Yrityksen tietoturvan audititointi ja ISO 27001 standardi: Kuinka niillä parannetaan yrityksen tietoturvaa ?
ISO 27001 standardi sisältää tietoturvallisuuden hallintajärjestelmää (Information Security Management System, eli ISMS) koskevia määrityksiä ja ohjeita, joilla pyritään parantamaan yrityksen tietoturvallisuutta. Kyseistä standardia käytetään kansainvälisesti organisaatioiden tietoturvapolitiikan perustana sekä implementoinnin tukena. Standardi on suunniteltu eri yrityskokojen vaatimustasoihin skaalautuvaksi sekä riittävän joustavaksi soveltuakseen eri organisaatiotyyppien tarpeisiin.
Standardista on muodostunut melkeinpä ns. ”de facto” tietoturvan ja tietoturvan auditoinnin kontekstissa. ISO 27001 standardi hyödyntää PDCA (plan, do, check, act) mallia, joka pyrkii jatkuvan parantamisen sykliin, jossa järjestelmän kontrolleja seurataan säännöllisesti, että ne olisivat riittävän tehokkaita selvitäkseen riskeistä, ja elleivät ole, on niitä kehitettävä täyttääkseen tehtävänsä tehokkaammin. PDCA-mallissa kantavana ajatuksena on iteratiivisesti tapahtuva, jatkuva kehittyminen ja parantaminen. Kehittyminen ei ole mahdollista ilman jatkuvaa valvontaa.
ISO 27001 annex a ja tietoturvallisuuden hallintajärjestelmä
Yksi tärkein syy johtamisjärjestelmän käyttöönottoon, on mahdollisuus siirtyä korkeammalle tasolle reaktiivisesta “ad hoc” organisaatiosta, jolla ei ole käytössään tunnistettuja kiinteitä menetelmiä tai prosesseja ja sen toiminta on lähinnä reaktiivista, sekä tulokset ovat sidottuja yksilötason suorituksiin, työntekijöiden ajan kuluessa “tulipalojen sammuttamiseen”.
ISO 27001 vaatii hallintajärjestelmän dokumentointia ja Annex A.12.1.1 yksityiskohtaisesti vaatii turvallisuusmenettelyjen dokumentointia, ylläpitoa ja että dokumentit ovat organisaatiossa ja sen ulkopuolella niitä tarvitsevien käyttäjien saatavilla. Muita vaatimuksia A liitteessä ovat:
- A.5.1.1: tietoturvakäytännöt
- A.6.1.1: roolien ja vastuiden dokumentointi, liittyen henkilöresursseihin
- A.8.1.3: omaisuuden hyväksyttävä käyttö
- A.9.1.1: pääsynhallintaan liittyvät käytännöt
- A.18.1.1: sovellettavan lainsäädännön tunnistaminen
Monet muista kontrolleista vaativat muodollista menettelyä tai selkeää viestintää. Nämä voidaan saavuttaa ilman dokumentointia, on se kuitenkin oletuksena. Hallintajärjestelmään liittyvän dokumentaation tulee olla täydellisen kattavaa, täyttää standardin vaatimukset, sekä olla organisaation yksityiskohtaisiin tarpeisiin räätälöityä. ISO 27001 mainitsee hallintajärjestelmään liittyvän dokumentoinnin vähimmäisvaatimukset. Standardissa kuitenkin mainitaan, että dokumentoidun tiedon määrä voi vaihdella organisaatioiden välillä, riippuen niiden koosta, tai toimintatavoista.
Annex A sisältää dokumenttien valvontaa liittyviä toimia, liittyen hallintajärjestelmän dokumentointiin ja se sen valvontaan. Kontrollit ovat tärkeitä hallintajärjestelmän toiminnalle. Kontrollit ovat:
- A. 8.2.1: tietojen luokittelu, liittyen luottamuksellisuuteen
- A8.1.1: tietojen merkitseminen, liittyen luottamuksellisuuteen
- A.8.2.3: omaisuuden käsittelyyn ja käsittelymenetelmiin liittyvät luokitukset
- A.18.1.3: arkistojen suojaus ja asiakirjojen säilyttäminen
- A.18.1.4: yksityisyys ja henkilötietojen suojaus, koskien henkilötietojen luottamuksellisuutta
Mitä ISO 27001 standardi sisältää?
