ISO 27001 -standardin mukaisen ISMS:n soveltamisala NIS2:n, DORA:n ja GDPR:n näkökulmasta
Maria, nopeasti kasvavan eurooppalaisen fintech-yhtiön tietoturvajohtaja, ajatteli ISO 27001 -seuranta-auditoinnin olevan hallinnassa.
Sertifikaatti oli tuore. Soveltuvuuslausunto näytti kypsältä. Soveltamisalakuvaus kattoi ”yrityksen tietoturvallisuuden hallintajärjestelmän, joka tukee SaaS-alustan operointia”. Tuotannon pilviympäristö oli dokumentoitu. Tietoturvapoikkeamiin reagoinnin menettely oli olemassa. Riskirekisterissä oli omistajat, päivämäärät ja jäännösriskiluokitukset.
Sitten auditoija esitti yhden yksinkertaisen kysymyksen:
”Mitkä tämän SaaS-alustan osat kuuluvat myös NIS2-rekisteröinnin soveltamisalaan, mitkä ulkoistetut palvelut tukevat DORA-asetuksen mukaisia kriittisiä tai tärkeitä toimintoja rahoitusalan asiakkaillenne, ja missä GDPR:n mukaisia henkilötietoja tarkalleen käsitellään?”
Huone hiljeni.
Lakitiimi avasi taulukon sääntelyvelvoitteista. Tuotetiimi avasi arkkitehtuurikaavion. Tietosuojavastaava avasi käsittelytoimien selosteen. Hankinta avasi toimittajaluettelon. Operatiivinen yksikkö avasi katastrofipalautussuunnitelman. Mikään niistä ei vastannut toisiaan.
ISMS:n soveltamisala sanoi ”SaaS-alusta”. NIS2-arviointi tunnisti digitaalisen infrastruktuurin palveluja useissa jäsenvaltioissa. Asiakassopimuksissa alustan kuvattiin tukevan säänneltyä rahoitusalan toimintaa. GDPR-selosteet sisälsivät identiteettitietoja, telemetriaa, IP-osoitteita, maksujen metatietoja, tukipyyntöjä ja alihankittua analytiikkaa. Katastrofipalautussuunnitelma kattoi tuotannon, mutta ei asiakastukialustaa, jota käytettiin tietoturvaloukkauksia koskevaan viestintään. Toimittajien huolellisuusarviointi kattoi hosting-palveluntarjoajan, mutta ei hallittua havainnointipalvelua, joka oli kytketty tuotannon lokeihin.
Tämä on vuoden 2026 ISMS:n soveltamisalan määrittämisen ongelma. ISO 27001 -sertifiointi on edelleen arvokas, mutta kapea ”vähimmäiskelpoisen soveltamisalan” malli voi muuttua vastuuksi, kun valvojat, asiakkaat ja auditoijat odottavat saman hallintajärjestelmän selittävän NIS2:n keskeiset palvelut, DORA:n kriittiset tai tärkeät toiminnot sekä GDPR-käsittelyn rajat.
ISO/IEC 27001:2022:n, NIS2:n, DORA:n ja GDPR:n näkökulmasta heikko soveltamisala ei ole hallinnollinen puute. Se on ensimmäinen kaatuva palikka. Jos soveltamisala on väärä, riskienarviointi on puutteellinen, SoA johtaa harhaan, toimittajakontrollit ohittavat kriittiset palveluntarjoajat, poikkeamien raportointiaikataulut muuttuvat epävarmoiksi ja tietosuojan osoitusvelvollisuus pirstoutuu tiimien kesken.
Miksi ISO 27001 -standardin mukaisen ISMS:n soveltamisala on nyt sääntelyraja
ISO/IEC 27001:2022 kohta 4.3 edellyttää, että organisaatio määrittää ISMS:n rajat ja sovellettavuuden ottaen huomioon sisäiset ja ulkoiset asiat, sidosryhmien vaatimukset sekä rajapinnat ja riippuvuudet muihin organisaatioihin ISO/IEC 27001:2022.
Tällä sanamuodolla on vuonna 2026 suurempi merkitys kuin aiemmissa sertifiointisykleissä. NIS2, DORA, GDPR, pilvipalvelujen ulkoistaminen, asiakassopimukset, konsernin teknologiapalvelut ja hallinnoidut palveluntarjoajat eivät ole sivuhuomioita. Ne ovat ISMS-rajan määrittämisen lähtötietoja.
NIS2 nostaa hallinnointivaatimuksia keskeisille ja tärkeille toimijoille. Se edellyttää, että johtoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimenpiteet, valvovat niiden toteutusta ja saavat koulutusta. NIS2 Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, mukaan lukien riskianalyysi, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun tietoturva, turvallinen hankinta ja kehittäminen, vaikuttavuuden arviointi, kyberhygienia, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta ja tarvittaessa monivaiheinen todennus.
DORA muuttaa soveltamisalakeskustelua rahoitusalan toimijoissa. Sitä sovelletaan 17. tammikuuta 2025 alkaen, ja se asettaa yhdenmukaiset vaatimukset ICT-riskien hallinnalle, ICT:hen liittyvien poikkeamien raportoinnille, digitaalisen operatiivisen häiriönsietokyvyn testaukselle, tietojen jakamiselle ja kolmansien osapuolten ICT-riskien hallinnalle. DORA Article 6 edellyttää dokumentoitua ICT-riskien hallinnan viitekehystä. DORA Article 8 edellyttää ICT:n tukemien liiketoimintatoimintojen, tietovarojen ja ICT-omaisuuserien tunnistamista, luokittelua ja dokumentointia riippuvuuksineen. DORA Article 28 edellyttää kolmansien osapuolten ICT-riskien hallintaa.
