Meihin voit luottaa

Smartvatten on sertifioitu ISO/IEC 27001:2022 -standardin mukaisesti, joka on johtava kansainvälinen standardi tietoturvan hallinnalle. Tämä sertifiointi osoittaa, että tietoturvan hallintamme on riskien arviointiin perustuvaa, auditoitua ja jatkuvasti kehittyvää.

• Tietoturvaa hallitaan järjestelmällisesti, ei tapauskohtaisesti.

• Riskit tunnistetaan, arvioidaan ja käsitellään jäsennellysti.

• Valvontaa auditoi riippumaton ulkoinen tilintarkastaja.

• Turvallisuus on integroitu päivittäisiin toimintoihin ja päätöksentekoon.

ISO/IEC 27001:2022 -sertifikaattimme on voimassa seuraavalla soveltamisalalla: Vesimittausjärjestelmien suunnittelussa, valmistuksessa ja myynnissä käytettävät tietojärjestelmät soveltuvuuslausekkeen (SOA) version 2.0 mukaisesti, päivätty 17.9.2025.

Soveltamisala kattaa Smartvattenin toimipaikat Suomessa sekä sen eurooppalaiset tytäryhtiöt. Sertifioinnin soveltamisalaa ja toimipaikkoja tarkastellaan ja ylläpidetään osana johtamisjärjestelmäämme.

ISO 27001 -sertifiointi ei ole kertaluonteinen tapahtuma, vaan ylläpidämme sitä seuraavin keinoin:

• sisäiset auditoinnit

• johtoryhmän tarkastukset

• korjaavat toimenpiteet ja parannukset

• säännölliset ulkoiset valvonta- ja uudelleensertifiointiauditoinnit.

Soveltuvuuslausunto (SoA) on ISO 27001 -standardin keskeinen asiakirja, jossa selitetään, mitä tietoturvan hallintakeinoja käytämme ja miksi.

SoA:

• luettelee ISO 27001 -standardin liitteen A tietoturvan hallintakeinot

• määrittelee, mitkä hallintakeinot ovat sovellettavissa Smartvattenilla

• selittää, miksi tietyt hallintakeinot on sisällytetty tai jätetty pois

• dokumentoi sovellettavien hallintakeinojen soveltamisen tilan

Käytännössä SoA on linkki riskinarviointimme ja toteuttamiemme hallintakeinojen välillä.

• Se osoittaa riskien arviointiin perustuvan lähestymistavan, ei pelkkää sääntöjen noudattamista.

• Se tarjoaa tilintarkastajille ja sidosryhmille läpinäkyvyyttä hallintakeinojen valintaan.

• Se varmistaa, että hallintakeinot ovat linjassa liiketoiminnan ja sääntelyn tarpeiden kanssa.

Turvallisuussyistä koko SoA-dokumentti käsitellään luottamuksellisena. Voimme kuitenkin toimittaa asiakkaille ja kumppaneille tarvittavia varmistusaineistoja osana due diligence -prosessia tai turvallisuusarviointeja.

• Toimitusjohtaja

  • hyväksyy tietoturvapolitiikan

  • kantaa kokonaisvastuun tietoturvasta.

• Tietoturvapäällikkö

  • kehittää, ylläpitää ja valvoo ISMS-järjestelmää

  • valvoo riskienhallintaa ja valvonnan tehokkuutta.

• Tietoturvakomitea

  • valvoo monialaista toimintaa

  • yhdenmukaistaa tietoturvatoimet liiketoiminnan tavoitteiden kanssa.

Tietoturvatavoitteet, riskit ja suorituskyky tarkistetaan säännöllisesti osana johtamisprosesseja, jotta tietoturva pysyy Smartvattenin strategian ja toiminnan mukaisena.

• Liiketoiminnan jatkuvuus

Keskeisten palveluiden saatavuuden ylläpitäminen häiriötilanteissa

• Turvallinen liiketoiminnan kehittäminen

Kasvun, innovaatioiden ja kumppanuuksien mahdollistaminen tietoturvallisella tavalla

• Riskienhallinta ja tietoisuus

Tietoturvariskien tunnistaminen, arviointi ja vähentäminen ajan mittaan

• Vaatimustenmukaisuuden hallinta

Asiakkaiden, sopimusten ja säännösten asettamien tietoturvavaatimusten täyttäminen

• Tietoturvakulttuuri

Tietoisuuden ja yhteisen vastuun rakentaminen koko organisaatiossa

ISMS-järjestelmämme noudattaa jatkuvan parantamisen sykliä, joka sisältää:

• säännölliset riskien arvioinnit

• sisäiset ja ulkoiset auditoinnit

• hallinnan tarkastukset

• koulutus- ja tietoisuudenlisäämistoimenpiteet

• tapaussimulaatiot ja -tarkastelut.

