ISO/IEC 27001 -sertifioinnin hankintaperusteet ja sertifiointielimen valintaperusteet

Abstract

ISO/IEC 27001 -sertifikaatti on vapaaehtoinen tietoturvan johtamisjärjestelmäsertifikaatti, joka voidaan myöntää standardin vaatimukset täyttävälle organisaatiolle. Sertifikaatilla organisaatio voi osoittaa, että sen toimintatavat tietoturvan osalta ovat johdettuja, suunniteltuja ja jatkuvia. ISO/IEC 27001 -standardi on yksi tunnetuimmista tietoturvaan liittyvistä standardeista, mutta siihen liittyvä tutkimus on ollut melko vähäistä, etenkin sertifioinnin osalta. Sen vuoksi tässä tutkimuksessa selvitettiin syitä sille, miksi erilaiset organisaatiot päättävät hankkia ISO/IEC 27001 -sertifikaatin ja ylläpitää sitä. Lisäksi pyrittiin selvittämään tekijöitä, jotka vaikuttavat sertifioinnin suorittavan sertifiointielimen valintaan, sillä aihe on vielä käytännössä tutkimaton. Tutkimus toteutettiin laadullisena monitapaustutkimuksena, jonka avulla pyrittiin löytämään tekijöitä, jotka vaikuttavat tutkimuskysymyksissä viitattuihin ilmiöihin. Sertifioinnin hankintaperusteissa ongelmaa oli käytännöllistä lähestyä etsimällä sertifioinnista saatavia hyötyjä ja haasteita, kun taas sertifiointielimen valintaperusteissa keskityttiin etsimään tekijöitä ja kevyesti vertailemaan niitä. Tiedon kerääminen toteutettiin haastattelemalla jo sertifioituja organisaatioita käyttäen semistrukturoitua haastattelumenetelmää. Analysointi toteutettiin vertailemalla tuloksia aiempiin julkaisuihin aiheista. Tulosten mukaan sertifioinnin hankintaan ja ylläpitoon vaikuttavat pääasiallisesti tietoturva- ja taloushyödyt, ja näitä täydentävät erilaiset muut hyödyt, kuten lainsäädäntöön liittyvät hyödyt. Hyödyt ovat monissa tapauksissa läheisesti yhteneväisiä monien muiden hyötyjen kanssa. Tietoturvanäkökulmasta suurin hyöty on tietoturvan tason kokonaisvaltainen parantuminen, kun taas taloudellisesti sertifikaatti edistää organisaation luottamusta, helpottaa myyntiä ja mahdollistaa säästöjä. Lisäksi sertifioiutumalla organisaatio voi täyttää lainsäädännöllisiä vaatimuksia, kuten EU:n tietosuoja-asetuksen vaatimuksia. Sertifiointielimen valintaan liittyviä tekijöitä löytyi useita. Hinnan ja kilpailutuksen merkitys ovat pienempiä kuin auditoijan ammattitaidon ja sertifiointielimen käytännöllisyystekijöiden, mutta niillä on kuitenkin vaikutusta. Lisäksi vaikuttavia tekijöitä voivat olla myös palvelutarjonnan määrä, maine sekä olemassa olevat suhteet sertifiointielimeen.

ISO/IEC 27001 -certificate is a voluntary information security management system certificate which can be granted to an organization upon complying with the standard’s requirements. Certification acts as a proof that the organization’s procedures in terms of information security are managed, planned and continuous. ISO/IEC 27001 is one of the most recognized information security standards, but little research on the subject has been done, especially in the field of certification. Therefore, this study aimed to find factors that affect organizations’ decision to aim for a certificate and maintain it. Furthermore, factors affecting the selection of the certification body conducting the certification audits were inspected since practically no research has been made on the subject. The re-search was conducted as a qualitative multiple case study where factors answering to the research questions were looked for. Factors affecting the decision to certify were identified through benefits of certification whereas factors affecting the selection of the certification body were inspected as such and by comparing them to each other. Information was collected by interviewing certified organizations by using a semi-structured interview method. Analysis was based on comparison between existing literature and results from this study. The results show that factors affecting the decision to obtain and maintain the certificate are divided into information security and financial benefits which are supplemented with additional benefits, such as legal benefits. Benefits are often closely related and overlapping. From security perspective the main benefit is the overall increase in the level of security while financially the certificate increases trust, increases sales and provides chances for cost savings. Addition-ally, the certificate might help cover legislative requirements such as the EU General Data Protection Regulation. The selection of certification body was found to have multiple affecting factors. Price and tendering are affecting the selection but may not be playing a significant role when compared to auditor’s competence and practicality matters regarding the certification body. Additionally, the following factors were found in the study: service portfolio coverage, reputation and existing relationship with a certification body.