Ads 468x60px

keskiviikko 18. helmikuuta 2015

Tarkastusvaliokunnat haluavat lisää tietoa kyberuhista



KPMG:n uusi Global Audit Committee Survey 2015 käy läpi ja esittää eri markkinoilla ja eri toimialoilla toimivien yritysten tarkastusvaliokuntien prioriteetteja. Päällimmäisenä heidän kiinnostuksen kohteenaan ovat:

  • Globaali taloudellinen ja poliittinen tilanne
  • Sääntely ja julkisen vallan toimenpiteet 
  • Operatiiviset riskit ja
  • Kyberturvallisuus

Tämä ei sinällään ole mikään yllätys, mutta on jälleen yksi hyvä osoitus siitä, että kyberturvallisuus on jo tukevasti organisaatioiden ylemmän johdon agendalla. Hyvää ja mielenkiintoista on havaita myös se, että tarkastusvaliokuntien fokus ei ole enää pelkästään taloudellisen raportoinnin oikeellisuudessa. Sen rinnalle on tullut tarve olla tietoinen ja pystyä vaikuttamaan myös muihin organisaation riskeihin. 

Tutkimuksen mukaan tulevana vuonna valiokunnat haluavat panostaa vielä enemmän kyberriskien ymmärtämiseen ja hallintaan. Tutkimuksesta käy ilmi myös se, että nykyisellään tarkastusvaliokunnat eivät ole tyytyväisiä saamansa kyberuhkiin liittyvän tiedon laatuun. Yritysten tulee siten parantaa kykyään kerätä ja käsitellä relevanttia aiheeseen liittyvää tietoa sekä parantaa tapoja, joilla näitä tietoja esitetään ja raportoidaan ylimmälle johdolle.

KPMG pystyy olemaan avuksi kaikissa kyberturvallisuuteen liittyvissä kysymyksissä ja lisäämään ylemmän johdon ymmärrystä kyberturvallisuudesta esimerkiksi ylemmän johdon kyberturvasparrauksen avulla.

Tarkemmat tiedot ja koko laaja tutkimusaineisto on luettavissa täältä:

perjantai 13. helmikuuta 2015

Legal alert sosiaali- ja terveysalan tietojärjestelmien valmistajille ja Suomessa toimiville edustajille



KPMG osallistui muutama viikko sitten Terveyden- ja hyvinvoinnin laitoksen sekä Viestintäviraston järjestämään info-tilaisuuteen, jossa aiheena oli sosiaali- ja terveydenhuollon järjestelmien auditointi.
Lakiin sosiaali- ja terveydenhuolloin asiakastietojen sähköisestä käsittelystä (159/2007) on lisätty viime vuoden aikana muun muassa uudet 5 a – c luvut tietojärjestelmien olennaisista vaatimuksista ja niiden osoittamisesta, palvelun antajan omavalvonnasta ja tietojärjestelmän vaatimuksenmukaisuuden arvioinnista. Lakimuutosten tarkoituksena on edistää sosiaali- ja terveydenhuollon sähköisessä tietojenkäsittelyssä tietosuojaa ja tietoturvaa sekä tietojärjestelmien yhteen toimivuutta ja toiminnallisuutta säätämällä näitä koskevista vaatimusmäärittelyistä ja valvonnasta.

Lain 19 b §:n perusteella toimialan tietojärjestelmät jaetaan kahteen luokkaan, A ja B.

·       Luokkaan A kuuluvat Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liiettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta (sähköiseen lääkemääräykseen, Reseptikeskukseen, Lääketietokantaan, Potilastiedon arkistoon ja tiedonhallintopalveluun sekä Omakanta-palveluun liittyviä tietojärjestelmiä). Kyseisiä tietojärjestelmiä on viranomaisten mukaan nyt noin 100.
·       Muut tietojärjestelmät kuuluvat luokkaan B.

