ISO 27001:2022 -koulutusnäyttö NIS2:n ja DORA:n tueksi
On tiistaiaamu helmikuussa 2026, kello 09.12. Nopeasti kasvavan FinTech-yhtiön talousanalyytikko saa sähköpostin, joka näyttää tulevan talousjohtajalta ja jossa pyydetään kiireellistä toimittajan maksutiedoston tarkastusta. Liite avaa uskottavan Microsoft-kirjautumissivun. Analyytikko epäröi, muistaa edellisen kuukauden tietojenkalastelusimulaation ja maksupetosmoduulin ja ilmoittaa sähköpostista tietoturvaportaalin kautta sen sijaan, että syöttäisi tunnistetietonsa.
Tietoturvajohtajalle tuo yksittäinen päätös on todellinen osoitus toimivasta kontrollista.
Auditoijalle tarina ei riitä.
Todentavaa aineistoa koskeva pyyntö saapuu viikkoa myöhemmin: ”Toimittakaa näyttö kattavasta, roolipohjaisesta tietoturvatietoisuus- ja koulutusohjelmasta, mukaan lukien vaikuttavuusmittarit ja tiedot, jotka osoittavat kattavuuden koko henkilöstölle, johto mukaan lukien.”
Tuo lause muuttaa keskustelun. Laskentataulukko, jossa 97 prosentin työntekijöistä kohdalla lukee ”suoritettu”, ei enää riitä. Auditoija kysyy, kuka koulutti analyytikon, milloin koulutus määrättiin, oliko se pakollinen, oliko se roolipohjainen, saiko taloushallinto lisäkoulutusta maksupetosten tunnistamiseen, sisältyivätkö uudet työntekijät ja sopimuskumppanit koulutukseen, hyväksyikö johto ohjelman, muutettiinko koulutusta edellisen tietojenkalastelukampanjan jälkeen ja säilytettiinkö suoritustiedot.
Vuonna 2026 tietoturvatietoisuuskoulutuksen todentava aineisto sijoittuu ISO/IEC 27001:2022:n, NIS2:n, DORA:n, GDPR:n ja NIST CSF 2.0:n risteyskohtaan. Se ei ole enää vuosittainen HR-harjoitus. Se on hallitustason hallinnointia, riskien käsittelyä, poikkeamavalmiutta, oikeudellista vastuuta ja auditointinäyttöä.
Clarysec käsittelee tietoturvatietoisuutta operatiivisena todentavan aineiston järjestelmänä, ei diasarjana. Zenith Blueprint: auditoijan 30 vaiheen tiekartta Zenith Blueprint, Zenith Controls: vaatimustenmukaisuuksien välinen opas Zenith Controls, Tietoturvatietoisuus- ja koulutuspolitiikka - pk-yritykset Tietoturvatietoisuus- ja koulutuspolitiikka - pk-yritykset ja Tietoturvatietoisuus- ja koulutuspolitiikka Tietoturvatietoisuus- ja koulutuspolitiikka kytkevät roolipohjaisen koulutuksen ISMS:ään, sääntelyvelvoitteisiin, tietoturvapoikkeamiin reagointiin, toimittajien pääsyyn ja johdon katselmointiin.
Miksi yleinen tietoturvatietoisuuskoulutus epäonnistuu vuonna 2026
Sääntelymuutos on selvä. NIS2 tekee kyberturvallisuudesta johdon vastuualueen keskeisissä ja tärkeissä toimijoissa. Article 20 edellyttää, että hallintoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimet, valvovat niiden toteutusta ja saavat koulutusta. Article 21 sisällyttää peruskyberhygienian ja kyberturvallisuuskoulutuksen osaksi vaadittua riskienhallinnan perustasoa. Pilvipalveluntarjoajille, datakeskuspalveluntarjoajille, hallinnoiduille palveluntarjoajille (MSP), hallinnoiduille tietoturvapalveluntarjoajille, DNS-palveluntarjoajille, TLD-rekistereille, verkkomarkkinapaikoille ja hakukoneille koulutuksesta on tullut hallitustason kysymys.
DORA nostaa vaatimustasoa finanssialan toimijoille ja finanssisektoria palveleville ICT-palveluntarjoajille. Sitä sovelletaan 17. tammikuuta 2025 alkaen, ja se edellyttää finanssialan toimijoilta sisäistä hallinnointi- ja kontrollikehystä ICT-riskien hallintaan. Hallintoelinten tulee valvoa ICT-riskejä, budjetteja, auditointeja, kolmansien osapuolten järjestelyjä, liiketoiminnan jatkuvuutta, reagointi- ja palautumissuunnitelmia sekä digitaalista operatiivista häiriönsietokykyä. DORA Articles 17 to 19 edellyttävät myös, että ICT:hen liittyvät poikkeamat havaitaan, luokitellaan, eskaloidaan, viestitään ja raportoidaan. Koulutus tekee näistä menettelyistä toteuttamiskelpoisia paineen alla.
ISO/IEC 27001:2022 tarjoaa organisaatioille hallintajärjestelmän rungon. Lausekkeet 4–10 kattavat toimintaympäristön, sidosryhmät, johtajuuden, riskien arvioinnin, riskien käsittelyn, pätevyyden, tietoisuuden, dokumentoidun tiedon, suorituskyvyn arvioinnin ja parantamisen. Standardi skaalautuu toimialasta ja organisaation koosta riippumatta, minkä vuoksi Clarysec käyttää sitä toimintamallina ISO-, NIS2-, DORA-, GDPR- ja NIST-yhdenmukaisuuden integrointiin ISO/IEC 27001:2022.
