen kuukausi keskittyy strategiaan ja suunnitteluun. Ennen ensimmäisenkään simuloidun tietojenkalasteluviestin lähettämistä tulee määrittää, miltä onnistuminen näyttää, ja varmistaa tarvittava tuki sen saavuttamiseksi. Tämä perustava vaihe on kriittinen ohjelman sovittamiseksi liiketoimintatavoitteisiin ja laajempaan tietoturvallisuuden hallintajärjestelmään (ISMS). Siihen sisältyy ylimmän johdon sitoutumisen varmistaminen, selkeiden ja mitattavien tavoitteiden määrittäminen sekä nykyisen haavoittuvuustason ymmärtäminen. Ilman tätä strategista perustaa myöhemmiltä toimilta puuttuvat suunta ja toimivalta, jolloin merkittävän muutoksen saavuttaminen tai ohjelman arvon osoittaminen ajan mittaan vaikeutuu. Toteutusoppaamme auttaa jäsentämään tämän alkuvaiheen yhteensovittamisen ISMS:n kanssa. Zenith Blueprint¹

• Varmista ylimmän johdon tuki: Hanki ylimmän johdon sitoutuminen ISO 27001:n kohdan 5.1 mukaisesti. Esitä liiketoimintaperuste korostamalla tietojenkalasteluun liittyviä riskejä ja torjuntakykyisen henkilöstön konkreettisia hyötyjä.
• Määritä tavoitteet ja KPI:t: Aseta selkeät ja mitattavat tavoitteet kohdan 9.1 mukaisesti. Keskeisiin suorituskykymittareihin tulee sisällyttää klikkausprosentin lisäksi ilmoitusprosentti, keskimääräinen ilmoittamisaika sekä yksittäisten käyttäjien toistuvien klikkausten määrä.
• Määritä lähtötaso: Toteuta ensimmäinen, ennalta ilmoittamaton tietojenkalastelusimulaatio ennen koulutusta. Se antaa selkeän lähtötason organisaation nykyisestä alttiudesta ja auttaa osoittamaan parannuksen ajan kuluessa.
• Valitse työkalut: Valitse tietojenkalastelusimulaatio- ja tietoturvatietoisuuskoulutusalusta, joka sopii organisaation kokoon, kulttuuriin ja tekniseen ympäristöön. Varmista, että se tarjoaa laadukkaan analytiikan ja monipuolista koulutussisältöä.

Vaihe 2: käyttöönotto ja koulutus (viikot 5–12)

Kun suunnitelma on kunnossa, seuraavat kaksi kuukautta keskittyvät toteutukseen ja koulutukseen. Tässä vaiheessa ohjelma viedään työntekijöille ja siirrytään teoriasta käytäntöön. Vaiheen onnistumisen kannalta viestintä on ratkaisevaa. Ohjelma tulee asemoida työntekijöitä tukevaksi ja kouluttavaksi aloitteeksi, joka vahvistaa heidän toimintakykyään, ei rankaisevaksi mekanismiksi, jolla heidät yritetään saada kiinni virheistä. Tavoitteena on rakentaa luottamusta ja kannustaa osallistumiseen. Vaiheeseen sisältyvät ensimmäisen koulutusaallon toteuttaminen, säännöllisten simulaatioiden käynnistäminen sekä välittömän ja rakentavan palautteen antaminen, jotta työntekijät voivat oppia virheistään turvallisessa ympäristössä.