Laissa ja sen perusteella annetussa Terveyden- ja hyvinvoinnin laitoksen tarkentavassa määräyksessä (THL määräys 2/2015) liitteineen määritellään tarkoin, mitä kumpaankin luokaan kuuluvilta tietojärjestelmiltä edellytetään. Luokan A tietojärjestelmiä ei voida jatkossa ottaa lainkaan käyttöön, ellei siitä, että ne täyttävät mm. tietoturvallisuudelle asetetut lakisääteiset vaatimukset, voida varmistua. Myös kyseisten järjestelmien olennaiset päivitysten vaatimuksenmukaisuus tulee jatkossa tarkastaa.  Lain 19 k §:n perusteella vaatimuksenmukaisuuden voi tarkastaa ainoastaan hyväksytty tietoturvallisuuden arviointilaitos. Toistaiseksi lakisääteinen hyväksyminen on ainoastaan KPMG IT Sertifiointi Oy:llä. Arviointi tehdään tietojärjestelmän valmistajan hakemuksesta eli meillä valmistajan tai sen Suomalaisen edustajan toimeksiannosta. Kyselyt asiasta [sertifiointi at kpmg.fi]

Luokkaan B kuuluvien tietojärjestelmien vaatimuksenmukaisuus osoitetaan tietojärjestelmän valmistajan kirjallisella selvityksellä. Molempia järjestelmätyyppejä koskee myös laissa määritelty omavalvontavelvollisuus. Siksi on syytä muistaa, että molempien luokkien tietojärjestelmien mm. tieturvallisuuden tasoa on myös jatkuvasti ylläpidettävä.

Kerromme mielellämme lisää:

Auditoinnit:                                                                                         Lakiasiat:
Olli Knuuti                                                                                           Vesa Ellonen               
Manager                                                                                               Legal Councel
p. 020 760 3430                                                                                     p. 020 1760 3125
e-mail. olli.knuuti at kpmg.fi                                                                e-mail:vesa.ellonen at kpmg.fi

maanantai 2. helmikuuta 2015

KPMG:lle akkreditointi ISO 27001 -sertifikaattien myöntämiseen



Finnish Accreditation Service (FINAS) on todennut KPMG IT Sertifiointi Oy:n päteväksi myöntämään ISO 27001 -sertifiointeja ja akkreditoinut yrityksen 30.1.2015 akkreditointitunnuksella S045.

Käytännössä akkreditointi tarkoittaa sitä, että KPMG voi tarkastaa organisaatioiden tietoturvallisuuden hallintaa ja käytäntöjä ja myöntää näille tietoturvallisuuden hallinnan sertifikaatin (ISO 27001), mikäli tarkastuksen kohde täyttää standardin vaatimukset. Sertifioinnin ja muiden varmennuslausuntojen avulla organisaatioiden on helpompi osoittaa omille asiakkailleen tietoturvallisuuden olevan riittävällä tasolla ja vähentää asiakkaiden suorittamien auditointien määrää. Sertifioinnit ovat merkittävä myyntivaltti ja niiden sekä muiden varmennuslausuntojen avulla toimintaa ja palveluiden hallintaa on mahdollista tehostaa.

  • Akkreditointi laajentaa jälleen KPMG:n palvelutarjontaa kyberturvallisuuteen liittyen ja mahdollistaa meille Suomen markkinoilla ainutlaatuisen palvelukonseptin, jossa on mahdollista yhdistää erilaisia varmennuslausuntoja ja auditointeja.
  • Asiakas saa meiltä "yhden luukun periaatteella" ISAE-varmennuslausunnot, ISO 27001 -sertifioinnit sekä tarvittaessa myös viralliset KATAKRI-, tietoturvataso- ja Kanta-palveluihin liittyvien tietojärjestelmien vaatimustenmukaisuuden arvioinnit, joita voi suorittaa vain hyväksytty tietoturvallisuuden arviointilaitos.