GDPR lisää henkilötietojen ulottuvuuden. Sitä sovelletaan automatisoituun tai rakenteiseen henkilötietojen käsittelyyn, mukaan lukien EU:ssa sijaitsevien toimipaikkojen suorittama käsittely sekä tiettyjen EU:n ulkopuolisten rekisterinpitäjien tai käsittelijöiden käsittely, kun ne tarjoavat tavaroita tai palveluja unionissa oleville henkilöille tai seuraavat heidän käyttäytymistään. GDPR Article 30 edellyttää käsittelytoimien selostetta, Article 32 edellyttää käsittelyn turvallisuutta ja Article 33 asettaa odotukset tietoturvaloukkauksista ilmoittamiselle.
Puolustettavissa olevaa ISMS:n soveltamisalaa ei siksi laadita osastojen ympärille. Se laaditaan säänneltyjen palvelujen, kriittisten tai tärkeiden toimintojen, henkilötietojen käsittelyn, tukevien omaisuuserien ja kolmansien osapuolten riippuvuuksien ympärille.
Virhe: ISO 27001:n, NIS2:n, DORA:n ja GDPR:n käsitteleminen erillisinä ohjelmina
Monissa organisaatioissa näkyy yleinen malli:
- Tietoturva laatii ISO 27001 -soveltamisalan.
- Lakitoiminto arvioi NIS2:n sovellettavuuden.
- Riskienhallinta tai vaatimustenmukaisuudesta vastaava toiminto hallinnoi DORA-velvoitteita.
- Tietosuojatoiminto ylläpitää GDPR:n käsittelytoimien selostetta.
- Hankinta omistaa toimittajaluettelon.
- Operatiivinen toiminto omistaa liiketoiminnan jatkuvuuden ja katastrofipalautuksen.
Jokainen tiimi voi tehdä perusteltua työtä. Ongelma on, että säännelty todellisuus kulkee niiden kaikkien läpi.
Pilvipalvelussa ylläpidetty asiakkaan identiteettipalvelu voi samanaikaisesti tukea NIS2-palvelutuotantoa, DORA:n sääntelyn alaista asiakastoimintaa ja GDPR:n mukaista henkilötietojen käsittelyä. Hallittu havainnointipalveluntarjoaja voi olla tietoturvatoimittaja, tietoturvapoikkeamiin reagoinnin riippuvuus, lokitietojen käsittelijä tai alikäsittelijä sekä keskeinen lähtötieto sääntelyilmoituksia koskeville päätöksille. Tukialustaa voidaan pitää ”ei-tuotantoympäristönä”, vaikka siinä käsitellään henkilötietojen tietoturvaloukkauksia koskevaa viestintää ja asiakkaiden näyttöpyyntöjä.
ISMS on paras paikka näiden velvoitteiden yhdistämiseen, koska ISO 27001 pakottaa yhteen kurinalaiseen kysymykseen: mikä on rajan sisällä, mikä on sen ulkopuolella ja miksi?
Clarysecin Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint käsittelee tätä ISMS:n perustan ja johtajuuden vaiheessa, vaiheessa 2: Sidosryhmien tarpeet ja ISMS:n soveltamisala:
”Kun toimintaympäristö on ymmärretty ja sidosryhmien vaatimukset tunnistettu, kohta 4.3 edellyttää ISMS:n rajojen ja sovellettavuuden määrittämistä sen soveltamisalan vahvistamiseksi. ISMS:n soveltamisala on keskeinen määritys, joka kertoo, mikä sisältyy tietoturvan hallintaohjelmaan ja mikä ei.”
Zenith Blueprint korostaa myös kohtaa, joka puuttuu edelleen monista soveltamisalakuvausten teksteistä:
”Jos ulkoistat IT-infrastruktuurisi pilvipalveluntarjoajalle, se ei sulje sitä soveltamisalan ulkopuolelle; sen sijaan sisällytät kyseisen suhteen hallinnan ja pilviomaisuuden osaksi soveltamisalaa.”
Ulkoistaminen siirtää toteutusta. Se ei poista vastuuvelvollisuutta.
Neljän rajan malli ISO 27001 -soveltamisalalle vuonna 2026
NIS2:n, DORA:n ja GDPR:n vaikutuspiirissä oleville organisaatioille Clarysec suosittelee ISO 27001 -standardin mukaisen ISMS:n soveltamisalan määrittämistä neljän toisiinsa kytkeytyvän rajan kautta.
| Raja | Keskeinen soveltamisalakysymys | Tyypillinen näyttö | Sääntelymerkitys |
|---|---|---|---|
| Palveluraja | Mitä palveluja tarjotaan asiakkaille, kansalaisille, potilaille, rahoitusalan toimijoille tai muille säännellyille sidosryhmille? | Palveluluettelo, NIS2:n sovellettavuusarviointi, asiakassopimukset, arkkitehtuurikaaviot | NIS2:n mukainen keskeisen tai tärkeän toimijan luokittelu ja palveluvaikutusten analyysi |
| Toimintoraja | Mitkä liiketoimintaprosessit tai ICT-palvelut tukevat kriittisiä tai tärkeitä toimintoja? | BIA, DORA:n kriittisten toimintojen kartoitus, häiriönsietokyvyn strategia, RTO- ja RPO-kirjaukset | DORA:n ICT-riskien hallinta, operatiivisen häiriönsietokyvyn testaus ja kolmansien osapuolten riski |
| Käsittelyraja | Missä henkilötietoja kerätään, säilytetään, käytetään, siirretään, lokitetaan, tuetaan tai poistetaan? | RoPA, tietovirtojen kartat, DPIA:t, käsittelijäluettelo, säilytysaikataulu | GDPR:n osoitusvelvollisuus, käsittelyn turvallisuus ja tietoturvaloukkauksiin reagointi |
| Riippuvuusraja | Mitkä toimittajat, pilvipalvelut, alihankkijat ja sisäiset yhteiset palvelut tukevat edellä mainittuja? | Toimittajarekisteri, sopimukset, pilvi-inventaario, exit-suunnitelmat, seurantakirjaukset | NIS2:n toimitusketjun tietoturva, DORA:n kolmansien osapuolten ICT-riskit ja ISO 27001:n toimittajakontrollit |
Heikko soveltamisalakuvaus sanoo vain ”SaaS-alusta”. Vahvempi kuvaus kertoo, mitkä liiketoimintapalvelut, järjestelmät, ympäristöt, sijainnit, tietojenkäsittelytoimet, henkilöstöryhmät, toimittajasuhteet ja hallintaprosessit sisältyvät siihen.