Kuin muutkin johtamiseen liittyvät ISO standardit, ISO/IES 27001 standardin sertifiointi on mahdollinen vaihtoehto, mutta ei pakollinen. Monet organisaatiot implementoivat standardin käyttöönsä hyötyäkseen sen sisältämistä “parhaista” käytännöistä, kun osa yrityksistä haluavat saada sertifioinnin, vakuuttaakseen sidosryhmilleen standardin, ja käytäntöjen tarkasta noudattamisesta. ISO ei suorita sertifiointiprosessia, ja jonkin kohdista 4-10 määritellyn vaatimuksen poisjättäminen ei ole hyväksyttävää, jos organisaation tavoitteena on mainita noudattavansa kyseisen standardin vaatimuksia. (ISO.ORG)
ISO 27001 standardi määrittelee tietoturvallisuuden seuraavasti: “tietojen luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen, mutta myös muiden ominaisuuksien, kuten aitouden vastuullisuuden, kiistämättömyyden luotettavuuden takaaminen on huomioitava”. Tietoturvariskit voivat vaikuttaa yhteen, tai useampaan sen kolmesta fundamentaalisesta attribuutista: saatavuuteen, luottamuksellisuuteen tai eheyteen. Nämä kolmen attribuuttia on määritetty standardissa seuraavasti:
Saatavuus: tarkoittaa ominaisuutta ’olla käytettävissä ja saatavilla valtuutetun tahon pyynnöstä’. Tämä tarkoittaa, että tiedon tulisi olla sitä käyttävien ohjelmistojen sekä ihmisten saatavilla tarpeen vaatiessa esteettömästi.
Luottamuksellisuus: ‘ominaisuus, jonka mukaan tiedot eivät ole luvattomien henkilöiden, eikä prosessien saataville, tai ne eivät paljastu.’
Eheys: ‘Ominaisuus, joka suojaa omaisuuden tarkkuutta ja kokonaisuutta’.
ISO 27001 standardi vaatii, että organisaatiokohtaiset tarpeet ja tavoitteet, prosessit, sekä vaatimukset myös rakenteen huomioiden, vaikuttavat ISMS:n, eli tietoturvallisuuden hallintajärjestelmä toteutukseen ja suunnitteluprosessiin.
Tämäkään standardi ei ole ns. ”one size fits all” -tyyppinen ratkaisu, eikä sitä pitäisi näyttää, tai käyttää liian ohjailevana, joustamattomana ohjeena, joka sabotoi liiketoiminnan kasvua, sekä organisaation kehitystä. Standardissa korostetaan siksi seuraavia seikkoja: ISMS Skaalautuu organisaation, ja sen tarpeiden mukaisesti sekä että ISMS:n tulee muuntautua ja muokkautua ajan myötä.
Mitä eroa on ISO 27001 ja ISO 27002 standardeilla?
ISO 27001 päivittyi 2022. Nämä kaksi standardia ovat keskeisiä tietoturvallisuuden hallinnassa, mutta niillä on eri roolit ja tarkoitukset. Alla selitetään niiden erot ja kuinka ne poikkeavat vaatimuksiltaan:
ISO/IEC 27001
Tarkoitus ja soveltaminen:
- ISO/IEC 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvallisuuden hallintajärjestelmälle (ISMS, Information Security Management System). Se keskittyy ISMS
suunnitteluun, toteutukseen, ylläpitoon ja jatkuvaan parantamiseen.
- Standardi on sertifioitava, mikä tarkoittaa, että organisaatiot voivat saada ulkopuolisen sertifiointilaitoksen myöntämän ISO/IEC 27001 -sertifikaatin, joka osoittaa niiden noudattavan standardin vaatimuksia.
- ISO/IEC 27001 on kansainvälinen standardi, joka määrittelee vaatimukset tietoturvallisuuden hallintajärjestelmälle (ISMS, Information Security Management System). Se keskittyy ISMS
Sisältö:
- ISO/IEC 27001 sisältää vaatimukset, joita organisaation on noudatettava ISMS: perustamiseksi ja hallitsemiseksi. Se sisältää myös liitteen A, jossa luetellaan kontrollit (turvallisuustoimenpiteet), jotka voidaan valita ja toteuttaa riskienhallintasuunnitelman perusteella.