Politiikka koskee:

• Smartvattenin työntekijöitä

• urakoitsijoita ja yhteistyökumppaneita

• alihankkijoita ja muita asiaankuuluvia kolmansia osapuolia

• Tietojen luottamuksellisuuden, eheyden ja saatavuuden suojaaminen

• Turvallisuusrikkomusten ehkäiseminen ja rajoittaminen

• Sovellettavien lakien, määräysten ja standardien noudattaminen

Smartvatten on laatinut menettelytavat:

• tietoturvapoikkeamien havaitsemiseksi

• poikkeamiin reagoimiseksi ja niiden hallitsemiseksi

• tapausten viemiseksi eteenpäin ja raportoimiseksi määriteltyjen ohjeiden mukaisesti.

• Turvallinen viestintä salattujen yhteyksien avulla

• Pääsynvalvonta ja käyttöoikeuksien tarkistukset

• Todentamismenetelmät henkilöllisyyden ja käyttöoikeuksien tarkistamiseksi

• Järjestelmien ja laitteiden suojaus verkkotasolla

Arvioimme ja hallinnoimme turvallisuusriskejä, jotka liittyvät:

• pilvipalvelujen tarjoajiin

• teknologiatoimittajiin

• kolmansien osapuolten palvelukumppaneihin.

Tähän sisältyy myös asiaankuuluvien sertifikaattien, auditointiraporttien ja sopimusten turvallisuusvaatimusten tarkastelu.

Tietoturva on integroitu tuotteidemme ja ohjelmistojemme kehityksen kaikkiin vaiheisiin. Smartvatten integroi tietoturvatoimenpiteet järjestelmän ja ohjelmiston luomisen koko elinkaareen, suunnittelusta käyttöönottoon ja jatkuvaan ylläpitoon. Turvalliset kehittämismenetelmämme on sisällytetty ISMS-järjestelmäämme ja ne ovat ISO/IEC 27001 -standardien mukaisia.

Turvallinen kehitysprosessimme perustuu seuraaviin periaatteisiin:

• Tietoturva suunnittelussa ja oletusarvoisesti

• Riskeihin perustuva hallintakeinojen valinta

• Vähimmäisoikeudet ja pääsyn hallinta

• Ympäristöjen erottaminen

• Jatkuva parantaminen ja oppiminen

• Ohjelmistoihin, järjestelmiin ja muutoksiin liittyvät tietoturvariskit tunnistetaan ja arvioidaan osana ISMS-riskienhallintaprosessiamme.

• Turvallisuusriskit otetaan huomioon uusien toimintojen, teknologioiden tai integraatioiden käyttöönotossa.

• Riskienhallintapäätökset dokumentoidaan ja liitetään sovellettaviin hallintakeinoihin.

• Turvallisuusvaatimukset otetaan huomioon järjestelmien ja ratkaisujen suunnittelussa.

• Arkkitehtuuripäätösten tavoitteena on vähentää hyökkäyskohteiden määrää ja rajoittaa iskun vaikutusalueita.

• Todentaminen, valtuuttaminen ja turvallinen viestintä ovat perusvaatimuksia.

• Järjestelmien ja ohjelmistojen muutokset ovat hallittuja ja jäljitettävissä.

• Pääsy kehitys-, testaus- ja tuotantoympäristöihin on rajoitettu ja roolipohjainen.

• Tehtävät eriytetään tarpeen mukaan, jotta voidaan vähentää luvattomien tai tarkistamattomien muutosten riskiä.

• Turvallisuuteen liittyvät hallintatoimet varmennetaan osana kehitys- ja julkaisutoimintaa.

• Tunnistettuja haavoittuvuuksia ja heikkouksia seurataan ja korjataan riskien perusteella.

• Poikkeamista, auditoinneista tai testeistä saatuja kokemuksia hyödynnetään kehityskäytäntöjen parantamisessa.

• Kolmansien osapuolten komponenttien, kirjastojen ja palveluiden käyttöä tarkastellaan tietoturvariskin näkökulmasta.

• Toimittajien ja pilvipalveluiden tietoturvavaatimukset ovat yhdenmukaiset Smartvattenin tietoturvakäytäntöjen kanssa.

• Asiaankuuluvat sertifikaatit, auditointiraportit ja sopimusperusteiset valvontatoimenpiteet tarkistetaan tarvittaessa.

• Turvalliset määritykset otetaan käyttöön järjestelmien käyttöönoton yhteydessä.

• Lokitietojen kerääminen, valvonta ja pääsynhallinta tukevat turvallista käyttöä.

• Turvallisuuspäivitykset ja parannukset ovat osa jatkuvaa ylläpitoa ja elinkaaren hallintaa.

SDLC-käytäntömme tukevat seuraavien vaatimusten noudattamista:

• ISO/IEC 27001 -standardin liitteen A valvontatoimet, mukaan lukien turvallinen järjestelmäkehitys ja muutoksenhallinta

• NIS2-riskienhallinnan vaatimukset, erityisesti järjestelmän turvallisuuden, tapahtumien ehkäisyn ja joustavuuden osalta

• asiakkaiden ja kumppaneiden turvallisuusvaatimukset.