Puolustettavampi versio voisi kuulua näin:
”ISMS kattaa yrityksen EU:n SaaS-maksuanalytiikka-alustan tietoturvan hallinnoinnin, riskienhallinnan, operoinnin ja jatkuvan parantamisen, mukaan lukien tuotanto- ja ei-tuotantopilviympäristöt, asiakkaiden identiteettipalvelut, hallintaliittymät, tukitoiminnot, lokitus- ja valvonta-alustat, tietoturvapoikkeamiin reagoinnin, liiketoiminnan jatkuvuuden, toimittajahallinnan sekä kaikki palvelua tukevat henkilötietojen käsittelytoimet. ISMS sisältää ulkoistetun pilvihostingin, hallitun havainnoinnin ja asiakastuen työkalujen hallinnan, kun niitä käytetään palvelun tuottamiseen, häiriönsietokykyyn, tietoturvavalvontaan tai GDPR:ään liittyvään viestintään.”
Tämä soveltamisala ei ole vain pidempi. Se on paremmin auditoitavissa, koska se kytkee yhteen palvelut, omaisuuserät, käsittelyn ja riippuvuudet.
Miten Clarysecin politiikat muuttavat soveltamisalan hallinnointikieleksi
Soveltamisalan ei tule elää erillisessä asiakirjassa. Sen on oltava yhdenmukainen tietoturvapolitiikan, laki- ja sääntelyvaatimusten noudattamisen, riskienhallinnan, tietosuojan, toimittajahallinnan, auditointikriteerien ja jatkuvuussuunnittelun kanssa.
Enterprise Tietoturvapolitiikka Tietoturvapolitiikka ehkäisee rajausten epäselvyyttä:
”Kaikki tätä soveltamisalaa koskevat poissulkemiset tai rajoitukset on dokumentoitava ISMS:n soveltamisalakuvausta koskevassa asiakirjassa ja perusteltava ylimmän johdon muodollisella hyväksynnällä.”
Tällä lausekkeella on merkitystä, kun liiketoimintayksikkö väittää asiakastuen olevan alustan ulkopuolella, vaikka tukihenkilöt pääsevät asiakkaiden tunnisteisiin ja käsittelevät tietoturvaloukkauksia koskevaa viestintää. Poissulkeminen on mahdollista vain, jos se dokumentoidaan, perustellaan ja hyväksytään.
Enterprise Laki- ja sääntelyvaatimusten noudattamisen politiikka Laki- ja sääntelyvaatimusten noudattamisen politiikka tekee oikeudellisesta kartoituksesta operatiivista:
”Kaikki laki- ja sääntelyvelvoitteet on kartoitettava tietoturvallisuuden hallintajärjestelmässä (ISMS) tiettyihin politiikkoihin, kontrolleihin ja omistajiin.”
Tämä on silta oikeudellisen sovellettavuuden ja soveltuvuuslausunnon välillä. NIS2 Article 21 ei saa jäädä lakimuistioon. DORA:n kolmannen osapuolen ICT-palveluja koskevien velvoitteiden ei pidä jäädä vain hankintaohjeisiin. GDPR Article 30- ja Article 32 -velvoitteiden ei tule sijaita vain tietosuojarekisterissä. Niille tarvitaan kartoitetut omistajat, kontrollit ja näyttö.
Enterprise Riskienhallintapolitiikka Riskienhallintapolitiikka laajentaa soveltamisalan kolmansiin osapuoliin:
”Tätä politiikkaa sovelletaan kaikkiin organisaatioyksiköihin, liiketoimintaprosesseihin, järjestelmiin, henkilöstöön ja kolmansien osapuolten järjestelyihin, jotka osallistuvat tietovarojen käsittelyyn, kehittämiseen, säilyttämiseen tai hallintaan.”
Tämä sanamuoto on yhdenmukainen NIS2:n toimitusketjun tietoturvan, DORA:n kolmansien osapuolten ICT-riskien sekä GDPR:n rekisterinpitäjän tai käsittelijän osoitusvelvollisuuden kanssa.
Enterprise Tietosuoja- ja yksityisyydensuojapolitiikka Tietosuoja- ja yksityisyydensuojapolitiikka ankkuroi tietosuojan soveltamisalan käsittelyyn:
”Tätä politiikkaa sovelletaan kaikkiin organisaatioyksiköihin, henkilöstöön ja järjestelmiin, jotka osallistuvat henkilötietojen käsittelyyn, mukaan lukien:”
Periaate on ratkaiseva. Jos järjestelmä käsittelee henkilötietoja, se ei voi olla näkymätön ISMS:lle sillä perusteella, että se on ”vain tuki”, ”ei-tuotantoa” tai ”markkinoinnin omistama”.
