Ads 468x60px

maanantai 6. lokakuuta 2014

Suomeen on 6.10.2014 saatu ensimmäinen virallinen tietoturvallisuuden arviointilaitos



Viestintäviraston Kyberturvallisuuskeskus on 6.10.2014 antanut KPMG IT Sertifiointi Oy:lle määräaikaisen hyväksynnän toimia tietoturvallisuuden arviointilaitoksista annetun lain mukaisena arviointilaitoksena.

KPMG IT Sertifiointi toiminta täyttää riippumattomuutta sekä henkilökunnan osaamista koskevat pätevyysvaatimukset. Lisäksi yritys täyttää asiakastietojen käsittelyyn liittyvät tietoturvallisuusvaatimukset ja sillä on toimintaansa varten asianmukainen ohjeistus. Tilojen, tarkastusmenetelmien, sisäisten prosessien ja työvälinen saaminen vaatimusten edellyttämälle tasolle ja vaatimusten toteutumien osoittaminen kaikille prosessiin liittyville valvoville viranomisille oli erittäin suuri työ, vaati merkittäviä investointeja ja vei meiltä kaiken kaikkiaan noin 4 vuotta.

Arviointilaitos statuksen hakeminen ja saaminen edellytti meiltä muun muassa:
  1. Yritysrakenteeseen liittyviä muutoksia
  2. Riskienhallinnan ja riippumattomuuden varmistamisen käytäntöjen soveltamista arviointilaitostyöhön
  3. ISO 17021 ja ISO 27006 standardien vaatimusten toteuttamista ja toteuttamisen osoittamisen FINAS:lle
  4. KATAKRIn korotetun ja tarvittaessa korkean tason toteuttamisen tilojen, prosessien ja IT-järjestelmien osalta. Tämä vaati muun muassa erillisen tilojen rakentamisen
  5. Henkilöstön turvaselvitysten teettämisen
  6. KATAKRI, tietoturvatasot, ISO 27001 ja soveltuvien Vahti-ohjeiden auditointimenetelmien ja työvälineiden kehittämisen ja hyväksyttämisen valvovilla viranomaisilla. Erityisesti teknisen todentamisen osalta tämä oli erittäin merkittävä työ, vaikka olemme tehneet tietoturvallisuuden teknistä testaamista vuosikausia
  7. Edellä mainittujen menetelmien toimivuuden, laadukkuuden sekä viranomaisten asettamien vaatimusten täyttymisen osoittamisen näyttöauditoinnein
  8. Sekä monia muita pienempiä toimenpiteitä
Hyväksynnän perusteella KPMG IT Sertifiointi voi tehdä virallisia kansalliseen turvallisuusauditoinnin KATAKRI-kriteeristöön ja valtionhallinnon tietoturvaohjeen VAHTI-kriteeristöön perustuvia tietoturvallisuusarviointeja. Yrityksen pätevyysalue kattaa toistaiseksi suojaustason IV mukaiset arvioinnit. Hyväksyntä on voimassa 1.2.2015 asti, johon mennessä tavoitteenamme on täydentää pätevyysaluetta kattamaan ISO 27001-standardin mukaiset sertifioinnit sekä VAHTI-toimitilaturvallisuusarvioinnit.

Valtionhallinnon viranomaiset voivat 1.6.2015 alkaen käyttää tietojärjestelmiensä tietoturvallisuuden arvioinnissa ainoastaan Viestintäviraston tai sen hyväksymän arviointilaitoksen palveluja.

Hyväksytyllä tietoturvallisuuden arviointilaitoksella tarkoitetaan toimijaa, joka on Viestintäviraston hyväksymä ja toimii viranomaisvalvonnassa. Hyväksytty laitos voi toimeksiannosta suorittaa esimerkiksi viranomaisten tietojärjestelmien arviointeja sekä viranomaisen salassa pidettävää tietoa käsittelevien yritysten tietoturvallisuustason arviointeja.

Lisätietoja: KPMG IT Sertifiointi Oy:n toimitusjohtaja Mika Laaksonen

Ei kommentteja:

Lähetä kommentti