Auditoinnit, sertifioinnit ja teknologia due diligence

KPMG IT Sertifiointi Oy toimii sertifiointielimenä ja Liikenne- ja viestintäministeriö Traficomin hyväksymänä virallisena tietoturvallisuuden arviointilaitoksena. KPMG IT Sertifiointi Oy:n toiminta täyttää arviointilaitoksille asetetut riippumattomuutta ja henkilökunnan osaamista koskevat pätevyysvaatimukset sekä fyysisten tilojen ja asiakastietojen käsittelyyn liittyvät turvallisuusvaatimukset.

Oma tiedonkäsittelyn tasomme on hyväksytty turvallisuusluokalle II ja toimintamme on jatkuvan viranomaisvalvonnan alaista. 

Voit hakea ajantasaiset sertifikaattimme ja pätevyysalueidemme tiedot FINAS-akkreditointipalvelun sivuilta.

Monia auditointeja voi tehdä vain hyväksytty tietoturvallisuuden arviointilaitos. Tämän statuksen saavuttaminen ja ylläpitäminen vaatii merkittäviä ponnisteluita ja tuo uskottavuutta myös sellaisiin auditointitarpeisiin, joissa ei vaadita arviointilaitosstatusta.

• KPMG IT Sertifiointi Oy:n palvelukuvaus
• FINAS-akkreditointipalvelun akkreditoimat toimijat

Organisaatioiden sidosryhmät asettavat tietoturvallisuudelle, toimintojen jatkuvuudelle, tuotteiden ja palvelujen korkealle laadulle sekä henkilötietojen ja asiakastietojen turvallisuudelle entistä tiukempia vaatimuksia.

Kansainväliset globaalisti tunnetut ISO-standardit toimivat apuna keskeisten vaatimusten, hyvien käytäntöjen sekä niihin liittyvien kontrollien määrittelyssä sekä avustavat niiden mitoittamisessa riskienhallinnallisesti riittävälle tasolle. Esimerkiksi NIS2-direktiivi edellyttää suoraan tai välillisesti tietoturvallisuuden ISO-sertifiointia. Virallisten ISO-sertifiointien avulla organisaatiot voivat todistaa asiakkailleen ja sidosryhmilleen, että ne täyttävät standardien asettamat vaatimukset, hallitsevat riskejä ja toimintaympäristön muutoksia sekä kehittävät toimintojaan jatkuvasti.

KPMG IT Sertifiointi Oy tekee ISO/IEC 27001 -standardiin perustuvia tietoturvallisuuden hallintajärjestelmien sertifiointeja, joiden avulla organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen.

Teemme myös ISO/IEC 27701 -sertifiointeja, joka on ISO 27001 -standardin tietosuojaa koskeva laajennus. Se auttaa organisaatioita luomaan järjestelmiä, jotka tukevat Euroopan Unionin yleisen tietosuoja-asetuksen (GDPR) ja muiden tietosuojavaatimusten noudattamista, mutta maailmanlaajuisena standardina se ei koske suoraan GDPR:ää.

Lisäksi teemme ISO 9001:2015 -standardiin perustuvia laadunhallintajärjestelmien sertifiointeja IT-palvelunhallinnan, IT-palveluntuotannon ja sovelluskehityksen toimialoille. Sertifiointi voidaan toteuttaa myös osana integroidun hallintajärjestelmän sertifiointia yhdessä esimerkiksi ISO 27001-sertifikaatin kanssa. Voimme toteuttaa myös jatkuvuudenhallintaan liittyviä ISO 22301 –sertifiointeja.

• KPMG IT Sertifiointi Oy:n palvelukuvaus
• FINAS-akkreditointipalvelun akkreditoimat toimijat

Katakri on viranomaisten auditointityökalu, jota viranomainen voi käyttää arvioidessaan kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa.

Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjä yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä.

Katakrin käytöllä pyritään varmistamaan, että kohdeorganisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

KPMG IT Sertifiointi Oy tekee virallisia, hyväksyttynä tietoturvallisuuden arviointilaitoksena tehtäviä turvallisuusarviointeja perustuen kansalliseen turvallisuusarviointikriteeristöön (Katakri 2020 ja Katakri 2015).