GDPR lisää osoitusvelvollisuuden kerroksen. Organisaatioiden on osoitettava, että henkilötietoja käsitellään lainmukaisesti, kohtuullisesti, turvallisesti sekä asianmukaisin teknisin ja organisatorisin toimenpitein. Työntekijät, jotka käsittelevät henkilötietoja, ylläpitävät järjestelmiä, kehittävät ohjelmistoja, tukevat asiakkaita tai tutkivat poikkeamia, tarvitsevat tietosuoja- ja tietoturvaloukkausten eskalointikoulutusta.
NIST CSF 2.0 vahvistaa saman suunnan. Sen GOVERN-toiminto yhdistää lakisääteiset, sääntelyyn liittyvät, sopimusperusteiset, tietosuoja- ja sidosryhmävaatimukset rooleihin, vastuisiin, politiikkoihin, resursseihin, valvontaan ja yritysriskien hallintaan. NIST CSF -profiilit auttavat myös kääntämään koulutusvelvoitteet nykytilan ja tavoitetilan parantamissuunnitelmiksi.
Johtopäätös on yksinkertainen: auditointivalmiin tietoturvatietoisuuskoulutuksen on osoitettava, että henkilöt tuntevat vastuunsa, koulutus on sovitettu rooliin ja riskiin ja todentava aineisto on riittävän kattavaa auditoijille, viranomaisille, asiakkaille ja johdolle.
Auditointiongelma: ”koulutimme kaikki” ei ole näyttöä
Monet organisaatiot epäonnistuvat auditoinneissa eivät siksi, ettei koulutusta olisi järjestetty, vaan siksi, etteivät ne pysty osoittamaan, että koulutus suunniteltiin, osoitettiin, suoritettiin, katselmoitiin ja parannettiin.
Heikko näyttöaineistopaketti sisältää yleensä yhden vuosittaisen PDF-tiedoston, suoritustaulukon ilman päivämääriä, ei perehdytysnäyttöä, ei sopimuskumppaneiden kattavuutta, ei etuoikeutettujen käyttäjien koulutusta, ei johdon koulutusta, ei roolipohjaisia moduuleja kehittäjille tai taloushallinnolle, ei yhteyttä riskien arviointiin eikä näyttöä siitä, että koulutus on päivitetty poikkeamien tai sääntelymuutosten jälkeen.
Auditoijat eivät halua motivaatioposteria. He haluavat todentavan aineiston ketjun.
Clarysecin pk-yrityspolitiikka tekee odotuksesta nimenomaisen. Tietoturvatietoisuus- ja koulutuspolitiikka - pk-yritykset, tavoitteet, lauseke 3.3, edellyttää organisaatioilta seuraavaa:
”Perustetaan dokumentoidut suoritustiedot, joilla osoitetaan lakisääteisten, sopimusperusteisten ja auditointivaatimusten noudattaminen.”
Sama pk-yrityspolitiikka muuttaa koulutuksen säilytettäväksi dokumentoiduksi tiedoksi. Politiikan toteutusvaatimukset, lauseke 6.3.2, toteaa:
”Keskitetyn laskentataulukon tai henkilöstötietojärjestelmän on ylläpidettävä näitä tietoja vähintään kolmen vuoden ajan.”
Yritysympäristöissä Tietoturvatietoisuus- ja koulutuspolitiikka, tarkoitus, lauseke 1.2, asettaa rakenteellisemman odotuksen:
”Tämä politiikka tukee ISO/IEC 27001 Clause 7.3 -vaatimusta ja liite A:n hallintakeinoa 6.3 edellyttämällä jäsenneltyä, riskiperusteista tietoisuus- ja koulutusviitekehystä, joka on räätälöity organisaation rooleihin ja kehittyviin uhkiin.”
Tällä ilmaisulla on merkitystä: jäsennelty, riskiperusteinen, rooleihin sovitettu ja uhkat huomioiva. Se erottaa tietoisuusteatterin perusteltavissa olevasta pätevyydestä.
Aloita rooleista, älä kursseista
Yleisin virhe on sisällön hankkiminen ennen vastuiden määrittelyä. Integroidussa vaatimustenmukaisuusohjelmassa oikea ensimmäinen kysymys ei ole ”Mitä koulutusalustaa käytämme?” Oikea kysymys on ”Mitkä roolit luovat, hallinnoivat, hyväksyvät, käsittelevät, suojaavat tai palauttavat tietovaroja?”
ISO/IEC 27001:2022 Clause 5.3 edellyttää tietoturvaroolien vastuiden ja toimivaltuuksien osoittamista ja viestimistä. Clause 7.2 edellyttää organisaation määräysvallassa työtä tekevien henkilöiden pätevyyttä koulutuksen, harjoittelun tai kokemuksen perusteella. Clause 7.3 edellyttää tietoisuutta tietoturvapolitiikasta, osallistumisesta ISMS:n vaikuttavuuteen ja poikkeamien seurauksista.
Zenith Blueprintissä, ISMS Foundation & Leadership, Step 5: Communication, Awareness, and Competence, Clarysec kääntää tämän toteutuskieleksi:
”Tunnista vaaditut pätevyydet: määritä, mitä tietoja ja taitoja ISMS:n eri roolit tarvitsevat.”
Blueprint antaa käytännön esimerkkejä: IT-henkilöstö voi tarvita turvallisen palvelinkonfiguroinnin osaamista, kehittäjät turvallista ohjelmointia, HR turvallista henkilötietojen käsittelyä ja henkilöstö yleisesti tietojenkalastelutietoisuutta. Se korostaa myös tietojen säilyttämistä:
”Ylläpidä pätevyyttä koskevia tietoja: Clause 7.2 edellyttää, että säilytät dokumentoitua tietoa pätevyyden näyttönä.”