- Painopiste on riskienhallinnassa ja johtamisprosessissa.
ISO/IEC 27002
Tarkoitus ja soveltaminen:
- ISO/IEC 27002 on ohjeellinen standardi, joka tarjoaa yksityiskohtaiset käytännöt ja suositukset tietoturvakontrollien toteuttamiseksi. Se toimii täydentävänä oppaana ISO/IEC 27001
ja auttaa organisaatioita valitsemaan ja toteuttamaan sopivia tietoturvakontrolleja.
- Standardi ei ole sertifioitava, vaan se tarjoaa ohjeistusta ja parhaita käytäntöjä tietoturvakäytäntöjen ja kontrollien toteuttamiseen.
- ISO/IEC 27002 on ohjeellinen standardi, joka tarjoaa yksityiskohtaiset käytännöt ja suositukset tietoturvakontrollien toteuttamiseksi. Se toimii täydentävänä oppaana ISO/IEC 27001
Sisältö:
- ISO/IEC 27002 sisältää kattavan luettelon tietoturvakontrolleista, jotka on ryhmitelty eri luokkiin, kuten tietoturvapolitiikat, organisaation tietoturva, henkilöstöturvallisuus, omaisuusturvallisuus, pääsynhallinta, kryptografia, fyysinen turvallisuus, toiminnan hallinta, kommunikaatioturvallisuus, järjestelmien hankinta, kehitys ja ylläpito, toimittajasuhteiden hallinta, tietoturvaloukkausten hallinta, liiketoiminnan jatkuvuuden hallinta ja lainsäädännön noudattaminen.
- Jokainen kontrolli sisältää kuvauksen, sen tavoitteet ja ohjeet toteutukseen.
Yhteenveto eroista
- Tarkoitus: ISO/IEC 27001 keskittyy ISMS:n vaatimuksiin ja on sertifioitava, kun taas ISO/IEC 27002 antaa ohjeita ja suosituksia tietoturvakontrollien toteuttamiseksi.
- Sisältö: ISO/IEC 27001 määrittelee vaatimukset ja riskienhallintaprosessin, kun taas ISO/IEC 27002 tarjoaa yksityiskohtaiset ohjeet ja käytännöt kontrollien toteuttamiseen.
- Käyttö: ISO/IEC 27001 on tarkoitettu organisaatioille, jotka haluavat perustaa, toteuttaa, ylläpitää ja parantaa ISMS:ää ja saada sertifikaatin. ISO/IEC 27002 puolestaan toimii ohjeellisena asiakirjana, joka auttaa organisaatioita täyttämään ISO/IEC 27001 vaatimukset ja valitsemaan sopivia kontrollitoimenpiteitä.
Näiden standardien välinen yhteistyö auttaa organisaatioita varmistamaan kattavan ja tehokkaan tietoturvallisuuden hallintajärjestelmän.
Eroavaisuudet ISO 27001:n ja NIST CSF:n välillä
Verratessa ISO 27001 ja NIST CSF viitekehyksien hyviä ja huonoja puolia, sekä eroavaisuuksia raportissaan, ja toteaa molempien viitekehysten tarjoavan hyviä menetelmiä tietoturvan suojaamiseksi. Molemmat viitekehykset tarjoavat erinomaisia tuloksia turvallisuuden kontekstissa, ja pyrkivät varmistamaan CIA:n, eli luottamuksellisuuden, eheyden ja saatavuuden.
Molemmat arvioiduista viitekehyksistä tarjoavat käytäntöjä, ohjeita ja menettelytapoja, jotka tähtäävät tietoturvan hallintajärjestelmän eli ISMS:n rakentamiseen. Molemmat tarkastelluista viitekehyksistä ovat suhteellisen riippumattomia teknologiasta, ja ne voidaan ottaa käyttöön organisaatioissa, joissa ei olisi käytössä samanlaisia teknologisia ratkaisuja.