Teemme sekä julkisen että yksityisen sektorin asiakkaillemme Katakri-kriteeristöön perustuvia arviointeja sen kaikille kolmelle osa-alueille (T-turvallisuusjohtaminen, F-fyysinen turvallisuus ja I-tekninen tietoturvallisuus).

Pätevyysalueemme kattaa arvioinnit turvallisuusluokalle IV (TL IV) ja turvallisuusluokalle TL III (luottamuksellinen). Arvioinnin perusteella voimme myöntää organisaatiolle virallisen arviointilaitostodistuksen, mikäli arvioinnissa ei havaita poikkeamia kriteeristöä vasten. Todistuksella organisaatio voi todistaa vaatimusten toteutumisen viranomaisille, sidosryhmilleen ja asiakkailleen. 

• KPMG IT Sertifiointi Oy:n palvelukuvaus
• FINAS-akkreditointipalvelun akkreditoimat toimijat

Toisiolaki ja asiakastietolaki edellyttävät tietojärjestelmiltä tietoturvallisuusvaatimusten täyttämistä, joka osoitetaan sertifioinnilla. Tämän sertifioinnin voi saada suorittamalla arviointilaitoksen tekemän tietoturvallisuuden arvioinnin THL:n ja Findatan asettamien määräysten mukaisesti.

Kanta-auditointi

Teemme virallisena arviointilaitoksena Asiakastietolain (784/2021) edellyttämiä tietoturvallisuuden arviointeja asiakas- ja potilastietojärjestelmille. Arviointimme tehdään Terveyden- ja hyvinvoinninlaitoksen määräyksen 5/2021 asettamien vaatimusten mukaan. Teemme tietoturvallisuuden arviointeja kaikille A-luokan järjestelmille ja otamme huomioon arvioinneissa järjestelmien ominaisuudet ja riskitason. KPMG on tehty Kanta-auditointeja vuodesta 2015 asti hankitulla kokemuksella, jonka ansiosta pystymme tarjoamaan asiakkaillemme sujuvan sertifiointiprosessin.

Findata-auditointi

Tietoturvalliset käyttöympäristöt ovat Toisiolaissa (552/2019) määriteltyjä tietojärjestelmiä lääketieteellisen tutkimuksen tekemiseen, joiden on suoritettava tietoturvallisuuden arviointi ennen rekisteröitymistä. Teemme Findatan määräyksen (1/2022) mukaisia arviointeja tietoturvallisille käyttöympäristöille, huomioiden myös toiminnot ulkomailla sekä pilviratkaisumallit.

• KPMG IT Sertifiointi Oy:n palvelukuvaus
• FINAS-akkreditointipalvelun akkreditoimat toimijat

Asiakkaat ja muut sidosryhmät asettavat palveluorganisaatioille vuosi vuodelta tiukempia tietoturvavaatimuksia tietoturvaympäristön samanaikaisesti monimutkaistuessa.  Esimerkiksi alihankintaverkostojen tietoturvariskit voivat monimutkaisten tuotantoketjujen kautta vaikuttaa organisaation ydinliiketoimintaan. Monet organisaatiot haluavatkin valvoa erilaisten tietoturvavaatimusten noudattamista kyselyin tai auditoinnein.

Palveluorganisaatio voi osoittaa ISAE–varmennuslausunnolla tietoturvansa tai valvontaympäristönsä tason useille eri tahoille yhdellä varmennuslausuntoraportilla. Varmennuslausuntoraportti rajataan tyypillisesti koskemaan tiettyä palvelukokonaisuutta ja raportilla käytettävä varmennuskriteeristö räätälöidään asiakaskohtaisesti.

ISAE–varmennuslausunnot ovat palveluorganisaatioille kansainvälisesti tunnustettu tapa osoittaa tietoturvansa taso. ISAE-lausuntoja voi käyttää myös  esimerkiksi ESG-vaatimusten toteennäyttämiseen. Luotettuna ja tunnustettuna tilintarkastusyhteisönä KPMG voi toimia kumppanina kaikissa varmennuslausuntoja koskevissa tarpeissa.

Palveluorganisaatio voi osoittaa ISAE3402–varmennuslausuntoraportilla asiakkailleen ja muille sidosryhmille taloudellisen raportoinnin kannalta oleellisten prosessien valvontaympäristön vaatimustenmukaisuuden. Tyypillisesti ISAE3402 –varmennuslausuntoraportteja käyttävät taloushallintoon liittyviä palveluita tarjoavat organisaatiot.