Tämä tarkoittaa, että koulutusohjelman tulee alkaa rooli–riski-matriisista.
| Rooliryhmä | Koulutuksen painopiste | Säilytettävä todentava aineisto | Vaatimustenmukaisuuden arvo |
|---|---|---|---|
| Koko henkilöstö | Tietojenkalastelu, salasanojen turvallinen käyttö, MFA, hyväksyttävä käyttö, laitteen tietoturva, poikkeamien ilmoittaminen | Suoritusraportti, tietotestin pisteet, politiikan kuittaus, sisältöversio | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Ylin johto ja hallitus | Kyberriskien hallinnointi, NIS2 Article 20 -velvoitteet, DORA-valvonta, riskinottohalukkuus, kriisipäätökset | Läsnäolotiedot, hallitusmateriaali, pöytäkirjat, ohjelman hyväksyntä | NIS2 Article 20, DORA Article 5, ISO/IEC 27001:2022 -johtajuusnäyttö |
| Kehittäjät | Turvallinen ohjelmointi, OWASP Top 10, turvallinen SDLC, API-tietoturva, haavoittuvuuksien käsittely, salaisuuksien hallinta | Moduulin suoritus, laboratoriotehtävien tulokset, turvallisen ohjelmoinnin tarkistuslista, korjaavien toimenpiteiden näyttö | ISO/IEC 27002:2022 controls 8.25 ja 8.28, DORA:n ICT-riskejä koskevat odotukset |
| IT ja järjestelmänvalvojat | Etuoikeutettu pääsy, lokitus, haavoittuvuuksien hallinta, varmuuskopioiden palautus, muutoksenhallinta, koventaminen | Suoritustiedot, yhteys käyttöoikeuskatselmointiin, osallistuminen pöytäharjoitukseen | ISO/IEC 27002:2022 controls 8.8 ja 8.13, DORA:n häiriönsietokykyvalmius |
| HR | Luottamuksellisuus, perehdytys ja palvelussuhteen päättäminen, kurinpitomenettely, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely | HR-koulutustiedot, perehdytyksen tarkistuslista, politiikan kuittaus | GDPR-osoitusvelvollisuus, ISO/IEC 27002:2022 -henkilöstökontrollit |
| Taloushallinto | Maksupetokset, toimittajana esiintyminen, tehtävien eriyttäminen, epäilyttävien pyyntöjen eskalointi | Kohdennetun moduulin suoritus, tietojenkalastelusimulaatioiden tulokset | Petosriskin vähentäminen, NIS2- ja DORA-poikkeamavalmius |
| Asiakastuki | Identiteetin varmennus, tikettien turvallinen käsittely, henkilötietojen suojaaminen, eskalointipolut | Roolimoduulin suoritus, tikettikatselmoinnin otos, tietosuojakuittaus | GDPR-käsittelijän osoitusvelvollisuus, asiakkaiden varmentaminen |
| Tietoturvapoikkeamiin reagoivat henkilöt | Luokittelu, eskalointi, todistusaineiston säilyttäminen, sääntelyn mukaiset ilmoitusmääräajat, opit | Harjoitustiedot, skenaarioraportti, roolien osoittaminen, toimenpiteiden seurantarekisteri | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022 -poikkeamakontrollit |
| Järjestelmäpääsyn omaavat sopimuskumppanit | Hyväksyttävä käyttö, ilmoituskanava, tietojen käsittely, pääsyn ehdot | Sopimuskumppanin kuittaus, perehdytystiedot, yhteys käyttöoikeuden hyväksyntään | Toimittajien varmentaminen, käyttöoikeuksien hallinnointi, sopimuksenmukaisuus |
Tämä matriisi ei ole pelkkä koulutusaikataulu. Se on vaatimustenmukaisuuskartta, joka osoittaa, miksi eri kohderyhmät saavat erilaista koulutusta.
Kytke koulutus kontrolliketjuun
Zenith Controlsissa ISO/IEC 27002:2022 control 6.3, Information Security Awareness, Education and Training, luokitellaan ennaltaehkäiseväksi kontrolliksi, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta. Sen kyberturvallisuuskäsite on Protect, operatiivinen kyvykkyys Human Resource Security ja tietoturva-alueet Governance ja Ecosystem.
Zenith Controls -oppaan vaatimustenmukaisuuksien välinen tulkinta on suora:
”Control 6.3 vastaa NIS2:n tietoturvakoulutusta ja tietoisuutta koskevaan vaatimukseen toteuttamalla jäsennellyn tietoisuusohjelman, joka kattaa kyberhygienian, esiin nousevat uhat ja henkilöstön vastuut.”
Sama kartoitus kytkee ISO/IEC 27002:2022 control 6.3:n GDPR-odotuksiin henkilötietoja käsittelevistä työntekijöistä, DORA:n rooleihin sovitettuun ICT-tietoturvakoulutukseen sekä NIST SP 800-53 Rev.5 AT-2-, AT-3- ja AT-4-vaatimuksiin lukutaito- ja tietoisuuskoulutuksesta, roolipohjaisesta koulutuksesta ja koulutustiedoista.
Keskeistä on, ettei control 6.3 ole irrallinen. Zenith Controls yhdistää sen ISO/IEC 27002:2022 control 5.2:een, Information Security Roles and Responsibilities, koska roolit määrittävät, kuka tarvitsee mitäkin koulutusta. Se yhdistää sen control 6.8:aan, Information Security Event Reporting, koska työntekijät eivät voi ilmoittaa siitä, mitä eivät tunnista. Se yhdistää sen myös control 5.36:een, Compliance with Policies, Rules and Standards for Information Security, koska noudattaminen edellyttää, että ihmiset tuntevat säännöt.
Tästä muodostuu käytännön kontrolliketju:
- Määrittele vastuut.
