Ads 468x60px

maanantai 25. huhtikuuta 2016

Uutta sertifiointi- ja varmennusrintamalla

Erilaisten sertifiointien ja varmennuslausuntojen käyttö tietoturvan ja tietosuojan osoittamiseksi on lisääntynyt ja toisaalta niiden kysynnän lisääntyminen on lisännyt myös tarvetta uusille varmennuslausunnoille ja sertifioinneille. Olen käsitellyt varmennuslausuntojen ideaa ja etuja jo aiemmissa blogiteksteissäni, joten perusasiat voi tarkistaa sieltä.

Varmennuslausuntojen käyttö on ollut yleistä jo vuosikymmenien ajan.  Aiemmin puhuttiin SAS 70 (myöhemmin SSAE 16/ISAE 3402) -lausunnoista, ja näiden lausuntojen perustana oli taloudellisen raportoinnin oikeellisuuden varmentaminen. Tähän tuli erityistä tarvetta tiettyjen kirjanpidon vääristelyskandaalien myötä säädetyn SOX-lainsäädännön kautta. Taloudellisen raportoinnin oikeellisuuden varmentamiseen keskittyneinä ne soveltuivat vain osittain tietoturvan varmentamiseen, joten eri maissa on kehitetty erilaisia instrumentteja tietoturvan ja tietosuojan varmentamiseen, esim. ISAE 3000-lausunnon tai Trust Services Principles –periaatteisiin pohjaavan SOC2-lausunnon avulla.

Uusimpina kysynnästä johdettuina innovaatioina on markkinoille tullut SOC2+ lausuntoja sekä erilaisia integroituja varmennusauditointeja. SOC2+ lausunnon ideana on antaa varmennuslausunto sekä em. Trust  Services Principles –periaatteista että asiakkaan erityisesti tarvitsemista muista vaatimuskehikoista. Eritoten rapakon toisella puolella kysyntää on ollut SOC2+HITRUST lausunnoille, joissa otetaan kantaa HIPAA-lainsäädännön asettamiin tietoturvavaatimuksiin (HITRUST CSF) ja niiden toteutumiseen. Suomessa voisi vastaavasti olla kysyntää SOC2+Tietoturvatasot –lausunnolle, jonka toteuttamalla palveluorganisaatio voisi vastata yhdellä auditoinnilla sekä yritysten tarpeisiin (SOC2) että julkishallinnon tarpeisiin (tietoturvatasot).

Vielä enemmän hyötyä sen sijaan voisi saavuttaa käyttämällä Integroidun varmennusauditoinnin ajatusta. Kyseessä on vanha idea hakea synergiaa eri vaatimuskehikoiden samankaltaisista vaatimuksista ja testauksen yhdistämisestä. Uutena ideana tässä on vastata useisiin eri tarpeisiin, kuten SOC1 (ISAE 3402), SOC2+ (Trust Principles ja esim. tietoturvatasot) ja ISO 27001 –sertifioinnin vaatimuksiin yhdellä auditoinnilla. KPMG:n kehittämän työkalun avulla saadaan helposti kontrollien päällekkäisyys selvitettyä, ja useista vaatimuskehikoista johtuvan lisäauditointitarpeen on todettu laskevan 30-50% kontrollikehikoista riippuen. Lisäksi lähestymistapa mahdollistaa asiakaskohtaisen raportin / sertifioinnin tuottamisen juuri asiakkaan haluamalla ajanhetkellä, vaikka useamman kerran vuodessa. Koska KPMG on myös akkreditoitu ISO 27001 sertifioija, voi KPMG tuottaa myös sertifiointipalvelut saman auditoinnin yhteydessä.

Mitä tämä kaikki tarkoittaa palveluntarjoajalle?

Vähemmän auditointeja, vähemmän kustannuksia, vähemmän menetettyä työaikaa, enemmän vaihtoehtoja asiakkaille sekä joustavat raportointiaikataulut. ”Auditoi kerran ja raportoi useasti (Audit once – Report many)” periaatteemme avulla palveluntarjoajan henkilöstön työpanos saadaan minimoitua, kun KPMG:n auditointiryhmässä on myös ISO27001 pääauditoija mukana. Lisäksi asiakkaiden tilikausien tai raportointikausien erilaisuudesta johtuvat vaihtelevat raportointiajat eivät aiheuta enää lisäkustannuksia tai harmia. Äärimmilleen optimoituna kaikki palveluntarjoajan varmennustarpeet saadaan niputettua ja kustannukset minimoitua – useaksi vuodeksi kerralla. KPMG voi suorittaa organisaatiollenne varmennuslausuntoprosessien kypsyyden arvioinnin – kysy rohkeasti lisää.

Sokerina pohjalla tulossa on alkuperäisen varmennuslausuntostandardin SAS 70 (myöh. SSAE 16/ISAE 3402) kehittäjän AICPA:n (American Institute of CPAs) yhdessä CAQ:n (Center for Audit Quality) kanssa kehittelemä Cyber Attest –standardi. Kyseessä on nykytarpeisiin kehitetty kyberturvallisuuden varmennuslausunto, jonka kehittämisessä ovat mukana varmennusstandardirintaman vahvimmat voimat. AICPAn tavoitteena on määritellä ISAE 3402 -tyyppinen kyberturvallisuuden auditointikehikko, joka on globaalisti tunnustettu ja joka voisi jatkossa toimia kyberturvallisuuspuolella yhtä yleisenä varmennuslausuntona kuin ISAE 3402.

Ei kommentteja:

Lähetä kommentti