Kuinka LearnSci osoittaa vankan tietoturvan hallinnan ja tehostaa kumppaneiden perehdytystä ISO 27001 -sertifioinnin avulla

Challenge

LearnSci tekee suoraa yhteistyötä yliopistojen kanssa digitaalisten oppimateriaalien tarjoamiseksi, mikä tarkoittaa, että yrityksellä on hallussaan merkittävä määrä opiskelija-, arviointi- ja tehtävätietoja. Vuoden 2025 kyberturvallisuusmurtokyselyssä havaittiin, että 97 % korkeakouluista havaitsi tietomurron tai kyberhyökkäyksen viimeisen vuoden aikana. Siksi potentiaalisten toimittajien on täytettävä tiukat turvallisuusvaatimukset. ISO 27001 -sertifioinnin saaminen oli yritykselle ratkaisevan tärkeää, jotta LearnSci pystyi osoittamaan vankat turvallisuuskäytäntönsä.

Katy Aldrich, LearnScin operatiivinen johtaja, sanoi: ”Yliopistot integroivat osia järjestelmästämme omaansa, ja me tallennamme opiskelijatietoja omalle puolellemme. Meidän on oltava todella varovaisia näiden tietojen suojaamiseksi. Yliopistoilla on käytävä läpi laajoja hankintaprosesseja, kun ne lisensoivat uusia ohjelmistoja, ja ISO 27001 -standardi antaa tässä suuren merkityksen.”

”Halusimme ISO 27001 -sertifioinnin osoittaaksemme, että pidämme huolta meille annetuista tiedoista ja että otamme huomioon tietoturvan koko organisaatiossa.”

Katy Aldrich Operatiivinen johtaja, LearnSci

Katy ja Learning Science -tiimi olivat yrittäneet ottaa ISO 27001 -standardin käyttöön käyttämällä erilaisia ​​asiakirja- ja käytäntömalleja. Toteutuksen pysähtyessä he kuitenkin ymmärsivät tarvitsevansa työkalun, jonka avulla he voisivat rakentaa täydellisen ja tehokkaan tietoturvallisuuden hallintajärjestelmän (ISMS) ja yhdenmukaistaa sen ISO 27001 -standardin parhaiden käytäntöjen vaatimusten kanssa.

”Kokeilimme muutamia eri asioita, mutta mikään ei oikein toiminut, emmekä edistyneet lainkaan. Kokeilimme muutamia käytäntöpohjapaketteja, mutta meillä ei ollut yrityksen sisäistä infrastruktuuria eikä riskirekisterien ja omaisuusrekisterien taustaa. Tarvitsimme jotain, joka tarjoaisi enemmän kuin vain lähtökohdan käytännöille.”

Katy Aldrich Operatiivinen johtaja, LearnSci

Ratkaisu

Yritys otti käyttöön ISMS.online-järjestelmän ISO 27001 -vaatimustenmukaisuuden hallintaan ja keskitti alustan käytännöt, tehtävät, riskienhallinnan, todisteiden keräämisen ja paljon muuta. Yhteistyössä oman asiakkuuspäällikkönsä kanssa ja ISMS.onlinen Assured Results Method (ARM) -menetelmää käyttäen LearnSci eteni vaatimustenmukaisuuden saavuttamiseksi vaiheittain ja sisällytti tietoturvan koko liiketoimintaan.

”Valmiiksi kirjoitetut käytäntö- ja valvontamallit tarjosivat hyvän pohjan – 90 % tarvitsemastamme oli olemassa. Pystyimme poistamaan meille merkityksettömiä osia ja lisäämään niitä, jotka olivat.”

Katy Aldrich Operatiivinen johtaja, LearnSci

Katy lisäsi: ”Olisi ollut paljon vaikeampaa aloittaa tyhjästä ja yrittää selvittää, miten standardi, joka on kirjoitettu hyvin tarkasti, saataisiin yhdenmukaiseksi yrityksemme kanssa. Lähtökohta oli meille todella tärkeä.”

LearnSci hyödynsi myös alustan käytäntöpakettiominaisuutta edistääkseen vaatimustenmukaisuustietoisuuden kulttuuria. Yrityksen tapa käyttää käytäntöpaketteja on suoraan linjassa ISO 27001 -standardin työntekijöiden koulutus- ja tietoisuusvaatimusten kanssa ja auttaa LearnSciä varmistamaan, että työntekijät koko organisaatiossa tuntevat tietoturvaroolinsa ja -vastuunsa.