- Määrää perustason ja roolipohjainen koulutus.
- Osoita suorittaminen.
- Testaa ymmärrys.
- Seuraa noudattamista.
- Korjaa puutteet.
- Vie opit riskien käsittelyyn ja johdon katselmointiin.
Tämä on tärkeää NIS2:n kannalta, koska Article 21 edellyttää riskianalyysiä, politiikkoja, poikkeamien käsittelyä, liiketoiminnan jatkuvuutta, toimitusketjun turvallisuutta, turvallista hankintaa ja ylläpitoa, kontrollien tehokkuuden arviointia, kyberhygieniaa ja koulutusta, kryptografiaa, HR-turvallisuutta, pääsynhallintaa, omaisuudenhallintaa sekä MFA:ta tai turvallista todennusta tilanteen mukaan.
Se on tärkeää DORA:n kannalta, koska hallinnointi, poikkeamien hallinta, reagointi ja palautuminen, kolmansien osapuolten riskit ja häiriönsietokyvyn testaus toimivat vain, jos henkilöt tietävät ennen poikkeamaa, mitä heidän tulee tehdä.
Rakenna auditointivalmis näyttöaineistopaketti
Kypsä näyttöaineistopaketti sisältää muutakin kuin läsnäololokit. Se osoittaa hallinnoinnin, suunnittelun, toteutuksen, suorittamisen, vaikuttavuuden ja parantamisen. Clarysec suosittelee kuuden kansion rakennetta.
| Näyttöaineistokansio | Mitä se sisältää | Miksi sillä on merkitystä |
|---|---|---|
| 01 Hallinnointi | Hyväksytty politiikka, koulutustavoitteet, johdon hyväksyntä, budjetti, vuosisuunnitelma | Osoittaa johdon sitoutumisen ja valvonnan |
| 02 Roolikartoitus | Rooliluettelo, pätevyysmatriisi, koulutuksen määrityssäännöt, sopimuskumppaneiden soveltamisala | Osoittaa riskiperusteisen ja roolipohjaisen suunnittelun |
| 03 Koulutussisältö | Kurssimateriaalit, LMS-moduulit, tietojenkalastelumallit, tietoturvatiedotteet, versiohistoria | Osoittaa, mitä henkilöille tosiasiallisesti opetettiin |
| 04 Suoritustiedot | LMS-viennit, HRIS-tiedot, läsnäololokit, tietotestien tulokset, kuittaukset | Osoittaa osallistumisen ja säilytetyn dokumentoidun tiedon |
| 05 Vaikuttavuusnäyttö | Tietojenkalastelusimulaatioiden mittarit, haastattelutulokset, poikkeamien raportointitrendit, pöytäharjoitusten tulokset | Osoittaa, muuttuiko käyttäytyminen koulutuksen seurauksena |
| 06 Parantaminen | Korjaavat toimenpiteet, päivitetyt moduulit, opit, johdon katselmoinnin syötteet | Osoittaa jatkuvan parantamisen |
Clarysecin yrityspolitiikka edellyttää perehdytystä, vuosittaista kertauskoulutusta ja roolipohjaisia moduuleja. Tietoturvatietoisuus- ja koulutuspolitiikka, hallinnointivaatimukset, lauseke 5.1.1.2, toteaa:
”Sisällytä perehdytys, vuosittainen kertauskoulutus ja roolipohjaiset koulutusmoduulit”
Sama politiikka määrittää todentavan aineiston omistajuuden. Hallinnointivaatimukset, lausekkeet 5.3.1 ja 5.3.1.1, toteavat:
”Tietoturvajohtajan tai hänen delegoimansa henkilön on ylläpidettävä:”
”kunkin käyttäjän suoritustiedot”
Pk-yrityksille pk-yrityspolitiikka lisää käytännöllisen rytmin. Tietoturvatietoisuus- ja koulutuspolitiikka - pk-yritykset, politiikan toteutusvaatimukset, lauseke 6.1.1, toteaa:
”Materiaalien on oltava käytännöllisiä, rooliin soveltuvia ja vuosittain päivitettäviä.”
Se kattaa myös muutoksista käynnistyvän koulutuksen. Lauseke 6.5.1 toteaa:
”Kun työtehtävät muuttuvat tai järjestelmiä otetaan käyttöön, voidaan edellyttää kohdennettua tietoisuuskoulutusta (esim. turvallinen tiedostojen jakaminen, uudet tietosuoja- ja tietojen minimointivaatimukset).”
Tämä lauseke on erityisen tärkeä vuonna 2026, koska pilvimigraatiot, tekoälytyökalut, uudet maksuintegraatiot, uudet käsittelijät ja sääntelyraportoinnin muutokset voivat muuttaa riskiä nopeammin kuin vuosittainen sykli.
Viikon pelastussuunnitelma ennen auditointia
Kuvitellaan 180 henkilön SaaS- tai FinTech-palveluntarjoaja, joka valmistautuu ISO/IEC 27001:2022 -valvontaauditointiin, DORA-asiakkaan huolellisuusarviointiin, GDPR-osoitusvelvollisuuden tarkasteluun ja NIS2:n ohjaamiin asiakaskysymyksiin. Tietoturvajohtajalla on viikko aikaa muuttaa yleiset suoritustiedot perusteltavissa olevaksi näyttöaineistopaketiksi.
Päivä 1: Vahvista soveltamisala ja velvoitteet
Käytä ISO/IEC 27001:2022 Clauses 4.1 to 4.4 -vaatimuksia toimintaympäristön, sidosryhmien ja ISMS:n soveltamisalan vahvistamiseen. Kirjaa asiakkaiden sopimusperusteiset sitoumukset, GDPR:n rekisterinpitäjä- tai käsittelijävelvoitteet, kriittisten asiakkaiden NIS2-odotukset ja DORA:an liittyvät ICT-toimittajien huolellisuusarviointipyynnöt.