Raporttien mukaan CSG:n suojausasennot sopivat paremmin teknologiayritykselle, sen painottaessa lokianalyysia, tapahtumien analytiikkaa, sekä teknisiä ohjauksia, ISO 27001:n soveltuessa paremmin kaupallisille yrityksille, sen sisältäessä tarkasti määritettyjä asiakirjoja (jotka on jaettu pakollisiin: soveltuvuusselvitys, ISMS laajuus, riskien käsittely, riskienarviontimenettelyn ohje ja ei pakollisiin asiakirjoihin, kuten salasanapolitiikka. Tutkijoiden mukaan molemmat mallit mittaavat turvallisuuskäytäntöjä laadullisilla mittareilla, vaikka määrällisillä mittareilla saataisiin paljon paremmin tarkempia tuloksia.
ISO 27001 ja ISO 27002 sertifionti prosessina (ISO 27001 sertification)
ISO/IEC 27001 -sertifiointi on prosessi, joka sisältää useita vaiheita ja edellyttää organisaatiolta tietoturvallisuuden hallintajärjestelmän (ISMS) perustamista, toteuttamista ja jatkuvaa parantamista. Sertifiointiprosessi voidaan jakaa seuraaviin vaiheisiin:
Valmisteluvaihe:
- Johdon sitoutuminen: Yrityksen ylin johto sitoutuu tietoturvallisuuden hallintajärjestelmän (ISMS) kehittämiseen ja sertifiointiin.
- Projektin käynnistäminen: Perustetaan ISMS-projekti ja nimetään projektiryhmä sekä ISMS-johtaja.
- Alkutilanteen kartoitus: Arvioidaan nykyiset tietoturvakäytännöt ja tunnistetaan puutteet verrattuna ISO 27001 -vaatimuksiin.
ISMS: suunnittelu ja toteutus:
- Riskiarviointi: Toteutetaan perusteellinen riskiarviointi tunnistaen tietoturvariskit ja niiden vaikutukset.
- Riskihoitosuunnitelma: Laaditaan suunnitelma riskien hallitsemiseksi, mukaan lukien tarvittavat kontrollit.
- Tietoturvapolitiikat ja -prosessit: Kehitetään ja dokumentoidaan tietoturvapolitiikat, menettelyt ja kontrollit.
- Tiedon luokittelu: Määritellään tietojen luokittelujärjestelmä ja suojaustasot.
- Koulutus ja tietoisuuden lisääminen: Koulutetaan henkilöstö tietoturvakäytännöistä ja lisätään tietoisuutta.
ISMS: käyttöönotto:
- Käyttöönottaminen: Toteutetaan ISMS
kontrollit ja menettelyt organisaation sisällä.
- Dokumentointi: Dokumentoidaan kaikki ISMS
osat, mukaan lukien politiikat, prosessit ja kontrollit.
- Käyttöönottaminen: Toteutetaan ISMS
Sisäinen auditointi ja johdon katselmus:
- Sisäiset auditoinnit: Suoritetaan sisäisiä auditointeja ISMS
toiminnan arvioimiseksi ja parantamisalueiden tunnistamiseksi.
- Johdon katselmus: Ylin johto tarkastelee ISMS
suorituskykyä ja tekee tarvittavat päätökset parannuksista.
- Sisäiset auditoinnit: Suoritetaan sisäisiä auditointeja ISMS
Sertifiointiauditointi:
- Vaihe 1 – Auditointi: Sertifiointiorganisaatio (esimerkiksi akkreditoitu sertifiointilaitos) suorittaa alustavan arvioinnin varmistaakseen, että organisaatio on valmis varsinaiseen auditointiin. Tämä vaihe keskittyy dokumentaation tarkistamiseen.
- Vaihe 2 – Auditointi: Sertifiointiorganisaatio suorittaa perusteellisen arvioinnin varmistaakseen, että ISMS on asianmukaisesti toteutettu ja noudattaa ISO 27001 -vaatimuksia. Tämä vaihe sisältää paikan päällä tehtävät tarkastukset ja henkilöstön haastattelut.
ISO 27001 sertifikaatin myöntäminen:
- Raportointi: Sertifiointiorganisaatio antaa raportin arvioinnista ja, jos vaatimukset täyttyvät, myöntää ISO 27001 -sertifikaatin.
- Sertifikaatin voimassaolo: Sertifikaatti on voimassa yleensä kolme vuotta, mutta se edellyttää säännöllisiä seurantaauditointeja (yleensä vuosittain).