Enterprise Liiketoiminnan jatkuvuus- ja katastrofipalautuspolitiikka Liiketoiminnan jatkuvuus- ja katastrofipalautuspolitiikka kytkee soveltamisalan BIA-tuloksiin:
”Tätä politiikkaa sovelletaan kaikkiin organisaatioyksiköihin, tietojärjestelmiin, liiketoimintaprosesseihin, henkilöstöön ja kolmansien osapuolten palveluihin, jotka on luokiteltu kriittisiksi tai keskeisiksi liiketoimintavaikutusten arvioinnin (BIA) tulosten perusteella.”
Tämä lauseke sopii luontevasti yhteen DORA:n kriittisten tai tärkeiden toimintojen ja NIS2:n palvelujatkuvuuden kanssa.
Pienemmille organisaatioille Clarysecin pk-yrityksille tarkoitetut politiikat pitävät sanamuodot tiiviinä säilyttäen saman logiikan. Pk-yritysten Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka pk-yrityksille määrittää auditoinnin kattavuuden seuraavasti:
”Kaikki tietoturvallisuuden hallintajärjestelmän (ISMS) soveltamisalaan kuuluvat kontrollit ja järjestelmät”
Pk-yritysten Tietosuoja- ja yksityisyydensuojapolitiikka Tietosuoja- ja yksityisyydensuojapolitiikka pk-yrityksille määrittää tietosuojan soveltamisalan seuraavasti:
”Mikä tahansa järjestelmä, sovellus tai sijainti, jossa henkilötietoja säilytetään tai siirretään”
Pk-yritysten Riskienhallintapolitiikka Riskienhallintapolitiikka pk-yrityksille pitää ulkoistetut palvelut näkyvissä:
”Kaikki tiedot, palvelut ja omaisuuserät, joita hallitaan sisäisesti tai kolmansien osapuolten kautta”
Tällaiset lyhyet lausekkeet ovat tehokkaita, koska ne estävät sertifiointirajaa sulkemasta pois säänneltyjä tietoja, pilvipalveluja tai toimittajan hallinnoimia omaisuuseriä.
Omaisuusluettelo on kohta, jossa soveltamisala muuttuu todelliseksi
Soveltamisalakuvaus on uskottava vain, jos se voidaan jäljittää omaisuuseriin, omistajiin, toimittajiin, tietovirtoihin ja näyttöön.
Zenith Blueprint ohjeistaa riskienhallintavaiheen vaiheessa 9: Omaisuuserien, uhkien ja haavoittuvuuksien tunnistaminen organisaatioita luetteloimaan ISMS:n soveltamisalaan kuuluvat omaisuuserät sekä tallentamaan omistajan, sijainnin ja luokittelun. Se antaa käytännön esimerkin:
”Asiakastietokanta – IT-osaston omistama – ylläpidetty AWS:ssä – sisältää henkilötietoja ja taloudellisia tietoja (korkea arkaluonteisuus).”
Sama vaihe lisää soveltamisalaa koskevan muistutuksen, joka liittyy suoraan NIS2:een ja GDPR:ään:
”Varmista, että henkilötietoja sisältävät omaisuuserät on merkitty (GDPR-relevanssia varten) ja kriittisten palvelujen omaisuuserät on tunnistettu (mahdollista NIS2-sovellettavuutta varten, jos toimit säännellyllä sektorilla).”
Clarysecin Zenith Controls: The Cross-Compliance Guide Zenith Controls käsittelee ISO/IEC 27002:2022 control 5.9:ää, tietojen ja muiden niihin liittyvien omaisuuserien luetteloa, perustavana vaatimustenmukaisuuksien välisenä kontrollina. Sen attribuutit luokittelevat kontrollin ennaltaehkäiseväksi, luottamuksellisuutta, eheyttä ja saatavuutta tukevaksi sekä Identify-kyberturvallisuuskonseptiin, omaisuudenhallinnan operatiiviseen kyvykkyyteen ja hallinnointi-, ekosysteemi- ja suojausalueisiin yhdenmukaiseksi.
Zenith Controls selittää GDPR- ja NIS2-relevanssin selkeästi:
”Ilman tarkkaa ja ajantasaista omaisuusluetteloa organisaatiot eivät voi arvioida tai toteuttaa asianmukaisia suojauksia.”
NIS2:n osalta omaisuusluettelo tukee keskeisiä tai tärkeitä palveluja tukevien kriittisten järjestelmien ja komponenttien tunnistamista. DORA:n osalta DORA Article 8 tekee ICT-omaisuuserien ja tietovarojen tunnistamisesta operatiivisen häiriönsietokyvyn keskeisen osan. GDPR:n osalta omaisuusluettelo tukee tietovirtojen kartoitusta, RoPA:n laatua ja tietoturvaloukkauksiin reagointia.
Tukevat ISO-standardit vahvistavat samaa logiikkaa. ISO/IEC 27005:2024 vahvistaa omaisuuserien tunnistamista tietoturvariskien arvioinnissa. ISO 22301:2019 tukee liiketoiminnan jatkuvuuteen tarvittavien resurssien tunnistamista. ISO/IEC 19770-1:2017 tukee IT-omaisuudenhallinnan kypsyyttä. ISO/IEC 27017:2015 ja ISO/IEC 27018:2019 tukevat pilvikohtaisia kontrolleja ja henkilötietojen suojaamista julkisissa pilvipalveluissa. ISO/IEC 27701:2019 laajentaa tietosuojatietojen hallintaa. ISO/IEC 29100:2011 tuo mukaan tietosuojaperiaatteita, kuten läpinäkyvyyden, minimoinnin ja tietoturvan suojatoimet.
Käytännön soveltamisalaharjoitus SaaS- ja fintech-tiimeille
Aloita yhdestä säännellystä palvelusta, älä koko yrityksestä. Esimerkiksi: ”EU:n maksuanalytiikka-SaaS rahoituslaitoksille.”
