ISO/IEC 27001 -sertifioinnin hankintaperusteet ja sertifiointielimen valintaperusteet

ISO/IEC 27001 -sertifikaatti on vapaaehtoinen tietoturvan johtamisjärjestelmäsertifikaatti, joka voidaan myöntää standardin vaatimukset täyttävälle organisaatiolle. Sertifikaatilla organisaatio voi osoittaa, että sen toimintatavat tietoturvan osalta ovat johdettuja, suunniteltuja ja jatkuvia. ISO/IEC 27001 -standardi on yksi tunnetuimmista tietoturvaan liittyvistä standardeista, mutta siihen liittyvä tutkimus on ollut melko vähäistä, etenkin sertifioinnin osalta. Sen vuoksi tässä tutkimuksessa selvitettiin syitä sille, miksi erilaiset organisaatiot päättävät hankkia ISO/IEC 27001 -sertifikaatin ja ylläpitää sitä. Lisäksi pyrittiin selvittämään tekijöitä, jotka vaikuttavat sertifioinnin suorittavan sertifiointielimen valintaan, sillä aihe on vielä käytännössä tutkimaton. Tutkimus toteutettiin laadullisena monitapaustutkimuksena, jonka avulla pyrittiin löytämään tekijöitä, jotka vaikuttavat tutkimuskysymyksissä viitattuihin ilmiöihin. Sertifioinnin hankintaperusteissa ongelmaa oli käytännöllistä lähestyä etsimällä sertifioinnista saatavia hyötyjä ja haasteita, kun taas sertifiointielimen valintaperusteissa keskityttiin etsimään tekijöitä ja kevyesti vertailemaan niitä. Tiedon kerääminen toteutettiin haastattelemalla jo sertifioituja organisaatioita käyttäen semistrukturoitua haastattelumenetelmää. Analysointi toteutettiin vertailemalla tuloksia aiempiin julkaisuihin aiheista. Tulosten mukaan sertifioinnin hankintaan ja ylläpitoon vaikuttavat pääasiallisesti tietoturva- ja taloushyödyt, ja näitä täydentävät erilaiset muut hyödyt, kuten lainsäädäntöön liittyvät hyödyt. Hyödyt ovat monissa tapauksissa läheisesti yhteneväisiä monien muiden hyötyjen kanssa. Tietoturvanäkökulmasta suurin hyöty on tietoturvan tason kokonaisvaltainen parantuminen, kun taas taloudellisesti sertifikaatti edistää organisaation luottamusta, helpottaa myyntiä ja mahdollistaa säästöjä. Lisäksi sertifioiutumalla organisaatio voi täyttää lainsäädännöllisiä vaatimuksia, kuten EU:n tietosuoja-asetuksen vaatimuksia. Sertifiointielimen valintaan liittyviä tekijöitä löytyi useita. Hinnan ja kilpailutuksen merkitys ovat pienempiä kuin auditoijan ammattitaidon ja sertifiointielimen käytännöllisyystekijöiden, mutta niillä on kuitenkin vaikutusta. Lisäksi vaikuttavia tekijöitä voivat olla myös palvelutarjonnan määrä, maine sekä olemassa olevat suhteet sertifiointielimeen.