• Viestitä ohjelmasta: Ilmoita aloitteesta kaikille työntekijöille. Kerro sen tarkoitus, mitä työntekijät voivat odottaa ja miten se auttaa suojaamaan sekä heitä että yritystä. Korosta, että tavoitteena on oppiminen, ei rankaiseminen.
• Toteuta perustason koulutus: Määritä alkuvaiheen koulutusmoduulit, jotka kattavat tietojenkalastelun perusteet. Selitä, mitä tietojenkalastelu on, näytä tyypillisiä esimerkkejä haitallisista sähköposteista ja anna selkeät ohjeet virallisesta prosessista epäilyttävien viestien ilmoittamiseen.
• Aloita säännölliset simulaatiot: Käynnistä aikataulutetut tietojenkalastelusimulaatiot. Aloita suhteellisen helposti tunnistettavista malleista ja lisää vaikeustasoa ja uskottavuutta vähitellen.
• Tarjoa koulutus virheen hetkellä: Työntekijöille, jotka klikkaavat simuloitua tietojenkalastelulinkkiä tai antavat tunnistetietoja, tulee automaattisesti määrittää lyhyt ja kohdennettu koulutusmoduuli, joka selittää juuri ne varoitusmerkit, jotka heiltä jäivät huomaamatta. Tämä välitön palaute on erittäin tehokas oppimisen kannalta. Yksityiskohtainen ohjeistuksemme A.6.3:n toteuttamisesta auttaa jäsentämään tämän koulutussyklin. Zenith Controls²

Vaihe 3: mittaa, mukauta ja kypsytä (jatkuva)

Kun ohjelma on toiminnassa, painopiste siirtyy jatkuvaan parantamiseen. Tietojenkalastelun torjuntakykyohjelma on elävä järjestelmä, jonka tulee mukautua organisaation muuttuvaan riskimaisemaan ja hyökkääjien kehittyviin toimintatapoihin. Tätä jatkuvaa vaihetta ohjaa data. Seuraamalla KPI:itä johdonmukaisesti voidaan tunnistaa trendejä, paikantaa heikkouksia ja tehdä perusteltuja päätöksiä siitä, mihin koulutustoimet tulee kohdistaa. Ohjelman kypsyminen tarkoittaa siirtymistä yleisestä kaikille suunnatusta koulutuksesta riskiperusteisempaan lähestymistapaan, integrointia muihin tietoturvaprosesseihin sekä osoitusvelvollisuuden ylläpitämistä.

• Analysoi KPI:t ja raportoi niistä: Katselmoi keskeiset mittarit säännöllisesti. Seuraa klikkausprosenttien, ilmoitusprosenttien ja ilmoitusaikojen kehitystä. Jaa anonymisoidut tulokset johdolle ja laajemmalle organisaatiolle näkyvyyden ja etenemisvauhdin ylläpitämiseksi.
• Segmentoi ja kohdista korkean riskin käyttäjät: Tunnista henkilöt tai osastot, jotka suoriutuvat simulaatioissa toistuvasti heikosti. Tarjoa heille intensiivisempää, henkilökohtaista tai erikoistunutta koulutusta heidän erityisten osaamispuutteidensa korjaamiseksi.
• Integroi tietoturvapoikkeamiin reagointiin: Varmista, että ilmoitettujen tietojenkalasteluviestien käsittelyprosessi on vahva. Kun työntekijä ilmoittaa mahdollisesta uhasta, sen tulee käynnistää määritelty tietoturvapoikkeamiin reagoinnin työnkulku analyysia ja korjaavia toimenpiteitä varten. Tämä sulkee palautesilmukan ja vahvistaa ilmoittamisen arvoa.
• Sovella kurinpitomenettelyä: Niiden harvojen käyttäjien osalta, jotka toistuvasti ja huolimattomasti epäonnistuvat simulaatioissa kohdennetusta koulutuksesta huolimatta, tulee käynnistää muodollinen kurinpitomenettely ISO 27001:n hallintakeinon A.6.4 mukaisesti. Tämä varmistaa vastuun toteutumisen ja osoittaa organisaation sitoutumisen tietoturvaan.