Käännä sitten velvoitteet koulutustarpeiksi. GDPR edellyttää, että henkilötietoja käsittelevä henkilöstö ymmärtää luottamuksellisuuden, minimoinnin, säilytyksen ja loukkausten eskaloinnin. NIS2 edellyttää kyberhygieniaa, työntekijöiden koulutusta ja johdon valvontaa. DORA-ohjautuneet asiakkaat odottavat näyttöä siitä, että kriittisiä palveluja tukevat tiimit ymmärtävät poikkeamien eskaloinnin, häiriönsietokyvyn, pääsynhallinnan, varmuuskopioinnin ja palautumisen sekä kolmansien osapuolten koordinoinnin.
Päivä 2: Rakenna roolipohjainen matriisi
Käytä Zenith Blueprintin ohjeistusta ja Zenith Controlsin kartoituksia ISO/IEC 27002:2022 controls 5.2 ja 6.3 -vaatimuksiin. Sisällytä työntekijät, sopimuskumppanit, etuoikeutetut käyttäjät, kehittäjät, tukitiimit, HR, taloushallinto, ylin johto ja tietoturvapoikkeamiin reagoivat henkilöt.
Kytke kukin rooli järjestelmiin ja riskeihin. Kehittäjille määrätään turvallinen ohjelmointi ja haavoittuvuuksien käsittely. Tukitiimeille määrätään identiteetin varmennus ja tikettien turvallinen käsittely. Taloushallinnolle määrätään maksupetokset ja toimittajamuutosten varmennus. Ylimmälle johdolle määrätään hallinnointi, oikeudellinen vastuu, riskinottohalukkuus ja kriisipäätöksenteko.
Päivä 3: Kohdista politiikka ja koulutusmääritykset
Ota käyttöön tai päivitä asianmukainen Clarysec-politiikka. Käytä pk-yrityspolitiikkaa kevyenä toimintamallina tai yrityspolitiikkaa vahvempaan hallinnointiin ja todentavan aineiston omistajuuteen. Varmista, että politiikka sisältää perehdytyksen, vuosittaiset kertauskoulutukset, roolipohjaiset moduulit, todentavan aineiston säilytyksen, sopimuskumppaneiden kattavuuden ja muutoksista käynnistyvän koulutuksen.
Julkaise politiikka, kerää kuittaukset ja linkitä koulutusmoduulit tehtäväperheisiin HRIS- tai LMS-järjestelmässä.
Päivä 4: Toteuta kohdennettu koulutus
Älä kouluta kaikkia kaikesta. Kouluta kaikki perustason kontrolleihin ja määrää sen jälkeen roolikohtaiset moduulit.
Perustason moduulin tulee kattaa tietojenkalastelu ja sosiaalinen manipulointi, salasanojen turvallinen käyttö ja MFA, hyväksyttävä käyttö, tietojen turvallinen käsittely, poikkeamien ilmoituskanavat, kadonneen laitteen ilmoittaminen ja tietosuojan perusteet.
Roolikohtaisten moduulien tulee kattaa turvallinen SDLC kehittäjille, etuoikeutettu pääsy ja varmuuskopioiden palautus IT:lle, työntekijätiedot HR:lle, maksupetokset taloushallinnolle, poikkeamien luokittelu tietoturvapoikkeamiin reagoiville henkilöille sekä NIS2- ja DORA-hallinnointi ylimmälle johdolle.
Päivä 5: Vie ja validoi todentava aineisto
Luo kuuden kansion näyttöaineistopaketti. Vie suoritustiedot, tietotestien pisteet, kurssiversionumerot, politiikkakuittaukset ja koulutusaikataulut. Tunnista suorittamatta jääneet koulutukset ja avaa korjaavat toimenpiteet.
Testaa sen jälkeen ymmärrys haastatteluilla. Kysy eri osastojen työntekijöiltä:
- Minkä tietoturvakoulutuksen suoritit?
- Miten ilmoitat epäilyttävästä sähköpostista?
- Mitä tekisit, jos kadottaisit kannettavan tietokoneen?
- Mistä löydät tietoturvapolitiikan?
- Mitä henkilötietoja käsittelet roolissasi?
Kirjaa tulokset sisäisen tarkastuksen otokseksi. Auditoijat käyttävät usein haastatteluja varmistaakseen, onko tietoisuus omaksuttu, ei vain toimitettu.
Päivä 6: Kytke koulutus tietoturvapoikkeamiin reagointiin
Käytä poikkeamien ilmoittamista koskevaa koulutusta siltana ISO/IEC 27002:2022 control 6.8 -vaatimukseen, NIS2 Article 23 -vaatimukseen ja DORA Articles 17 to 19 -vaatimuksiin.
NIS2 Article 23 edellyttää merkittävien poikkeamien vaiheittaista raportointia, mukaan lukien varhaisvaroitus 24 tunnin kuluessa tietoisuudesta, ilmoitus 72 tunnin kuluessa ja loppuraportti yhden kuukauden kuluessa. DORA edellyttää, että merkittävät ICT:hen liittyvät poikkeamat luokitellaan, eskaloidaan, viestitään ja raportoidaan vaaditun raportointielinkaaren mukaisesti.
Työntekijöiden ei tarvitse opetella lakisääteisiä määräaikoja ulkoa, mutta heidän on ilmoitettava epäillyistä poikkeamista riittävän nopeasti, jotta organisaatio voi täyttää ne.
Zenith Blueprintissä, Controls in Action, Step 16: People Controls II, Clarysec toteaa:
”Tehokas tietoturvapoikkeamiin reagoinnin järjestelmä ei ala työkaluista vaan ihmisistä.”