Rakenna sen jälkeen palvelu–omaisuuserä–käsittely-kartta.
| Soveltamisalan osa | Esimerkkimerkintä | Miksi se kuuluu soveltamisalaan |
|---|---|---|
| Säännelty palvelu | EU:n maksuanalytiikka-SaaS | Voi tukea NIS2:n mukaista digitaalisen palvelun luokittelua ja asiakkaan sääntelyvelvoitteita |
| Kriittinen tai tärkeä toiminto | Tapahtumien valvontanäkymä säännellyille rahoitusalan asiakkaille | Asiakkaat voivat käsitellä sitä DORA:n kriittisiä tai tärkeitä toimintoja tukevana palveluna |
| Henkilötietojen käsittely | Käyttäjän identiteetti, asiakkaan yhteystiedot, IP-osoitteet, tukipyynnöt, auditointilokit | GDPR koskee automatisoitua tai rakenteista henkilötietojen käsittelyä |
| Ydinomaisuuserät | Tuotannon pilviympäristö, tietokantaklusteri, API-yhdyskäytävä, IAM, CI/CD-putki, valvontapino | Tarvitaan ISO 27001 -riskienarviointiin, NIS2:n omaisuudenhallintaan ja DORA:n ICT-näkyvyyteen |
| Keskeiset toimittajat | Pilvipalveluntarjoaja, hallittu havainnointipalveluntarjoaja, asiakastuen SaaS, sähköpostipalvelu, varmuuskopiointipalveluntarjoaja | Tarvitaan NIS2:n toimitusketjun tietoturvaa ja DORA:n kolmansien osapuolten ICT-riskejä varten |
| Jatkuvuusriippuvuudet | Varmuuskopioholvi, katastrofipalautusalue, tukiviestintä, poikkeamatilanteen viestintäsilta | Tarvitaan DORA:n häiriönsietokykyä ja NIS2:n liiketoiminnan jatkuvuutta varten |
| Näytön omistajat | Tietoturvajohtaja, tietosuojavastaava, kehitysjohtaja, hankintavastaava, palveluomistaja | Tarvitaan auditoinnin osoitusvelvollisuutta ja johdon katselmointia varten |
Yksityiskohtaisempi omaisuuseränäyte voi näyttää tältä.
| Omaisuuserän nimi tai kuvaus | Omistaja | Tuettu liiketoimintapalvelu | Sääntelyrelevanssi | ISMS:n soveltamisalassa? | Perustelu |
|---|---|---|---|---|---|
| Customer Auth Service | Alustajohtaja | Käyttäjän kirjautuminen ja MFA | DORA, GDPR, NIS2 | Kyllä | Kriittinen alustan pääsyn kannalta ja käsittelee henkilötietoja |
| Staging-tietokanta | DevOps-tiimi | Esituotannon testaus | GDPR | Kyllä | Käsittelee pseudonymisoituja henkilötietoja ja voi vaikuttaa tuotannon tietoturvaan |
| Kolmannen osapuolen maksu-API | Tuotejohtaja | Maksujen ydinkäsittely | DORA, GDPR | Kyllä, toimittajan hallinta | Tukee kriittistä palvelutuotantoa ja käsittelee henkilötietoja tai taloudellisia tietoja |
| Sisäinen wiki | IT-päällikkö | Sisäinen dokumentaatio | ISO 27001 | Kyllä | Sisältää konfiguraatiotietoja, menettelyjä ja tietoturvadokumentaatiota |
| Eristetty T&K-verkko | T&K-johtaja | Tuleva tutkimus | Ei tällä hetkellä sovellettavissa | Ei | Air-gap-erotettu, ei tuotantodataa, ei henkilötietoja, ei kriittistä toimintoa, poissulkeminen muodollisesti hyväksytty |
Käytä seuraavaksi Zenith Blueprint -oppaan vaihetta 13: Riskienkäsittelyn suunnittelu ja soveltuvuuslausunto. Opas ohjeistaa käyttäjiä rakentamaan SoA:n mallipohjalla, jossa luetellaan kaikki liitteen A kontrollit, ja päättämään sovellettavuudesta riskien käsittelyn, lakisääteisten tai sopimusperusteisten vaatimusten, soveltamisalarelevanssin ja organisaation toimintaympäristön perusteella. Siinä todetaan:
”Päätä kunkin SoA-taulukon kontrollin eli rivin osalta, sovelletaanko sitä ISMS:ään.”
Yllä olevan esimerkin osalta SoA:n tulisi huomioida kontrollit toimittajaturvallisuudelle, pilvipalveluille, poikkeamien hallinnalle, jatkuvuudelle, laki- ja sääntelyvaatimuksille, tietosuojalle, haavoittuvuuksien hallinnalle, varmuuskopioille, lokitukselle, seurannalle, kryptografialle, turvalliselle kehittämiselle, tietoturvatestaukselle ja muutoksenhallinnalle.
Käytännön työnkulku on seuraava:
- Luo riskirekisteriin ja SoA Builderiin välilehti ”ISMS:n soveltamisalan kartoitus”.
- Lisää yksi rivi kutakin säänneltyä palvelua tai tuotelinjastoa kohti.
- Linkitä jokainen palvelu omaisuuseriin, tietotyyppeihin, toimittajiin, sijainteihin ja liiketoimintavastaaviin.
- Merkitse NIS2-relevanssi, DORA-relevanssi ja GDPR-käsittelyn relevanssi.
- Lisää riskiskenaariot palvelun poissaololle, henkilötietojen tietoturvaloukkaukselle, toimittajan häiriölle, pilven virheelliselle konfiguraatiolle, kriittiselle haavoittuvuudelle ja poikkeamaraportoinnin epäonnistumiselle.
- Valitse SoA-kontrollit näiden riskien ja velvoitteiden perusteella.