Politiikat, jotka juurruttavat ohjelman

Onnistunut tietojenkalastelun torjuntakykyohjelma ei voi toimia irrallaan muusta hallinnasta. Se tulee virallistaa ja sisällyttää ISMS:ään selkeiden ja velvoittavien politiikkojen avulla. Politiikat antavat ohjelmalle mandaatin, määrittävät sen soveltamisalan ja asettavat selkeät odotukset jokaiselle organisaation jäsenelle. Ne muuttavat tietoisuustoimet harkinnanvaraisesta lisästä pakolliseksi ja auditoitavaksi osaksi tietoturvan tilaa. Ilman tätä muodollista tukea ohjelmalta puuttuu toimivalta, jota tarvitaan yhdenmukaiseen soveltamiseen ja pitkäaikaiseen kestävyyteen.

Kulmakiviasiakirja on tietoturvatietoisuus- ja koulutuspolitiikka.³ Tässä politiikassa tulee nimenomaisesti todeta organisaation sitoutuminen jatkuvaan tietoturvakoulutukseen. Sen tulee määrittää tietojenkalastelusimulaatio-ohjelman tavoitteet, kuvata koulutuksen ja testauksen tiheys sekä osoittaa vastuut ohjelman hallinnasta ja valvonnasta. Se toimii ensisijaisena totuuden lähteenä auditoijille, viranomaisille ja työntekijöille ja osoittaa järjestelmällisen ja suunnitellun lähestymistavan ihmisiin liittyvän riskin hallintaan. Lisäksi hyväksyttävän käytön politiikka tukee ohjelmaa keskeisesti määrittämällä jokaisen käyttäjän perusvelvollisuuden suojata yrityksen omaisuutta ja ilmoittaa viipymättä epäilyttävästä toiminnasta, jolloin valppaus on edellytys yrityksen resurssien käytölle.

Esimerkiksi ulkoisen ISO 27001 -auditoinnin aikana auditoija kysyy, miten organisaatio varmistaa, että kaikki uudet työntekijät saavat tietoturvatietoisuuskoulutuksen. CISO esittää tietoturvatietoisuus- ja koulutuspolitiikan, jossa määrätään selkeästi, että henkilöstöhallinnon tulee varmistaa perustason tietoturvamoduulin suorittaminen ensimmäisen työsuhdeviikon aikana. Tämä dokumentoitu ja ehdoton vaatimus antaa konkreettista näyttöä siitä, että hallintakeino on toteutettu tehokkaasti ja yhdenmukaisesti.

Tarkistuslistat

Jotta ohjelma olisi kattava ja tehokas, sen koko elinkaari kannattaa kattaa jäsennellyllä lähestymistavalla. Tarkistuslistojen käyttö varmistaa, ettei kriittisiä vaiheita jää huomioimatta alkuperäisestä suunnittelusta ja käyttöönotosta päivittäiseen toimintaan ja säännölliseen varmentamiseen. Tämä systemaattinen menetelmä ylläpitää yhdenmukaisuutta, helpottaa tehtävien delegointia ja tuottaa selkeän auditointijäljen toimista. Seuraavat tarkistuslistat jakavat prosessin kolmeen keskeiseen vaiheeseen: ohjelman rakentamiseen, päivittäiseen operointiin sekä jatkuvan tehokkuuden varmentamiseen.

Rakenna tietojenkalastelun torjuntakykyohjelma

Ennen ohjelman operointia se tulee rakentaa vahvalle perustalle. Tämä alkuvaihe sisältää strategisen suunnittelun, resurssien varmistamisen ja hallintakehyksen luomisen, joka ohjaa kaikkia myöhempiä toimia. Hyvin suunniteltu rakennusvaihe varmistaa, että ohjelma on yhdenmukainen liiketoimintatavoitteiden kanssa, sillä on selkeät tavoitteet ja käytössään oikeat työkalut ja politiikat ensimmäisestä päivästä alkaen.