Tämä ei ole pehmeää ohjeistusta. Se on operatiivista häiriönsietokykyä.
Päivä 7: Valmistele auditointikertomus
Lopullisen auditointikertomuksen tulee olla lyhyt ja todentavaan aineistoon perustuva:
”Tunnistimme koulutustarpeet ISMS-roolien, lakisääteisten ja sopimusperusteisten velvoitteiden, riskien arvioinnin tulosten ja järjestelmäpääsyn perusteella. Määräsimme perustason ja roolipohjaiset moduulit LMS:n kautta. Säilytimme suoritustiedot, tietotestien pisteet, sisältöversiot ja kuittaukset. Testasimme vaikuttavuutta tietojenkalastelusimulaatioilla, haastatteluilla ja poikkeamien raportointimittareilla. Suorittamatta jääneet koulutukset seurataan korjaavina toimenpiteinä. Johto katselmoi ohjelman vuosittain ja merkittävien muutosten jälkeen.”
Todentavalla aineistolla tuettuna tämä kertomus kestää ISO/IEC 27001:2022 -auditoinnin kysymykset, NIS2-hallinnoinnin tarkastelun, DORA-asiakkaan huolellisuusarvioinnin, GDPR-osoitusvelvollisuuden tarkastelun ja NIST-tyyppisen kontrolliarvioinnin.
Tietoturvatietoisuuskoulutuksen vaatimustenmukaisuuksien välinen kartoitus
Tietoturvatietoisuus luokitellaan usein virheellisesti HR-tehtäväksi. Käytännössä se on vaatimustenmukaisuuksien välinen kontrolli, joka koskettaa hallinnointia, riskienhallintaa, tietosuojaa, tietoturvapoikkeamiin reagointia, toimittajien varmentamista ja häiriönsietokykyä.
| Viitekehys tai säädös | Koulutuksen merkitys | Clarysecin toteutuskohta |
|---|---|---|
| ISO/IEC 27001:2022 | Pätevyys, tietoisuus, johtajuus, roolien osoittaminen, dokumentoitu tieto, seuranta, sisäinen tarkastus ja parantaminen | Zenith Blueprint Step 5 ja Step 15, politiikkalausekkeet perehdytyksestä, vuosittaisista kertauskoulutuksista, roolipohjaisesta koulutuksesta ja todentavasta aineistosta |
| ISO/IEC 27002:2022 | Control 6.3 tietoisuus, koulutus ja harjoittelu, kytkettynä 5.2 rooleihin, 6.8 tapahtumien ilmoittamiseen ja 5.36 vaatimustenmukaisuuden seurantaan | Zenith Controls kartoittaa attribuutit, liittyvät kontrollit, auditointiodotukset ja viitekehysten välisen yhdenmukaisuuden |
| NIS2 | Johdon koulutus, työntekijöiden kyberturvallisuuskoulutus, kyberhygienia, poikkeamavalmius ja hallinnoinnin vastuun osoitettavuus | Hallitusmoduuli, työntekijöiden perustaso, poikkeamien ilmoitusmoduuli, johdon hyväksyntänäyttö |
| DORA | ICT-hallinnointi, johdon valvonta, oppiminen ja kehittyminen, poikkeamien eskalointi, häiriönsietokyvyn testaus ja kolmansia osapuolia koskevat odotukset | Ylimmän johdon koulutus, ICT-roolimoduulit, tietoturvapoikkeamiin reagoivien koulutus, toimittajarajapintaan tarkoitettu näyttöaineistopaketti |
| GDPR | Osoitusvelvollisuus, käsittelyn turvallisuus, tietosuojaroolien tietoisuus, loukkausten tunnistaminen ja henkilötietojen käsittely | Tietosuojakoulutus HR:lle, tuelle, myynnille, kehitykselle ja poikkeamatiimeille |
| NIST CSF 2.0 | GOVERN-toiminto, roolit, politiikat, lakisääteiset velvoitteet, valvonta, profiilit ja parantamissuunnittelu | Nykyinen ja tavoiteltu koulutusprofiili, puuterekisteri ja priorisoitu toimintasuunnitelma |
| NIST SP 800-53 Rev.5 | Tietoisuuskoulutus, roolipohjainen koulutus ja koulutustiedot | Kartoitus AT-2-, AT-3- ja AT-4-vaatimuksiin Zenith Controlsin kautta |
| COBIT 2019 -perusteinen varmennus | Hallinnointitavoitteet, vastuun osoitettavuus, kyvykkyys, suorituskykymittarit ja johdon raportointi | Koulutuksen KPI-mittarit, roolien omistajuus, johdon katselmointi ja korjaavien toimenpiteiden sulkeminen |
NIST CSF 2.0 on erityisen hyödyllinen organisaatioille, joiden on selitettävä kypsyystasoaan muille kuin ISO-sidosryhmille. Sen Organizational Profiles -menetelmä tukee nykytilan ja tavoitetilan suunnittelua. Esimerkiksi Current Profile voi todeta, että perustason tietoisuus on olemassa, mutta kehittäjien turvallisen ohjelmoinnin koulutus on puutteellinen. Target Profile voi edellyttää, että kaikki kehittäjät suorittavat turvallisen ohjelmoinnin, haavoittuvuuksien julkistamisen ja salaisuuksien hallinnan koulutuksen Q3:een mennessä.
Miten auditoijat ja viranomaiset testaavat koulutusnäyttöä
Eri arvioijat kysyvät eri kysymyksiä, mutta kaikki testaavat samaa totuutta: tietääkö organisaatio, mitä henkilöiden tulee tehdä, ja pystyykö se osoittamaan, että henkilöt ovat valmiita tekemään sen?