- Dokumentoi poissulkemiset, korvaavat kontrollit ja riskin hyväksyminen.
- Hanki ylimmän johdon hyväksyntä lopullisille rajoille ja poissulkemisille.
- Syötä lopullinen raja sisäiseen tarkastukseen, johdon katselmointiin ja toimittajien seurantaan.
Lopputulos ei ole vain parempi soveltamisalakuvaus. Se on puolustettavissa oleva ketju säännellystä palvelusta omaisuuserään, toimittajaan, tietoon, kontrolliin, omistajaan ja näyttöön.
Vaatimustenmukaisuuksien välinen kartoitus: yksi soveltamisala, monta velvoitetta
Hyvin rajattu ISO 27001 -standardin mukainen ISMS toimii operatiivisena kerroksena, jossa NIS2:n, DORA:n, GDPR:n, NIST CSF:n ja COBITin odotukset voidaan sovittaa yhteen.
| ISO/IEC 27002:2022 -kontrolli | Ensisijainen soveltamisala-arvo | NIS2-relevanssi | DORA-relevanssi | GDPR-relevanssi | NIST CSF- ja COBIT-relevanssi |
|---|---|---|---|---|---|
| 5.9 Tietojen ja muiden niihin liittyvien omaisuuserien luettelo | Tunnistaa omaisuuserät, omistajat, sijainnit, luokittelun ja palveluriippuvuudet | Tukee Article 21:n omaisuudenhallintaa ja palveluja tukevien järjestelmien tunnistamista | Tukee Article 8:n mukaista ICT-omaisuuserien, tietovarojen ja toimintojen tunnistamista | Tukee RoPA:n tarkkuutta, käsittelyn turvallisuutta ja tietoturvaloukkauksen tutkintaa | Kartoittuu NIST CSF ID.AM -alueeseen ja COBIT 2019 BAI09 Manage Assets -käytäntöön |
| 5.31 Lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset | Linkittää velvoitteet politiikkoihin, kontrolleihin, omistajiin ja näyttöön | Tukee NIS2-velvoitteiden hallinnointia ja toimitusketjun vaatimustenmukaisuutta | Tukee ICT-riskien hallintaa, raportointia ja kolmansien osapuolten velvoitteita | Tukee osoitusvelvollisuutta ja lakisääteisten vaatimusten noudattamista | Kartoittuu NIST CSF GOVERN -alueeseen ja COBIT 2019 MEA03 Managed Compliance with External Requirements -käytäntöön |
| 5.34 Henkilötietojen yksityisyys ja suoja | Varmistaa, että henkilötietojen käsittely on näkyvää ja suojattua | Tukee palvelun vastaanottajien tietojen suojaa soveltuvin osin | Tukee ICT-palveluissa olevien tietojen eheyttä, turvallisuutta ja luottamuksellisuutta | Tukee GDPR Article 32:ta ja sisäänrakennetun tietosuojan odotuksia | Tukee tietosuojan hallinnointia ja operatiivista tietosuojahallintaa |
ISO/IEC 27002:2022 control 5.31:n, lakisääteisten, sääntelyyn perustuvien ja sopimusperusteisten vaatimusten, osalta Zenith Controls kytkee vaatimustenmukaisuusvelvoitteet tietosuojaan, henkilötietojen suojaan, tallenteiden säilytykseen, riippumattomaan katselmointiin ja sisäisen politiikan noudattamiseen. Se kartoittuu luontevasti GDPR:n osoitusvelvollisuuteen, NIS2:n toimitusketjun vaatimustenmukaisuuteen, DORA:n ICT-riskien hallintaan ja vaatimustenmukaisuuteen, NIST CSF:n hallinnointiin sekä COBIT 2019:n ulkoisen vaatimustenmukaisuuden seurantaan.
ISO/IEC 27002:2022 control 5.34:n, henkilötietojen yksityisyyden ja suojan, osalta Zenith Controls kytkee tietosuojan omaisuusluetteloon, pilvipalveluihin, luokitteluun, tietojen siirtoon, pääsynhallintaan, identiteetinhallintaan ja projektimuutosten katselmointeihin. Sen GDPR-kartoitus kattaa käsittelyn turvallisuuden ja sisäänrakennetun tietosuojan. Sen DORA-kartoitus tukee tietojen eheyttä, turvallisuutta ja luottamuksellisuutta, mukaan lukien ICT-palveluissa käsiteltävät henkilötiedot.
Periaate on yksinkertainen: älä luo neljää irrallista vaatimustenmukaisuusohjelmaa. Luo yksi rajattu ISMS, joka pystyy selittämään, miten velvoitteet täytetään, miten niistä esitetään näyttö ja miten ne auditoidaan.
Poikkeamaraportoinnin soveltamisala: missä rajat vaikuttavat sääntelyn aikarajoihin
Virheellinen soveltamisala tulee kivuliaan näkyväksi poikkeamatilanteissa.
NIS2 Article 23 edellyttää merkittävien poikkeamien vaiheittaista raportointia, mukaan lukien varhaisvaroitus 24 tunnin kuluessa, poikkeamailmoitus 72 tunnin kuluessa, väliraportit pyydettäessä sekä loppuraportti yhden kuukauden kuluessa. Myös viestintä vaikutuksen kohteena oleville vastaanottajille voi olla tarpeen.
DORA edellyttää, että rahoitusalan toimijat havaitsevat, hallitsevat, luokittelevat ja raportoivat merkittävät ICT:hen liittyvät poikkeamat käyttäen kriteerejä, kuten vaikutuksen kohteena olevat asiakkaat tai vastapuolet, kesto, käyttökatko, maantieteellinen levinneisyys, tietojen menetykset, vaikutuksen kohteena olevien palvelujen kriittisyys ja taloudellinen vaikutus. Asiakkaille on ilmoitettava ilman aiheetonta viivytystä, jos merkittävä ICT-poikkeama vaikuttaa heidän taloudellisiin etuihinsa.