ISAE3000–varmennuslausuntoraportilla voidaan osoittaa tietyn palvelukokonaisuuden tai liiketoiminta-alueen tietoturvallinen palvelutuotanto. Toimeksiannon pohjana käytettävä kriteeristö voidaan valita joustavasti, mutta tyypillisimmin valittu kriteeristö on Yhdysvalloissa yleisen SOC2–standardin kanssa hyvin yhteensopiva Trust Service Criteria 2017. ISAE3000–standardi soveltuu myös muunlaisen tiedon varmentamiseen, kuten esimerkiksi kestävään kehitykseen ja ympäristöraportointiin liittyvän informaation varmentaminen.

Lisäksi voimme toimia varmennuskumppanina muissa kolmansien osapuolten varmentamiseen ja tarkastamiseen liittyvissä tarpeissa (esim. ISRS4400 –liitännäispalvelustandardi).

Muut tilintarkastusalan standardit - Suomen Tilintarkastajat

2017 Trust Services Criteria (With Revised Points of Focus – 2022) | Resources | AICPA (aicpa-cima.com)

Käyttövaltuushallinnan auditointi on prosessi, jolla tarkastellaan organisaation käyttövaltuuksien hallintaa ja varmistetaan, että pääsyoikeuksia myönnetään ja hallitaan asianmukaisesti. Auditointi kattaa käyttövaltuuksien myöntämisen, muokkaamisen ja poistamisen prosessit sekä pääsynhallintajärjestelmän toimivuuden ja noudattamisen liiketoiminnan sääntöjä ja tietoturvavaatimuksia.

Käyttövaltuushallinnan auditointi auttaa organisaatioita varmistamaan, että käyttövaltuudet ovat kohdennettuja, tietoturvavaatimukset täyttyvät, säännöksiä noudatetaan ja riskit minimoidaan.

Nykytilan auditointi tarjoaa näkyvyyden käyttövaltuushallinnasta

• Onko käyttövaltuuksien myöntämisessä noudatettu organisaation sisäisiä politiikkoja ja käytäntöjä?
• Onko pääsyoikeuksia myönnetty "vain" tarpeen mukaisesti?
• Onko pääsyoikeuksien muokkaaminen ja poistaminen suoritettu asianmukaisesti?
• Onko pääsynhallintajärjestelien valvonta järjestetty asianmukaisesti ja mikä on raportointikyvykkyys?

Identiteetin- ja pääsynhallinta

Projektiarvioinnit ovat riippumattomia selvityksiä projektin tilanteesta, riskeistä ja toimintatavoista. Arvioinnit tehdään projektin suunnitelmia ja sopimuksia sekä soveltuvia standardeja ja parhaita käytäntöjä vasten. Projektiarviointi voidaan tehdä joko projektin aikana tai projektin päätyttyä. Projektin jatkuva laadunvarmistus esim. osana ohjausryhmää kestää tyypillisesti koko projektin elinkaaren.

Tarjoamme ylivoimaista toimialalla kehitettyä riskienhallintaa, jonka avulla tunnistetaan uhat, jotka estäisivät projektin onnistuneen toimituksen ja sitä kautta tavoiteltujen liiketoimintahyötyjen saavuttamisen. Tulemme myös tarvittaessa mukauttamaan riskienhallintatapamme asiakkaamme omaan riskikehykseen.

Riskienhallintamallimme on tärkeä osa projektinhallintametodologiaamme. Se sisältää riskien jatkuvan tunnistamisen ja arvioinnin, jotta niiden mahdollisia kielteisiä vaikutuksia projektille voidaan minimoida.

IT-hankkeiden muutosjohtaminen

Sovellus- ja ohjelmistokehitys ei aina tuota tavoiteltua lopputulosta. Ohjelmistotuotteita saatetaan kehittää isollakin budjetilla, mutta ohjelmistoissa vilisee siitä huolimatta tietoturva-aukkoja. Huonot tietoturvakäytännöt, tunnistamattomat haavoittuvuudet tai tietosuojapuutteet altistavat sovelluksen tietomurroille, tietovuodoille tai haitallisille hyökkäyksille. Erityisesti isommissa kehitysprojekteissa on usein yhteensopivuusongelmia (integrity & interoperability), jotka voivat johtaa hallitsemattomasti kasvaviin kustannuksiin ja merkittäviin aikatauluviiveisiin.