ISO/IEC 27001:2022 -auditoija kytkee koulutusnäytön Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 ja 10.2 -vaatimuksiin sekä liite A:n hallintakeinoihin. Odotettavissa on kysymyksiä siitä, miten pätevyysvaatimukset määritettiin, miten työntekijät tuntevat tietoturvapolitiikan, miten uudet työntekijät ja sopimuskumppanit koulutetaan, miten suorittamatta jääneet koulutukset käsitellään, miten roolipohjainen koulutus kytkeytyy riskien arviointiin ja soveltuvuuslausuntoon sekä miten vaikuttavuutta arvioidaan.
Zenith Controls toteaa, että ISO/IEC 19011:2018 -standardia käyttävät auditoijat tarkastelevat opetussuunnitelmaa, aikatauluja, materiaaleja, läsnäolotietoja, suoritustodistuksia ja kouluttajan pätevyyttä. Se toteaa myös, että ISO/IEC 27007:2020 -auditoijat voivat käyttää haastatteluja selvittääkseen, tietävätkö työntekijät, miten poikkeamista ilmoitetaan, ja muistavatko he keskeiset koulutusviestit.
NIS2-painotteinen tarkastelu menee suoritusasteita pidemmälle. Siinä kysytään, hyväksyikö ja valvoiko hallintoelin kyberturvallisuuden riskienhallintatoimia, saiko johto koulutusta, onko henkilöstön kyberhygieniakoulutus säännöllistä ja ymmärretäänkö poikkeamien ilmoittaminen. Article 21 edellyttää myös menettelyjä kyberturvallisuuden riskienhallintatoimien tehokkuuden arvioimiseksi, joten tietojenkalastelumittarit, poikkeamien raportointitrendit ja auditointihavainnot muodostuvat kontrollin tehokkuutta koskevaksi näytöksi.
DORA-tarkastelu, erityisesti kun finanssialan asiakas arvioi ICT-palveluntarjoajaa, keskittyy operatiiviseen häiriönsietokykyyn. Odotettavissa on kysymyksiä kriittisiä finanssipalveluja tukevasta henkilöstöstä, maksujärjestelmiä hallinnoivien tiimien koulutustiedoista, johdon koulutuksesta ICT-kolmansien osapuolten riskeihin, poikkeamien luokittelusta DORA Article 18 -vaatimuksen mukaisesti sekä sopimuskumppaneiden koulutuksesta asiakasympäristöihin pääsyä varten.
GDPR-tarkastelu keskittyy osoitusvelvollisuuteen. Organisaation on osoitettava, että henkilötietoja käsittelevä henkilöstö ymmärtää lainmukaisen käsittelyn, luottamuksellisuuden, minimoinnin, säilytyksen, turvallisen käsittelyn ja loukkausten eskaloinnin. SaaS-, FinTech- ja hallinnoiduille palveluntarjoajille koulutusnäyttö on osa sen osoittamista, että tietosuojavaatimukset on sisällytetty operatiiviseen käyttäytymiseen.
Mittarit, jotka osoittavat kontrollin tehokkuuden
Suorittaminen on välttämätöntä, mutta se ei riitä. Vahvempi vuoden 2026 mittaristo osoittaa, paransiko koulutus käyttäytymistä.
| Mittari | Mitä se osoittaa | Auditointitulkinta |
|---|---|---|
| Suoritukset rooleittain | Suorittivatko osoitetut kohderyhmät vaaditut moduulit | Perusvaatimusten noudattaminen ja kattavuus |
| Uusien työntekijöiden suoritus tavoiteajassa | Toimivatko perehdytyskontrollit | HR- ja käyttöoikeuksien hallinnoinnin kypsyys |
| Etuoikeutettujen käyttäjien koulutuksen suorittaminen | Ovatko korkean riskin käyttäjät valmistautuneita | Riskiperusteinen priorisointi |
| Tietojenkalastelusimulaation klikkaus- ja raportointiprosentti | Paraneeko käyttäytyminen | Tietoisuuden vaikuttavuus |
| Työntekijöiden tekemät poikkeamailmoitukset | Tunnistavatko ja ilmoittavatko henkilöt tapahtumia | Yhteys poikkeamavalmiuteen |
| Aika epäilyttävästä sähköpostista ilmoitukseen | Tukeeko ilmoittaminen sääntelyn määräaikoja | NIS2- ja DORA-valmius |
| Toistuvat suorittamatta jättämiset | Toimivatko vaatimusten täytäntöönpano ja eskalointi | Vaatimustenmukaisuuden seuranta |
| Koulutuspäivitykset poikkeamien tai muutosten jälkeen | Ohjaavatko opit parantamista | Jatkuva parantaminen |
Nämä mittarit tukevat ISO/IEC 27001:2022 Clause 9.1 -vaatimusta seurannasta ja mittaamisesta, Clause 9.2 -vaatimusta sisäisestä tarkastuksesta, Clause 10.1 -vaatimusta jatkuvasta parantamisesta ja Clause 10.2 -vaatimusta poikkeamista ja korjaavista toimenpiteistä. ISO/IEC 27002:2022 control 5.36 vahvistaa, että tietoturvapolitiikkojen, sääntöjen ja standardien noudattamista on seurattava, arvioitava ja korjattava.
Yleiset havainnot, joita Clarysec näkee auditoinneissa
Samat heikkoudet toistuvat usein.
Organisaatiot kouluttavat työntekijät mutta unohtavat ylimmän johdon. NIS2:n ja DORA:n mukaan johdon koulutus on osa hallinnointia, ei kypsyyslisä.
