Auditoinnit ja sertifioinnit Auditoinnit ja sertifioinnit Auditoinnit ja sertifioinnit

Teemme virallisia, hyväksyttynä tietoturvallisuuden arviointilaitoksena tehtäviä turvallisuusarviointeja perustuen kansalliseen turvallisuusarviointikriteeristöön (Katakri 2020 ja Katakri 2015) sekä valtionhallinnon VAHTI-vaatimuksiin.

Voimme tehdä sekä julkisen että yksityisen sektorin asiakkaillemme Katakri-kriteeristöön perustuvia arviointeja sen kaikille kolmelle osa-alueille (T-turvallisuusjohtaminen, F-fyysinen turvallisuus ja I-tekninen tietoturvallisuus).

Pätevyysalueemme kattaa arvioinnit turvallisuusluokalle IV (TL IV) ja turvallisuusluokalle TL III (luottamuksellinen). Arvioinnin perusteella voimme myöntää organisaatiolle virallisen arviointilaitostodistuksen, mikäli arvioinnissa ei havaita poikkeamia kriteeristöä vasten. Todistuksella organisaatio voi todistaa vaatimusten toteutumisen viranomaisille, sidosryhmilleen ja asiakkailleen. 

Teemme virallisena arviointilaitoksena Kanta-palveluihin liittyviä Terveyden ja hyvinvoinnin laitoksen määräyksen 5/2021 mukaisia tietoturvallisuuden arviointeja potilas- ja asiakastietojärjestelmille sekä hyvinvointisovelluksille. Arviointimme laajuudessa otetaan huomioon kuuluvatko kohdejärjestelmät luokkaan A1, A2 vai A3 huomioiden niiden kriittisyyden ja riskitason.

THL:n määräykset ja sitä kautta tietoturvavaatimukset on päivitetty 9.12.2021 asiakastietolain uudistuksen yhteydessä (784/2021). Tietoturvavaatimukset on esitetty THL:n määräyksessä 5/2021. Järjestelmät, jotka ovat saaneet vaatimuksenmukaisuustodistuksen ennen lakimuutosta, on suoritettava uuden määräyksen mukaisen tietoturvallisuuden arvioinnin 3 vuoden kuluessa asiakastietolain voimaantulosta.

Tietoturvalliset käyttöympäristöt ovat Toisiolaissa (552/2019) määriteltyjä tietojärjestelmiä lääketieteellisen tutkimuksen tekemiseen, joiden on suoritettava tietoturvallisuuden arviointi ennen rekisteröitymistä. Teemme Findatan määräyksen (1/2022) mukaisia arviointeja tietoturvallisille käyttöympäristöille, huomioiden myös toiminnot ulkomailla sekä pilviratkaisumallit.

Asiakkaat ja ulkoiset sidosryhmät asettavat entistä tiukempia vaatimuksia henkilötietojen ja asiakastiedon turvallisuuden huomioimiseksi. ISO27001-standardi toimii apuna keskeisten tietoturvallisuuteen liittyvien kontrollien määrittelyssä sekä avustaa niiden mitoittamisessa riskienhallinnallisesti riittävälle tasolle.

Teemme ISO/IEC 27001:2013 -standardiin perustuvia tietoturvallisuuden hallintajärjestelmien sertifiointeja, jonka avulla organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen.

Teemme ISO 9001:2015-standardiin perustuvia laadunhallintajärjestelmien sertifiointeja IT-palvelunhallinnan, IT-palveluntuotannon ja sovelluskehityksen toimialoille. Sertifiointi voidaan toteuttaa myös osana integroidun hallintajärjestelmän sertifiointia yhdessä esimerkiksi ISO 27001-sertifikaatin kanssa. ISO 9001-sertifikaatin avulla organisaatio voi osittaa asiakkailleen ja muille sidosryhmille olevansa sitoutunut laaduntuotantokykynsä varmentamiseen, ylläpitämiseen ja kehittämiseen.

Toteutamme sekä ISAE 3402 että ISAE 3000 -varmennuslausuntoja. ISAE 3402 -varmennuslausunto todentaa organisaation taloudellisen raportoinnin kannalta merkittävien yleisten IT-kontrollien (nk. GITC) toteutumisen. ISAE 3000 -varmennuslausunto taas voidaan tuottaa lähes mistä tahansa toivotusta kontrolliympäristöstä, kuten esimerkiksi Katakrista tai konesalien fyysisten turvallisuuden kontrolleista.