• Varmista ylimmän johdon tuki ja budjetin hyväksyntä.
• Määritä selkeät ohjelmatavoitteet ja mitattavat keskeiset suorituskykymittarit (KPI:t).
• Valitse ja hanki sopiva tietojenkalastelusimulaatio- ja koulutusalusta.
• Laadi tai päivitä tietoturvatietoisuus- ja koulutuspolitiikka siten, että se velvoittaa ohjelman toteuttamiseen.
• Laadi yksityiskohtainen viestintäsuunnitelma ohjelman esittelemiseksi kaikille työntekijöille.
• Toteuta ensimmäinen, ennalta ilmoittamaton lähtötasosimulaatiokampanja alkutilanteen mittaamiseksi.
• Määritä ilmoitettujen tietojenkalasteluviestien käsittelyprosessi ja integroi se tukipalveluun tai tietoturvapoikkeamiin reagoivaan tiimiin.

Operoi ohjelmaa

Kun perusta on kunnossa, painopiste siirtyy johdonmukaiseen toteutukseen. Operatiivisessa vaiheessa ohjelman rytmiä ja etenemisvauhtia ylläpidetään säännöllisillä ja osallistavilla toimilla. Tämä tarkoittaa työntekijöiden jatkuvaa testaamista, oikea-aikaista palautetta ja tietoturvan pitämistä organisaation mielessä. Tehokas operointi muuttaa ohjelman kertaluonteisesta projektista vakiintuneeksi osaksi normaalia liiketoimintaa.

• Aikatauluta ja toteuta simulaatiokampanjat säännöllisesti, esimerkiksi kuukausittain tai neljännesvuosittain.
• Vaihtele tietojenkalastelumalleja, teemoja ja vaikeustasoja jatkuvasti ennakoitavuuden välttämiseksi.
• Määritä simulaatioon lankeaville käyttäjille automaattisesti välitön, oikeaan hetkeen ajoitettu korjaava koulutus.
• Ota käyttöön järjestelmä, jolla annetaan myönteistä vahvistusta ja tunnustusta työntekijöille, jotka ilmoittavat simulaatioista johdonmukaisesti.
• Julkaise anonymisoituja suorituskykymittareita ja trendejä organisaatiolle yhteisen edistymisen tunteen vahvistamiseksi.
• Pidä koulutussisältö ajantasaisena ja relevanttina sisällyttämällä siihen tietoa uusista ja esiin nousevista uhkatrendeistä.

Varmenna ja paranna

Tietoturvaohjelma, joka ei kehity, epäonnistuu lopulta. Varmentamisvaiheessa pysähdytään analysoimaan suorituskykyä, arvioimaan vaikuttavuutta ja tekemään dataan perustuvia muutoksia. Tämä jatkuvan parantamisen silmukka varmistaa, että ohjelma pysyy tehokkaana muuttuvia uhkia vastaan ja tuottaa todellista vastinetta investoinnille. Siinä tarkastellaan sekä määrällistä dataa että laadullista palautetta, jotta tietoturvakulttuurista saadaan kokonaisvaltainen kuva.

• Toteuta KPI-trendien neljännesvuosittaiset katselmoinnit johtoryhmän kanssa edistymisen osoittamiseksi ja parannuskohteiden tunnistamiseksi.
• Haastattele säännöllisesti henkilöstön edustavaa otosta heidän laadullisen ymmärryksensä ja ohjelmaa koskevan näkemyksensä arvioimiseksi.
• Korreloi simulaatioiden suorituskykytiedot todellisten tietoturvapoikkeamatietojen kanssa sen selvittämiseksi, vähentääkö koulutus todellista riskiä.
• Katselmoi ja päivitä koulutussisältö sekä simulaatiomallit vähintään vuosittain vastaamaan nykyistä uhkaympäristöä.
• Auditoi prosessi varmistaaksesi, että toistuvat huolimattomat epäonnistumiset käsitellään muodollisen kurinpitopolitiikan mukaisesti.