Organisaatiot järjestävät vuosittaisen koulutuksen mutta sivuuttavat roolimuutokset. Tukihenkilön siirtyminen DevOps-rooliin edellyttää etuoikeutettua pääsyä, lokitusta, varmuuskopiointia ja poikkeamien eskalointia koskevaa koulutusta.
Organisaatiot sisällyttävät työntekijät mutta unohtavat sopimuskumppanit. Zenith Blueprint Step 15 suosittelee koulutuksen laajentamista sopimuskumppaneihin tai kolmansiin osapuoliin, joilla on pääsy järjestelmiin tai tietoihin.
Organisaatiot opettavat poikkeamien ilmoittamista mutta luovat pelkoa. Jos henkilöstö uskoo joutuvansa rangaistuksi klikatessaan tietojenkalastelulinkkiä, se voi vaieta. Zenith Blueprint Step 16 korostaa yksinkertaisia ilmoituskanavia, tietoisuuteen perustuvaa ilmoittamista ja syyllistämätöntä kulttuuria.
Organisaatiot eivät pysty osoittamaan sisällön versiointia. Jos auditoija kysyy, mitä työntekijät suorittivat maaliskuussa, nykyinen SharePointissa oleva diasarja ei riitä. Säilytä toimitettu versio.
Organisaatiot eivät kytke koulutusta riskien käsittelyyn. Jos kiristyshaittaohjelmat, maksupetokset, pilven virheelliset konfiguraatiot tai tietovuoto ovat merkittävimpiä riskejä, koulutussuunnitelman tulee osoittaa kohdennettu käsittely asiaankuuluville rooleille.
Mihin Clarysec sopii
Clarysec auttaa organisaatioita rakentamaan yhden perusteltavissa olevan ohjelman viiden erillisen vaatimustenmukaisuuspolun sijaan.
Tietoturvatietoisuus- ja koulutuspolitiikka - pk-yritykset antaa pienemmille organisaatioille käytännöllisen perustason: roolipohjaiset odotukset, dokumentoidut tiedot, vuosittaiset päivitykset, muutoksista käynnistyvä koulutus ja vähintään kolmen vuoden säilytys.
Yritystason Tietoturvatietoisuus- ja koulutuspolitiikka antaa suuremmille organisaatioille vahvemman hallinnoinnin: jäsennellyn riskiperusteisen tietoisuuden, perehdytyksen, vuosittaiset kertauskoulutukset, roolipohjaiset moduulit, tietoturvajohtajan omistajuuden tiedoista sekä valmiuden sääntelytarkastuksiin GDPR:n, DORA:n ja NIS2:n mukaisesti.
Zenith Blueprint kertoo toteutustiimeille, mitä tehdään missäkin järjestyksessä. Step 5 rakentaa pätevyyden ja tietoisuuden osaksi ISMS:n perustaa. Step 15 toteuttaa ISO/IEC 27002:2022 control 6.3 -hallintakeinon vuosittaisella koulutuksella, roolikohtaisilla moduuleilla, perehdytyksellä, tietojenkalastelusimulaatioilla, osallistumisnäytöllä, kohdennetuilla tiedotteilla, sopimuskumppaneiden koulutuksella ja käyttäytymisen vahvistamisella. Step 16 kytkee tietoisuuden henkilöstölähtöiseen poikkeamien ilmoittamiseen.
Zenith Controls antaa vaatimustenmukaisuustiimeille vertailukartan. Se kytkee ISO/IEC 27002:2022 control 6.3 -hallintakeinon rooleihin, tapahtumien ilmoittamiseen, vaatimustenmukaisuuden seurantaan, ISO/IEC 27005:2024:n inhimillisiin riskitekijöihin, GDPR-koulutusodotuksiin, NIS2 Article 21 -vaatimukseen, DORA:n ICT-koulutukseen, NIST-tietoisuuskontrolleihin ja auditointimenetelmiin. Se kytkee myös control 5.2:n hallinnointivastuisiin ja control 5.36:n vaatimustenmukaisuuden seurantaan ja korjaaviin toimenpiteisiin.
Yhdessä nämä resurssit mahdollistavat sen, että tietoturvajohtaja voi selittää paitsi mitä koulutusta järjestettiin, myös miksi se järjestettiin, kuka sitä edellytti, mitä riskiä sillä käsiteltiin, miten se todennettiin ja miten se paranee.
Tee tietoturvakoulutuksen näytöstä auditointivalmis nyt
Jos nykyinen todentava aineistosi on laskentataulukko, diasarja ja toive siitä, että työntekijät muistavat ilmoitussähköpostiosoitteen, nyt on aika kypsyttää sitä.
Aloita tällä viikolla neljällä toimenpiteellä:
- Luo roolipohjainen koulutusmatriisi, joka on kytketty ISMS-vastuisiin, järjestelmäpääsyyn ja sääntelyvelvoitteisiin.
- Ota käyttöön tai päivitä Clarysecin tietoisuuspolitiikka käyttämällä Tietoturvatietoisuus- ja koulutuspolitiikka - pk-yritykset -politiikkaa tai Tietoturvatietoisuus- ja koulutuspolitiikka -politiikkaa.
- Rakenna kuuden kansion näyttöaineistopaketti hallinnointia, roolikartoitusta, sisältöä, suorituksia, vaikuttavuutta ja parantamista varten.
- Käytä Zenith Blueprint - ja Zenith Controls -resursseja koulutusnäytön kartoittamiseen ISO/IEC 27001:2022-, NIS2-, DORA-, GDPR- ja NIST-auditointiodotuksiin.
Tietoturvatietoisuus on arvokasta, kun se muuttaa käyttäytymistä. Vaatimustenmukaisuusnäyttö on arvokasta, kun se osoittaa käyttäytymisen johdonmukaisesti.
Clarysec auttaa rakentamaan molemmat.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
