Auditoinnit ja sertifioinnit

Auditoinnit ja sertifioinnit

Korkeaa tietoturvallisuuden tasoa edellyttävät auditoinnit sekä toiminnan varmentamiseen tai vaatimustenmukaisuuteen liittyvät palvelut.

Korkeaa tietoturvallisuuden tasoa edellyttävät auditoinnit.

KPMG IT Sertifiointi Oy toimii sertifiointielimenä ja tarkastuslaitoksena. Meillä on Viestintäviraston Kyberturvallisuuskeskuksen hyväksyntä toimia tietoturvallisuuden arviointilaitoksista annetun lain mukaisena arviointilaitoksena. KPMG IT Sertifiointi Oy:n toiminta täyttää arviointilaitoksille asetetut riippumattomuutta ja henkilökunnan osaamista koskevat pätevyysvaatimukset sekä fyysisten tilojen ja asiakastietojen käsittelyyn liittyvät tietoturvallisuusvaatimukset. Toimintamme on viranomaisvalvonnan alaista. 

Tämä hyväksyntä antaa meille mahdollisuuden auditoida esimerkiksi hyvin arkaluontoista tietoa sisältävien terveydenhuolton potilastietojärjestelmien turvallisuutta.  

Voit hakea sertifikaattimme tiedot ja pätevyysalueen FINAS-akkreditointipalvelun sivuilta. Kirjoita hakuruutuun KPMG.

 

Meillä on pätevyys tarkastaa korotetun suojaustason tietojärjestelmiä.

Auditointi- ja sertifiointipalvelumme

Toteutamme mm. salassa pidettävän tiedon käsittelyyn liittyvien organisaatioiden, tietojärjestelmien, toimi- ja tuotantotilojen VAHTI- tai KATAKRI-viitekehyksiin perustuvat turvallisuusarvioinnit. Pätevyysalueemme kattaa myös eIDAS-asetuksen mukaiset tunnistuspalveluiden auditoinnit.

Sertifioinnit

Voimme myöntää ISO27001-standardiin perustuvia tietoturvallisuuden hallintajärjestelmien sertifiointeja ja tuottaa ISAE 3402 tai 3000 -varmennuslausuntoja ulkoisten vaatimusten täyttymisestä. 

Tietoturvallisuus- ja turvallisuusarvioinnit

Autamme asiakkaitamme toteuttamalla virallisia tietoturvallisuuden arviointeja, jotka perustuvat kansalliseen turvallisuusauditoinnin KATAKRI-kriteeristöön ja valtionhallinnon VAHTI-vaatimuksiin.  Lisäksi voimme suorittaa viranomaisten tietojärjestelmien arviointeja ja viranomaisen salassa pidettävää tietoa käsittelevien yritysten tietoturvallisuustason arviointeja.

Pätevyysalueemme kattaa suojaustason III mukaiset arvioinnit. Auditointien pohjalta asiakkaamme voivat kehittää tietoturvallisuustasoaan kyseisen viitekehyksen mukaisesti tai osoittaa vaatimustenmukaisuustodistuksella vaatimusten toteutumisen viranomaisille, sidosryhmilleen ja asiakkailleen.

ISO 27001

Asiakkaat ja ulkoiset sidosryhmät asettavat entistä tiukempia vaatimuksia henkilötietojen ja asiakastiedon turvallisuuden huomioimiseksi. ISO27001-standardi toimii apuna keskeisten tietoturvallisuuteen liittyvien kontrollien määrittelyssä sekä avustaa niiden mitoittamisessa riskienhallinnallisesti riittävälle tasolle.

Toteutamme ISO/IEC 27001:2015 -standardiin perustuvia tietoturvallisuuden hallintajärjestelmien sertifiointeja, jonka avulla organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen.

ISO 9001

Toteutamme ISO 9001:2015 -standardiin perustuvia laadunhallintajärjestelmien sertifiointeja IT-palvelunhallinnan, IT-palveluntuotannon ja sovelluskehityksen toimialoille. Sertifiointi voidaan toteuttaa myös osana integroidun hallintajärjestelmän sertifiointia yhdessä esimerkiksi ISO 27001-sertifikaatin kanssa. ISO 9001-sertifikaatin avulla organisaatio voi osittaa asiakkaileen ja muille sidosryhmille olevansa sitoutunut laaduntuotantokykynsä varmentamiseen, ylläpitämiseen ja kehittämiseen.

Kanta-sertifioinnit

Kansallinen Terveysarkisto (Kanta) on yhteinen nimitys terveydenhuollon, apteekkien ja kansalaisten valtakunnallisille tietojärjestelmäpalveluille. Toteutamme Kanta-palveluihin liittyvien järjestelmien ja Kanta-välityspalveluiden viranomaisten vaatimia tietoturvallisuuden sertifiointeja, jotka ovat yksi kolmesta vaadittavasta sertifioinnista Kanta-palveluihin liittymiseksi.

Ennen 1.1.2015 valtakunnallisiin tietojärjestelmäpalveluihin liitettyjä järjestelmiä tai välityspalveluja saa käyttää liittymisen yhteydessä annetulla auditointilausunnolla todetun määräajan loppuun asti. Määräajan jälkeen, tai jos järjestelmään tehdään merkittäviä muutoksia, sertifiointi tulee toteuttaa uudelleen.

ISAE-varmennusraportit

Toteutamme sekä ISAE 3402 että ISAE 3000 -varmennuslausuntoja. ISAE 3402 -varmennuslausunto todentaa organisaation taloudellisen raportoinnin kannalta merkittävien yleisten IT-kontrollien (nk. GITC) toteutumisen. ISAE 3000 -varmennuslausunto taas voidaan tuottaa lähes mistä tahansa toivotusta kontrolliympäristöstä, kuten esimerkiksi, tietoturvatasoista, KATAKRI:sta tai konesalien fyysisten turvallisuuden kontrolleista.

Lisätietoja?

Jos tarvitset lisätietoja myöntämistämme sertifikaateista, ole yhteydessä osoitteeseen sertifiointi(at)kpmg.fi.