GDPR:n henkilötietojen tietoturvaloukkauksesta ilmoittaminen riippuu siitä, johtaako loukkaus henkilötietojen vahingossa tapahtuvaan tai lainvastaiseen tuhoutumiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai luvattomaan pääsyyn henkilötietoihin.
Jos tukialusta, lokiympäristö, identiteettipalvelu, asiakasviestintäkanava tai hallittu havainnointipalveluntarjoaja on ISMS:n soveltamisalan ulkopuolella, poikkeamatiimit eivät välttämättä tiedä, laukaiseeko tapahtuma NIS2-, DORA-, GDPR- tai asiakassopimusraportoinnin vai kaikki nämä. Tämä epävarmuus kuluttaa raportointiaikaa.
Kypsä soveltamisala sisältää poikkeamiin liittyvät riippuvuudet: havainnointityökalut, lokisäilöt, forensiset tietovarastot, asiakasviestintäkanavat, tukityökalut, varmuuskopiointiympäristöt, poikkeamatilanteen viestintäsillat ja toimittajat, jotka osallistuvat luokitteluun tai palautumiseen.
Miten auditoijat ja valvojat testaavat ISMS:n soveltamisalaa
Vahva soveltamisala kestää otannan. Heikko soveltamisala romahtaa, kun auditoijat vertaavat dokumentteja todellisuuteen.
| Auditoinnin näkökulma | Mitä auditoija testaa | Tyypillisesti pyydetty näyttö |
|---|---|---|
| ISO 27001 -auditoija | Huomioiko soveltamisala toimintaympäristön, sidosryhmien vaatimukset, rajapinnat, riippuvuudet ja dokumentoidut poissulkemiset | ISMS:n soveltamisalakuvaus, sidosryhmärekisteri, lakirekisteri, omaisuusluettelo, SoA, johdon hyväksyntä |
| NIST-suuntautunut arvioija | Ovatko omaisuuserät, toimittajat, riskivastaukset, seuranta ja poikkeamakriteerit yhdenmukaisia ilmoitetun rajan kanssa | Current ja Target Profiles, omaisuusluettelo, riskirekisteri, toimintasuunnitelma, seurannan kattavuus, poikkeamasuunnitelmat |
| COBIT 2019 -auditoija | Kattaako hallinnointi ulkoiset velvoitteet, kriittiset palvelut, vaatimustenmukaisuuden seurannan ja osoitusvelvollisuuden | Hallituksen raportit, vaatimustenmukaisuuskartoitukset, palveluomistajuus, riskimittaristot, MEA03-tyyppinen seuranta |
| ISACA ITAF -auditoija | Onko näyttö riittävää, asianmukaista ja jäljitettävissä velvoitteista kontrolleihin ja tuloksiin | Otannalla valitut omaisuuserät, toimittajasopimukset, lokit, lakirekisteri, auditointijäljet, omistajien haastattelut |
| DORA-arvioija | Onko kriittisiä tai tärkeitä toimintoja tukevat ICT-omaisuuserät ja kolmannen osapuolen palvelut tunnistettu ja testattu | ICT-rekisteri, kriittisten toimintojen kartoitus, sopimukset, exit-suunnitelmat, testitulokset, poikkeamakirjaukset |
| Tietosuoja-auditoija | Onko henkilötietojen käsittely inventoitu, suojattu ja linkitetty kontrolleihin | RoPA, DPIA:t, käsittelijäsopimukset, käyttölokit, säilytysnäyttö, loukkausmenettelyt |
Zenith Controls tarjoaa hyödyllisiä auditointiodotuksia ISO/IEC 27002:2022 control 5.9:lle. ISO/IEC 19011 -tyyppiset auditoijat pyytävät inventaariota varhaisessa vaiheessa rajatakseen muita arviointeja ja tehdäkseen pistokoetarkastuksia fyysisistä, ohjelmisto- ja pilviomaisuuseristä. ISO/IEC 27007 -tyyppiset auditoijat kysyvät, miten ja milloin inventaariota päivitetään, ja etsivät yhteyksiä hankintaan, muutoksenhallintaan ja käytöstäpoistoon. NIST SP 800-53A -tyyppiset auditoijat varmistavat, että inventaarion tiedot sisältävät omaisuuserän tyypin, omistajan, sijainnin, tarvittaessa verkko-osoitteen ja tilan sekä että pilvi-, virtuaali- ja mobiiliomaisuuserät sisältyvät mukaan.
Control 5.31:n osalta Zenith Controls toteaa, että sertifiointiauditoijat odottavat vaatimustenmukaisuusrekisteriä tai luetteloa laeista ja sopimuksista, joihin viitataan SoA:ssa ja riskienkäsittelysuunnitelmissa. COBIT-auditoijat etsivät vaatimustenmukaisuuden omistajia, arviointeja ja raportointia ylemmälle johdolle. ISACA ITAF -auditoijat ottavat näytöstä otoksia varmistaakseen, että organisaatio ei ainoastaan tunne velvoitteitaan vaan myös varmistaa aktiivisesti niiden täyttymisen.
Control 5.34:n osalta auditoijat katselmoivat tietosuojapolitiikkoja, tietoaineistorekistereitä, DPIA:ita, koulutuslokeja, salausnäyttöä, pääsynhallintaa, DSAR-otoksia, sisäänrakennetun tietosuojan näyttöä ja henkilötietoja koskevien poikkeamien kirjauksia. Soveltamisalakuvaus, joka sulkee pois henkilötietoja käsittelevän järjestelmän, kyseenalaistetaan nopeasti.
Hallituksen kysymys: mitä ei voida sulkea pois?
