KPMG IT Sertifiointi Oy toimii sertifiointielimenä ja Liikenne- ja viestintäministeriö Traficomin hyväksymänä virallisena tietoturvallisuuden arviointilaitoksena. KPMG IT Sertifiointi Oy:n toiminta täyttää arviointilaitoksille asetetut riippumattomuutta ja henkilökunnan osaamista koskevat pätevyysvaatimukset sekä fyysisten tilojen ja asiakastietojen käsittelyyn liittyvät turvallisuusvaatimukset.

Oma tiedonkäsittelyn tasomme on hyväksytty Turvallisuusluokalle II ja toimintamme on jatkuvan viranomaisvalvonnan alaista. 

Voit hakea ajantasaiset sertifikaattimme- ja pätevyysalueidemme tiedot FINAS-akkreditointipalvelun sivuilta.

Organisaatioiden sidosryhmät asettavat tietoturvallisuudelle, toimintojen jatkuvuudelle, tuotteiden ja palvelujen korkealle laadulle sekä henkilötietojen ja asiakastietojen turvallisuudelle entistä tiukempia vaatimuksia.

Kansainväliset globaalisti tunnetut ISO-standardit toimivat apuna keskeisten vaatimusten, hyvien käytäntöjen sekä niihin liittyvien kontrollien määrittelyssä sekä avustavat niiden mitoittamisessa riskienhallinnallisesti riittävälle tasolle. Esimerkiksi NIS2-direktiivi edellyttää suoraan tai välillisesti tietoturvallisuuden ISO-sertifiointia. Virallisten ISO-sertifiointien avulla organisaatiot voivat todistaa asiakkailleen ja sidosryhmilleen, että ne täyttävät standardien asettamat vaatimukset, hallitsevat riskejä ja toimintaympäristön muutoksia sekä kehittävät toimintojaan jatkuvasti.

KPMG IT Sertifiointi Oy tekee ISO/IEC 27001 -standardiin perustuvia tietoturvallisuuden hallintajärjestelmien sertifiointeja, joiden avulla organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen.

Teemme myös ISO/IEC 27701 -sertifiointeja, joka on ISO 27001 -standardin tietosuojaa koskeva laajennus. Se auttaa organisaatioita luomaan järjestelmiä, jotka tukevat Euroopan Unionin yleisen tietosuoja-asetuksen (GDPR) ja muiden tietosuojavaatimusten noudattamista, mutta maailmanlaajuisena standardina se ei koske suoraan GDPR:ää.

Lisäksi teemme ISO 9001:2015 -standardiin perustuvia laadunhallintajärjestelmien sertifiointeja IT-palvelunhallinnan, IT-palveluntuotannon ja sovelluskehityksen toimialoille. Sertifiointi voidaan toteuttaa myös osana integroidun hallintajärjestelmän sertifiointia yhdessä esimerkiksi ISO 27001-sertifikaatin kanssa. Voimme toteuttaa myös jatkuvuudenhallintaan liittyviä ISO 22301 –sertifiointeja.

Katakri on viranomaisten auditointityökalu, jota viranomainen voi käyttää arvioidessaan kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa.

Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjä yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä.

Katakrin käytöllä pyritään varmistamaan, että kohdeorganisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

KPMG IT Sertifiointi Oy tekee virallisia, hyväksyttynä tietoturvallisuuden arviointilaitoksena tehtäviä turvallisuusarviointeja perustuen kansalliseen turvallisuusarviointikriteeristöön (Katakri 2020 ja Katakri 2015).

Teemme sekä julkisen että yksityisen sektorin asiakkaillemme Katakri-kriteeristöön perustuvia arviointeja sen kaikille kolmelle osa-alueille (T-turvallisuusjohtaminen, F-fyysinen turvallisuus ja I-tekninen tietoturvallisuus).

Pätevyysalueemme kattaa arvioinnit turvallisuusluokalle IV (TL IV) ja turvallisuusluokalle TL III (luottamuksellinen). Arvioinnin perusteella voimme myöntää organisaatiolle virallisen arviointilaitostodistuksen, mikäli arvioinnissa ei havaita poikkeamia kriteeristöä vasten. Todistuksella organisaatio voi todistaa vaatimusten toteutumisen viranomaisille, sidosryhmilleen ja asiakkailleen. 

Toisiolaki ja asiakastietolaki edellyttävät tietojärjestelmiltä tietoturvallisuusvaatimusten täyttämistä, joka osoitetaan sertifioinnilla. Tämän sertifioinnin voi saada suorittamalla arviointilaitoksen tekemän tietoturvallisuuden arvioinnin THL:n ja Findatan asettamien määräysten mukaisesti.

Kanta-auditointi

Teemme virallisena arviointilaitoksena Asiakastietolain (784/2021) edellyttämiä tietoturvallisuuden arviointeja asiakas- ja potilastietojärjestelmille. Arviointimme tehdään Terveyden- ja hyvinvoinninlaitoksen määräyksen 5/2021 asettamien vaatimusten mukaan. Teemme tietoturvallisuuden arviointeja kaikille A-luokan järjestelmille ja otamme huomioon arvioinneissa järjestelmien ominaisuudet ja riskitason. KPMG on tehty Kanta-auditointeja vuodesta 2015 asti hankitulla kokemuksella, jonka ansiosta pystymme tarjoamaan asiakkaillemme sujuvan sertifiointiprosessin.

Findata-auditointi

Tietoturvalliset käyttöympäristöt ovat Toisiolaissa (552/2019) määriteltyjä tietojärjestelmiä lääketieteellisen tutkimuksen tekemiseen, joiden on suoritettava tietoturvallisuuden arviointi ennen rekisteröitymistä. Teemme Findatan määräyksen (1/2022) mukaisia arviointeja tietoturvallisille käyttöympäristöille, huomioiden myös toiminnot ulkomailla sekä pilviratkaisumallit.


Asiantuntijamme apunasi

Ota yhteyttä