Jatkuva parantaminen:
- Seuranta-auditoinnit: Sertifiointiorganisaatio suorittaa säännöllisiä auditointeja varmistaakseen, että ISMS toimii edelleen tehokkaasti ja ISO 27001 -vaatimusten mukaisesti.
- Uudelleensertifiointi: Kolmen vuoden välein suoritetaan uudelleensertifiointiauditointi, jossa arvioidaan ISMS:n jatkuva toimivuus ja tehokkuus.
ISO 27001 Lead Implementer
ISO/IEC 27001 -sertifiointiprosessi on vaativa, mutta se tarjoaa organisaatiolle merkittäviä etuja, kuten parantuneen tietoturvan, asiakastyytyväisyyden ja kilpailuedun.
ISO/IEC 27001 Lead Implementer on sertifioitu asiantuntija, joka on erikoistunut tietoturvallisuuden hallintajärjestelmän (ISMS) suunnitteluun, toteuttamiseen ja hallintaan ISO/IEC 27001 -standardin mukaisesti. Lead Implementer -koulutus ja sertifiointi antavat tarvittavat tiedot ja taidot tehokkaaseen ISMS
johtamiseen ja organisaation valmistelemiseen ISO 27001 -sertifiointiauditointiin. Tässä on, mitä ISO 27001 Lead Implementer -rooli ja koulutus yleensä sisältävät:
ISO 27001 Lead Implementer -koulutus
Johdanto ISO/IEC 27001 -standardiin:
- Ymmärrys ISO 27001 -standardin rakenteesta, vaatimuksista ja sen soveltamisesta organisaation tietoturvallisuuden parantamiseen.
ISMS: suunnittelu:
- Riskienhallinnan periaatteet ja menetelmät.
- Tietoturvapolitiikkojen ja -prosessien kehittäminen.
- Riskienarvioinnin ja riskinhoitosuunnitelman laatiminen.
ISMS: toteuttaminen:
- ISMS: hallintarakenteen ja vastuiden määrittäminen.
- Kontrollien valinta ja toteutus organisaation tarpeiden mukaisesti.
- Tietoisuuden lisääminen ja henkilöstön koulutus.
ISMS: hallinta ja seuranta:
- ISMS: toiminnan jatkuva seuranta ja parantaminen.
- Sisäisten auditointien suunnittelu ja toteutus.
- Johdon katselmukset ja palautteen käsittely.
Sertifiointiprosessi:
- Valmistautuminen sertifiointiauditointiin.
- Sertifiointivaatimusten ymmärtäminen ja täyttäminen.
- Seuranta-auditointien ja uudelleensertifioinnin hallinta.
Lead Implementer -sertifioinnin hyödyt
- Asiantuntijuuden tunnustus: Sertifiointi osoittaa, että henkilö on asiantuntija ISO 27001 -standardin mukaisen ISMS
toteuttamisessa ja hallinnassa.
- Urapolun edistäminen: Sertifiointi voi edistää uramahdollisuuksia tietoturva-alalla ja parantaa työllistymismahdollisuuksia.
- Organisaation tietoturvan parantaminen: Sertifioitu Lead Implementer voi tehokkaasti suunnitella ja toteuttaa ISMS:n, mikä parantaa organisaation tietoturvaa ja vähentää riskejä.
Lead Implementer -sertifioinnin hankkiminen
Koulutukseen osallistuminen: Osallistuminen akkreditoidun koulutuslaitoksen tarjoamaan ISO 27001 Lead Implementer -kurssiin. Kurssi voi kestää yleensä 3-5 päivää.
Sertifiointikoe: Kurssin päätteeksi suoritetaan sertifiointikoe, jossa testataan osallistujan tietämystä ja kykyä soveltaa ISO 27001 -standardia käytännössä.
Työkokemus: Joissain tapauksissa sertifiointilaitokset saattavat vaatia todistettavaa työkokemusta tietoturvan hallinnassa.
Sertifioinnin ylläpito: Sertifioitu henkilö saattaa joutua osallistumaan jatkokoulutuksiin ja päivittämään osaamistaan säännöllisesti säilyttääkseen sertifiointinsa voimassa.
ISO/IEC 27001 Lead Implementer -koulutus ja sertifiointi antavat valmiudet johtaa ja hallita organisaation ISMS:ää tehokkaasti, mikä on keskeistä tietoturvallisuuden ja riskienhallinnan kannalta.
