Sign In

GAP-analyysi ja esisertifiointi auttavat ISO 27001 -sertifiointiin valmistautumisessa

11.1.2018

​​​

​GAP-analyysi ja esisertifiointi tukevat tietoturvallisuuden hallintajärjestelmän kehittämistä ennen varsinaista sertifiointia. Niiden avulla tunnistetaan mahdolliset puutteet ja kehitystarpeet. Samalla nähdään tietoturvallisuuden hallintajärjestelmän kypsyystaso ja sertifiointivalmius. Tätä kautta voidaan myös saavuttaa kustannushyötyjä tietoturvallisuuden hallintajärjestelmän sujuvassa kehittämisessä, käyttöönotossa ja sertifioinnissa.

Milloin yrityksen on ajankohtaista hankkia GAP-analyysi ja esisertifiointi?

GAP-analyysi on hyvä tehdä, kun tietoturvallisuuden hallintajärjestelmän prosessit ja menettelyt on pääosin luotu ja dokumentoitu.

Esisertifiointi kannattaa tehdä GAP-analyysin jälkeen ennen varsinaista sertifiointiauditointia. Silloin järjestelmä on dokumentoitu ja otettu käyttöön, ja tietoturvallisuuden hallintajärjestelmän toiminnasta on kertynyt riittävästi näyttöä.

GAP-analyysi valmistaa esiarviointiin

GAP-analyysissä arvioidaan tietoturvallisuuden hallintajärjestelmän dokumentaatiota ja tallenteita suhteessa standardin ISO 27001 vaatimuksiin. GAP-analyysiraportti antaa hyvän näkemyksen tietoturvallisuuden hallintajärjestelmän dokumentoiduista prosesseista ja menettelytavoista. Analyysissa kartoitetaan mahdolliset puutteet, virheet tai heikkoudet, jotka vaativat toimenpiteitä ennen esisertifiointia. Tulosraportti toimitetaan asiakkaalle järjestelmän kehittämisen tueksi.

Esiarviointi tutustuttaa auditointiprosessiin

Esisertifioinnissa arvioidaan, miten hyvin tietoturvallisuuden hallintajärjestelmä vastaa standardin ISO 27001 vaatimuksia. Arviointiin sisältyy soveltamisalan, soveltuvuuslausunnon (SoA) ja tietoturvariskien käsittelysuunnitelman riippumaton katselmus.

Organisaatio saa yleiskuvan siitä, miltä osin järjestelmä täyttää standardin vaatimukset ja missä havaitaan selkeitä puutteita, kehitettävää dokumentoinnissa tai käytännön toteutuksessa. Esisertifioinnissa tunnistetaan asiat, joita kannattaa kehittää ennen varsinaista sertifiointiarviointia.

Esisertifiointi on myös hyvä keino tutustua auditointiprosessiin ja sen muodollisiin yksityiskohtiin. Auditoija käy arvioinnin loppukokouksessa läpi esisertifioinnissa tehdyt havainnot. Asiakkaalle toimitetaan myös esisertifiointiraportti, jossa havainnot, mahdolliset puutteet ja kehitysmahdollisuudet ovat kirjattuina.

Esisertifioinnin ja GAP-analyysin hyödyt

  • Asiantuntijan arvio tietoturvallisuuden hallintajärjestelmästä ja sen käyttöönotosta
  • Riippumattoman kolmannen osapuolen arvio
  • Tieto järjestelmän kypsyystasosta ja sertifiointivalmiudesta
  • Tieto havaituista mahdollisista puutteista ja potentiaalisista kehityskohteista
  • Kustannussäästö, sillä tarpeettomien kulujen syntyminen voidaan estää
  • Tietoturvallisuuden hallintajärjestelmän soveltamisalan tarkastelu


VTT Expert Services ISO 27001 -sertifioijana

Teemme standardin ISO 27001 mukaisia tietoturvallisuuden hallintajärjestelmän GAP-analyyseja, esiarviointeja, arviointeja ja sertifiointeja. Kokeneet arvioijamme auttavat yritystänne tietoturvallisuuden hallintajärjestelmän sertifiointiin liittyvissä asioissa.​

Lue lisää ISO 27001 -sertifioinnista.



Asiakaspalvelu
Sähköpostiinfo@vtt.fi
Puhelin020 722 7070
Faksi020 722 7001
Avoinna 9.00 - 11.00 ja 12.00 - 15.00

OTA YHTEYTTÄ

PL 1001, 02044 VTT
Puh. vaihde 020 722 111
Avoinna arkisin 8.00 - 16.30
Faksi 020 722 7001
Yhteydenottolomake

ASIAKASPALVELU

info@vtt.fi
Puh. 020 722 7070
Faksi 020 722 7001
Avoinna 9.00 - 11.00 ja
12.00 - 15.00