”Käytämme ISMS.online-sivustoa keskeisten käytäntöjen jakamiseen. Kun uudet työntekijät aloittavat, lähetämme heille käytäntöpaketin, jossa on 15 tai 20 keskeistä käytäntöä, jotka heidän on otettava huomioon päivittäisessä työssään. Sitten voimme säännöllisesti julkaista kyseisen käytäntöpaketin uudelleen ja pyytää kaikkia tarkistamaan, että he ovat edelleen perehtyneitä käytäntöihin, koska joku voi helposti lukea jotain ja sitten unohtaa sen. Tästä oli hyötyä sertifiointiauditointimme aikana, koska pystyimme todistamaan, että esittelimme asiaankuuluvat käytännöt ihmisille ja he lukivat ne.”

Lopputulos

”ARM-menetelmän noudattaminen auttoi meitä tunnistamaan osa-alueet, joihin meidän piti keskittyä edistyäksemme.”

Katy Aldrich Operatiivinen johtaja, LearnSci

LearnSci-tiimi rakensi tietoturvajärjestelmänsä ja integroi tietoturvaprosessinsa liiketoimintaan kolmen vuoden aikana ja saavutti ISO 27001 -sertifikaatin ensimmäisen kerran vuonna 2025.

”Auditointien alkaessa meillä oli järjestelmä, jota olimme rakentaneet pari vuotta, joka toimi meille hyvin ja jonka toimintatapa oli meille tuttu. Koko yritys tunsi alustan, koska olimme käyneet pari kertaa läpi heidän käytäntönsä ja saaneet muita asianosaisia kirjaamaan riskejä tai käyttämään tapausten seurantajärjestelmää”, Katy sanoi. ”Joten kun auditoijat kysyivät meiltä jostakin, pystyimme ohjaamaan heitä oikeaan suuntaan. He kommentoivat, että se oli todella hyvin järjestetty.”

ISO 27001 -sertifioinnin odotetaan säästävän Katyn ja tiimin arvokasta aikaa ja resursseja yliopistojen kanssa työskennellessä. Suurin vaikutus on, kun LearnSci perehdyttää uusia kumppaneita: ISO 27001 -sertifiointi poistaa monissa tapauksissa tiimin tarpeen täyttää laajoja tietoturvakyselyitä. Sen sijaan sertifiointi osoittaa yrityksen vankan tietoturvallisuuden hallinnan.

”ISO 27001 -sertifiointi antaa kumppanille varmuuden siitä, että olemme ulkoisesti sertifioituja ja että tietoturva on huomioitu. Se on iso voitto meille, ja se on voitto heille.”

Katy Aldrich Operatiivinen johtaja, LearnSci

”Muutamassa viime vuonna tekemässäni tietoturvakyselyssä oli pitkä lomake, ja ensimmäinen kysymys on: ”Onko sinulla ISO 27001 -sertifiointi?” Jos voit rastittaa kyseisen ruudun ja antaa sertifikaattinumerosi, sinun ei tarvitse täyttää lomaketta.”

LearnSci on myös saavuttanut merkittäviä kustannussäästöjä käyttämällä ISMS.online-alustaa.

”Jos otetaan huomioon järjestelmän kustannukset ja aikamme kustannukset, se on paljon vähemmän kuin compliance officer -rooliin palkatun henkilön palkkaaminen. Emme pystyisi palkkaamaan oikean tason henkilöä siihen, koska tarvitsisimme silti aikaa muilta yrityksen ihmisiltä.”

Mitä seuraavaksi?

LearnSci-tiimi on ylpeä ISO 27001 -sertifioinnin saavuttamisesta ja suunnittelee julkisuutta asian ympärillä sekä sen asettamien korkeiden standardien ylläpitämisessä. He hyödyntävät sertifiointia tulevia myynti- ja uusimiskeskusteluissa seuraavien kuukausien aikana, kun yliopistot alkavat miettiä resursseja seuraavalle lukuvuodelle.

”ISO 27001 -sertifiointimme tulee todella olemaan merkityksellistä seuraavan kuuden kuukauden aikana, kun myyntisesonkimme on parhaimmillaan.”

Katy Aldrich Operatiivinen johtaja, LearnSci