NIST CSF:n vahvuudet
Merkittävimpiä vahvuukisa raportin mukaan NIST CSF:n hyväksi ovat:
Rakenne ja suunnittelu, mikä tekee sen käyttämisestä helpompaa organisaatiotasolla. Viitekehys on käyttäjäystävällinen ja selkeä, soveltuen hyvin myös ylemmän johdon tarpeisiin. Kyberriskien jakaminen viiteen alueeseen tarjoavat järjestelmällisen tavan tietoturvariskien luokittelemiseen, ja helpottaa samalla luonnollisesti myös valvontaa. NIST CSF sisältää myös viittauksia kategorioissaan muihin viitekehyksiin, mikä auttaa usean eri viitekehyksen ominaisuuksien yhdistämisessä. Viitekehys yhdistää myös konseptin nykyisen ja tavoitellun tilan välillä. Nykytilan määrittäminen liittyy ytimen (CORE) luokkiin ja siihen sisältyvien alakategorioiden luokkiin, missä se haluaisi olla tulevaisuudessa. Määrittely mahdollistaa aukkojen paikallistamisen, ja sitä kautta toimintasuunnitelman luomisen.
Standardi on yksi tunnetuimmista maailmassa, ja vahva maineeltaan, mikä tarjoaa sertifioinnin saavuttaneelle yritykselle turvallisen kumppanin maineen sidosryhmien keskuudessa. Sertifioinnin saavuttaminen on merkittävä etu ISO 27001:n hyväksi, verratessa NIST CSF:n. Toinen merkittävä iso etu on tiukka ja painotuksiltaan jäsennetty dokumentaatio. ISO 27001:n pakottavat organisaatiot määrittelemään selkeästi vastuukysymykset, liittyen tietoon ja pääomaan, mikä parantaa selkeyttä tietoturvan rakenteen suhteen. Iso 27001 painottaa voimakkaasti dokumentaatiota, mikä tekee siitä sopivamman ohjeen ISMS:n rakentamisen tueksi.
Viitekehyksien soveltaminen
Raporttien mukaan, vaihtoehtoisen viitekehyksen valinnan sijaan, paras yhdistelmä olisi soveltaa molempien parhaita puolia, koska nykypäivän kyberrikollisilla on massiiviset resurssit ja hyökkäysvektori on äärimmäisen laaja. Tutkijat on samaa mieltä, että NIST:n viitekehyksen ei olo korvata organisaation olemassa olevia käytäntöjä, vaan tarjoaa sille työkalun arvioida itse sitä lähtökohtana mittaamiselle.
Riskien arviointi on keskeinen osa organisaation tietoturvallisuutta, ja se voidaan määritellä riskin todennäköisyyden ja haittavaikutusten mukaan. Raportin mukaan, konkreettista tapaa viitekehyksen tehokkuuden mittaamiseen ei ole, koska riskien todennäköisyys, laajuuden ja luonne ovat mahdottomia ennustaa. Viitekehyksien yhdistäminen tarjoaa raportin mukaan paremman suojautumisen eri tapahtumien, sekä skenaarioiden varalle. Tutkijat mainitsevat myös huolen viitekehyksien yhdistämisestä olevan turha, ja CSF:N olevan parempi turvallisuuden osa-alueiden järjestelyssä ja tavoitetilan profiilin määrittämisessä, kun taas ISO 27001 antaa työkalut pitkällä aikavälillä järjestelmän suunnitteluun. Molemmat viitekehykset siis paikkaavat toistensa puutteita.
Parhaan tuloksen saavuttamiseksi tulisi siis ottaa ISO 27001:n ISMS, ja kartoittaa suojaamiseen käytettävät toimenpiteet CSF-viitekehystä käyttäen, perustuen viiteen eri toimintoon ja vastaaviin luokkiin, sekä niihin sisältyviin alakategorioihin. Valvonta- ja suojatoimenpiteet on kuvattu tarkasti myös ISO 27002:ssa, ja niitä voidaan käyttää yhdessä NIS SP 800-53:n kontrollien kanssa.
Viitekehyksissä on paljon yhteneväisyyksiä, joten raportin mukaan oikean valitseminen tulee perustua käytettävissä oleviin resursseihin, niin budjetin, kuin riskinottohalukkuudenkin suhteen.