Sovelluskehityksen laadunvarmistus ja auditointi auttaa nostamaan sovelluskehityksen laatutasoa sekä vähentämään sen kustannuksia ja riskejä.

• Arvioimme sovelluskehitysprojektin ratkaisuarkkitehtuurin ja koodauksen laatutasoa, tietoturvakäytäntöjen ja -prosessien tehokkuutta.
• Tarkistamme tietoturvaan liittyvien komponenttien, kuten tunnistamisen, pääsynhallinnan ja tietosuojan toteutuksen.
• Autamme löytämään ja korjaamaan mahdolliset heikkoudet.
• Edistämme DevSecOps-kulttuurin edistämistä. 
• Arvioimme ja optimoimme sovelluskehityksen automaatiota ja työnkulkuja.
• Tarkastelemme, miten tietoturva on integroitu osaksi kehitysprosessia, kuten turvallisuustestauksen ja haavoittuvuuksien hallinnan automatisointia.
• Parannamme projektien tehokkuutta, nopeuttamaan julkaisujen aikataulua (läpimenoaika).
• Varmistamme, että tietoturva on huomioitu jokaisessa vaiheessa
  
• tunnistamme ja hallitsemme sovellusten haavoittuvuuksia, autamme kehittämään sekä tilaajan että tilaajan toimittajan osaamista.
• Varmistamme, että sovelluskehitysprosessi täyttää asiaankuuluvat tietoturva- ja tietosuoja-vaatimukset sekä säännökset.
• Varmistamme, että tarvittavat kontrollit, dokumentaatio ja raportointiprosessit ovat kunnossa.

Due diligence -prosessissa toteutetaan kohteelle huolellinen arviointi. Arviointi tarjoaa luotettavaa tietoa esimerkiksi investointipäätöksen tueksi tai oikean hinnan arvioimiseksi yritysjärjestelytilanteessa.

Teknologia due diligence auttaa sidosryhmiä arvioimaan kohteen teknologiaomaisuutta, tarvittavia integrointitoimia ja immateriaalioikeuksia. Prosessin aikana tunnistetaan myös keskeiset riskit, tuetaan päätöksentekoa ja suunnitellaan kaupan jälkeisiä toimia. Teknologia due diligence varmistaa teknologiaan liittyvien näkökohtien perusteellisen arvioinnin ja auttaa lieventämään riskejä, jotka liittyvät teknologiapainotteisten yritysten investointeihin tai liiketoimintakauppoihin. Riskien tunnistaminen mahdollistaa tietoon perustuvan päätöksenteon ja riskinhallintastrategioiden laatimisen. 

Teknologia due diligence –palvelumme kattavat esimerkiksi IT:n, kyberturvallisuuden, ohjelmisto-omaisuuden ja –kehitystoimintojen huolellisen arvioinnin.

Teknisen omaisuuden arviointi. Arvioimme teknologiaomaisuuden laadun, toimivuuden ja arvon. Kokoamme kattavan analyysin teknologiainfrastruktuurista, järjestelmistä, ohjelmistoista ja digitaalisista valmiuksista. Arviointi auttaa mahdollisia sijoittajia tai ostajayrityksiä ymmärtämään kohdeyrityksen teknologiset vahvuudet ja heikkoudet.

Riskien ja ongelmien tunnistaminen. Autamme tunnistamaan kohdeyrityksen teknologiaympäristöön liittyvät mahdolliset riskit, haavoittuvuudet ja ongelmat. Arvioimme ohjelmistojen laatua, kyberturvallisuuden haavoittuvuuksia, yksityisyyden suojan noudattamista, vanhoja järjestelmiä, skaalautuvuushaasteita, teknologiavelkaa ja riippuvuutta kriittisistä resursseista tai toimittajista. 

Integrointitoimien ja -kustannusten arviointi. Fuusioiden, yritysostojen tai kumppanuuksien yhteydessä on ratkaisevan tärkeää ymmärtää teknologian integrointitoimet ja niihin liittyvät kustannukset. Teknologia due diligence antaa tietoa järjestelmien, infrastruktuurin ja ohjelmistojen yhteensopivuudesta ostavan ja kohdeyrityksen välillä.