Vuoden 2023 alussa käynnistyneen ANS ISO 27001 -projektin päätöstä vietettiin juhlavin menoin, kun Fintraffic Lennonvarmistukselle myönnettiin huhtikuussa ISO/IEC 27001:2022 -sertifikaatti. Kyseessä on organisaation tietoturvallisuuden hallintajärjestelmän standardi, jonka vaatiman auditointiprosessin Fintraffic Lennonvarmistus läpäisi maaliskuussa 2025 ilman poikkeamia.
ISO 27001 on kansainvälinen standardi, joka määrittelee organisaation tietoturvallisuuden hallintajärjestelmän perustamiseen, johtamiseen, ylläpitoon, seurantaan ja kehitykseen liittyviä vaatimuksia. Standardi auttaa organisaatioita varmistamaan toimintansa tietoturvallisuuden erilaisin hallintakeinoin riskiperusteisesti.
ANS:n ISO 27001-projektissa rakennettiin standardin mukainen tietoturvallisuuden hallintajärjestelmä osaksi Fintraffic Lennonvarmistuksen olemassa olevaa johtamisjärjestelmää. Standardin mukainen toiminta aloitettiin jo loppuvuodesta 2024, jotta syntyi riittävästi materiaalia auditointia varten. Virallinen sertifikaatti myönnettiin yhtiölle 8.4.2025. Uuden tietoturvallisuuden hallintajärjestelmän arvioi ja sertifioi KIWA Sertifiointi Oy.
- Päätimme jo vuoden 2024 alussa, että rakennamme koko yhtiötä koskevan tietoturvallisuuden hallintajärjestelmän, sillä ulkoinen regulaatio edellyttää erilaisia tietoturvallisuuteen liittyviä toimintoja. Itse sertifiointi oli loppuhuipentuma, jossa arvioitiin järjestelmän rakentamisen ja dokumentaation toteuttamista. Vaikka auditoijilla oli paljon erilaisia havaintoja, läpäisimme arvioinnin ilman poikkeamia ja saimme hyviä vinkkejä, kuinka kehittää toimintaa edelleen, kertoo johtaja Matts-Anders Nyberg Fintraffic Lennonvarmistuksesta.
Tietoturvallisuuden hallinta on tärkeää lennonvarmistukselle, koska eri toimintojen tulee riskiarvion perusteella kyetä toimimaan myös erilaisissa häiriö- ja poikkeustilanteissa. Tähän yritysturvallisuuteen kuuluvat mm. tila-, henkilö- ja tietoturvallisuus.
Johtamisjärjestelmä tuo tietoturvan osaksi päivittäistä toimintaa
Moni tietoturvallisuuden laadunhallintajärjestelmän elementeistä on ollut jo olemassa, sillä Traficomin Fintraffic Lennonvarmistukselle myöntämä hyväksyntätodistus edellyttää ilmailulainsäädännön mukaista toimintaa. ISO 27001 -standardin mukainen toiminta auttaa lennonvarmistusta keskittymään riskiperusteisesti hyödyllisimpiin toimenpiteisiin.
- Sertifikaatti on selkeä todistus, että lennonvarmistus pystyy huomioimaan sidosryhmien ja toimintaympäristön kybertarpeet toiminnassaan. Johtamisjärjestelmä tuo tietoturvan osaksi päivittäistä toimintaa: valitut toimenpiteet vastuutetaan, suunnitellaan ja niitä seurataan, kuten mitä tahansa muuta organisaation toimintaa. Tietoturva näkyy strategiatasosta aina yksikkötason toimintaan asti, kertoo tietoturvapäällikkö Petteri Pesonen Fintrafficin lennonvarmistuksesta.
Lisäksi ISO 27001 -sertifiointi toimii oleellisena pohjana lukuisten regulaatioiden, kuten CER- ja NIS2-direktiivin sekä lennonvarmistusregulaation tietoturvaosan PART-IS:n vaatimusten täyttämisessä.