Ylin johto kysyy usein, voiko liiketoimintayksikkö, sijainti, toimittaja tai järjestelmä jäädä ISMS:n soveltamisalan ulkopuolelle. Joskus vastaus on kyllä. Ei kuitenkaan silloin, jos poissulkeminen estää organisaatiota täyttämästä lakisääteisiä, sääntelyyn perustuvia, sopimusperusteisia tai palvelun tietoturvaa koskevia velvoitteita.
Käytä tätä poissulkemistestiä ennen minkään rajauksen hyväksymistä:
- Tukeeko yksikkö, järjestelmä tai toimittaja NIS2:n sääntelyn alaista palvelua?
- Tukeeko se DORA:n mukaista kriittistä tai tärkeää toimintoa organisaatiolle tai sen säännellyille asiakkaille?
- Kerääkö, säilyttääkö, siirtääkö, lokittaako, tukeeko tai poistaako se henkilötietoja?
- Tarjoaako se soveltamisalaan kuuluvalle palvelulle tietoturvavalvontaa, identiteettiä, varmuuskopiointia, tietoturvapoikkeamiin reagointia tai palautumista?
- Tuottaako se näyttöä, jota tarvitaan poikkeaman luokitteluun tai sääntelyilmoitukseen?
- Edellyttääkö asiakassopimus sen kuulumista ISMS:n piiriin?
- Vaikuttaisiko sen vaarantuminen luottamuksellisuuteen, eheyteen, saatavuuteen, lakisääteisten vaatimusten noudattamiseen tai palvelun jatkuvuuteen ilmoitetussa soveltamisalassa?
Jos vastaus on kyllä, poissulkeminen edellyttää vahvaa näyttöä, korvaavaa hallinnointia, riskin hyväksymistä ja ylimmän johdon muodollista hyväksyntää. Monissa tapauksissa sitä ei pidä sulkea pois.
Nykyaikaisen ISO 27001 -standardin mukaisen ISMS:n soveltamisalan tulisi sisältää:
- Katetut liiketoimintapalvelut ja tuotelinjat.
- Katetut oikeushenkilöt, organisaatioyksiköt ja sijainnit.
- Asiakassegmentit ja lainkäyttöalueet, jotka synnyttävät velvoitteita.
- Kriittiset tai tärkeät toiminnot sekä BIA-perusteiset keskeiset palvelut.
- Tietovarat, ICT-omaisuuserät ja pilviympäristöt.
- Henkilötietojen käsittelytoimet ja henkilötietovarannot.
- Kehitys-, testaus-, tuki-, seuranta- ja poikkeamaprosessit.
- Toimittajat ja ulkoistetut palvelut, jotka tukevat soveltamisalaan kuuluvia palveluja.
- Rajapinnat ja riippuvuudet konserniyhtiöihin tai ulkoisiin palveluntarjoajiin.
- Nimenomaiset poissulkemiset perusteluineen, riskin hyväksymisineen ja ylimmän johdon hyväksyntöineen.
Näin ISO 27001 -soveltamisalasta tulee hallitustason hallinnointikannanotto, ei sertifioinnin oikotie.
Tee ISMS:n soveltamisalasta auditointivalmis ennen kuin auditoija määrittää sen puolestasi
Huonoin hetki havaita soveltamisalaongelma on sertifioinnin, seurantatarkastelun, asiakkaan toimittajahuolellisuusarvioinnin tai käynnissä olevan poikkeaman aikana.
Kapea sertifikaatti voi täyttää hankinnan valintaruudun, mutta se ei kestä vakavaa tarkastelua, jos se sulkee pois palvelut, ICT-toiminnot, toimittajat ja henkilötietojen käsittelyn, jotka aiheuttavat sääntelyaltistusta. Vuonna 2026 auditoinnit läpäisevät luottavaisesti ne organisaatiot, jotka voivat näyttää yhden yhtenäisen kartan säännellystä palvelusta omaisuuserään, toimittajaan, henkilötietoihin, kontrolliin, omistajaan ja näyttöön.
Aloita kolmella konkreettisella toimenpiteellä:
- Käytä Zenith Blueprint Zenith Blueprint -oppaan ISMS:n perusta ja johtajuus -vaiheen vaihetta 2 laatiaksesi ISMS:n soveltamisalan uudelleen palvelujen, toimintojen, käsittelyn ja riippuvuuksien ympärille.
- Käytä Zenith Controls Zenith Controls -opasta omaisuusluettelon, lakisääteisten velvoitteiden ja henkilötietojen suojan kartoittamiseen ISO 27001:n, NIS2:n, DORA:n, GDPR:n, NISTin ja COBIT 2019:n auditointiodotuksiin.
- Yhdenmukaista politiikkojen soveltamisala Clarysecin Tietoturvapolitiikan Tietoturvapolitiikka, Laki- ja sääntelyvaatimusten noudattamisen politiikan Laki- ja sääntelyvaatimusten noudattamisen politiikka, Riskienhallintapolitiikan Riskienhallintapolitiikka, Tietosuoja- ja yksityisyydensuojapolitiikan Tietosuoja- ja yksityisyydensuojapolitiikka sekä Liiketoiminnan jatkuvuus- ja katastrofipalautuspolitiikan Liiketoiminnan jatkuvuus- ja katastrofipalautuspolitiikka avulla.
Jos nykyinen ISMS:n soveltamisalasi näyttää edelleen osastotunnisteelta, rakenna se uudelleen vaatimustenmukaisuuden rajaksi. Lataa Clarysecin työkalupaketit, kartoita yksi säännelty palvelu alusta loppuun ja muuta ISO 27001 -soveltamisalasi auditointivalmiiksi näytöksi NIS2:lle, DORA:lle ja GDPR:lle.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