Yleiset sudenkuopat

Parhaista aikomuksista huolimatta tietojenkalastelun torjuntakykyohjelmat voivat jäädä tuloksettomiksi, jos ne ajautuvat yleisiin sudenkuoppiin. Nämä sudenkuopat johtuvat usein ohjelman tarkoituksen väärinymmärryksestä, mikä ohjaa huomion vääriin mittareihin tai synnyttää kielteisen ja vastavaikutteisen kulttuurin. Näiden virheiden välttäminen on yhtä tärkeää kuin parhaiden käytäntöjen noudattaminen. Onnistunut ohjelma ei perustu vain käytettyihin työkaluihin, vaan myös filosofiaan, joka ohjaa niiden toteutusta. Kun mahdolliset epäonnistumiset tunnistetaan etukäteen, ohjelmaa voidaan ohjata ennakoivasti kohti toimintakykyä vahvistavaa kulttuuria ja todellista riskien vähentämistä.

• Keskittyminen pelkkään klikkausprosenttiin. Tämä on turhamaisuusmittari. Matala klikkausprosentti voi tarkoittaa vain sitä, että simulaatiot ovat liian helppoja tai ennakoitavia. Ilmoitusprosentti on paljon parempi indikaattori työntekijöiden myönteisestä osallistumisesta ja terveestä tietoturvakulttuurista.
• Pelon kulttuurin luominen. Jos työntekijöitä häpäistään tai rangaistaan liiallisesti simulaatiossa epäonnistumisesta, he alkavat pelätä ilmoittamista, myös todellisista hyökkäyksistä. Ensisijaisena tavoitteena tulee aina olla koulutus, ei nöyryyttäminen.
• Liian harva tai ennakoitava testaus. Vuosittainen tietojenkalastelutesti on käytännössä hyödytön tietoturvatottumusten rakentamisessa. Jos simulaatiot lähetetään aina samaan aikaan kuukaudesta, työntekijät oppivat aikataulun, eivät tietoturvataitoa. Testauksen tulee olla tiheää ja satunnaista.
• Ei seurauksia törkeästä huolimattomuudesta. Vaikka ohjelman ei tule olla rankaiseva, sillä tulee olla vaikutus. Harvinaisissa tapauksissa, joissa henkilö toistuvasti ja huolimattomasti sivuuttaa koulutuksen ja klikkaa kaikkea, tulee olla muodollinen ja oikeudenmukainen menettely vastuun toteuttamiseksi ISO 27001 A.6.4:n mukaisesti.
• Palautesilmukan sulkematta jättäminen. Kun työntekijä käyttää aikaa epäilyttävän sähköpostin ilmoittamiseen, hän ansaitsee vastauksen. Yksinkertainen ”Kiitos, tämä oli testi ja toimit oikein” tai ”Kiitos, tämä oli todellinen uhka ja tiimimme käsittelee sitä” vahvistaa toivottua käyttäytymistä. Hiljaisuus synnyttää välinpitämättömyyttä.

Seuraavat vaiheet

Häiriönsietokykyisen inhimillisen palomuurin rakentaminen on kriittinen osa mitä tahansa nykyaikaista ISMS:ää. Kun tietojenkalastelun torjuntakykyohjelma perustetaan ISO 27001:n periaatteisiin, organisaatio luo jäsennellyn, mitattavan ja perusteltavissa olevan strategian suurimman tietoturvariskinsä hallintaan.

• Lataa täydellinen ISMS-työkalupakkimme saadaksesi kaikki mallit, joita tarvitset tietoturvaohjelman rakentamiseen alusta alkaen. Zenith Suite
• Hanki kaikki tarvitsemasi politiikat, hallintakeinot ja toteutusohjeet yhdessä kattavassa kokonaisuudessa. Complete SME + Enterprise Combo Pack
• Aloita ISO 27001 -sertifiointimatkasi paketilla, joka on suunniteltu erityisesti pienille ja keskisuurille yrityksille. Full SME Pack

Lähteet