Yhdistetty tietoturvan varmennus standardien ISO/IEC 27006 ja ISAE 3000 mukaisesti

Abstract

Organisaatiot voivat osoittaa tietoturvansa tason täyttämällä tunnettujen kriteeristöjen vaatimuksia. Tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 vaatimustenmukaisuus voidaan osoittaa sertifioinnilla, jolloin tarkastustyön tekevän sertifiointielimen pitää täyttää auditointia ja sertifiointia koskevan ISO/IEC 27006 -standardin vaatimukset. Kansainvälisen varmennustoimeksiantoja koskevan standardin ISAE 3000 mukaan puolestaan voidaan osoittaa yhdenmukaisuus melkein minkä tahansa soveltuvan kriteeristön kanssa. Tämän tutkimuksen aiheena on selvittää ISO/IEC 27006- ja ISAE 3000 -standardien mukaisesti tehtävien tietoturvan varmennusten yhdistettävyyttä ja yhdistämisen mahdollisia hyötyjä. Tutkimus on toteutettu laadullisena tapaustutkimuksena, jonka tapausluonne perustuu siihen, että kohteena on kaksi erillistä standardia. Tutkimuksen aineistoina on käytetty ISO/IEC 27006- ja ISAE 3000 -standardeja sekä tietoturva-alalla työskentelevien asiantuntijoiden haastatteluja. Sekä standardien sisältöä että haastatteluaineisto on analysoitu teoriaohjaavan sisällönanalyysin keinoin. Tutkimuksen tulosten perusteella voidaan päätellä, että ISO/IEC 27006- ja ISAE 3000 -standardien mukaan tehtävät tietoturvan auditoinnit ja varmennukset ovat osittain yhdistettävissä. Yhdistettäessä varmennuksia on huomioitava varmennuksen kohde ja laajuus, tarkastajalle asetettavat, eri standardeista riippuvat osaamis- ja pätevyysvaatimukset, osin eroavat tarkastusprosessit sekä käytettävien kriteeristöjen yhdistettävyys. Yhdistetystä varmennuksesta hyötyvät sekä tarkastuksen kohdeorganisaatio että toimittaja. Kohdeorganisaatio voi saavuttaa markkinaetua osoittamalla vaatimustenmukaisuutensa kahden eri viitekehyksen kanssa. Tarkastusten yhdistäminen lisää resurssien käytön tehokkuutta ja siten tuottaa taloudellista etua niin kohdeorganisaatiolle kuin toimittajalle.