Kumppanisi kaikissa auditointi- ja sertifiointitarpeissa
Puolueettoman arvioinnin avulla todistat sidosryhmille prosessien, palveluiden ja tuotteiden laadukkuuden, sääntelynmukaisuuden ja korkean tietoturvan tason.
Kuinka voimme auttaa liiketoimintasi kehittämisessä?
Palvelumme
KPMG IT Sertifiointi Oy toimii sertifiointielimenä ja Liikenne- ja viestintäministeriö Traficomin hyväksymänä virallisena tietoturvallisuuden arviointilaitoksena.
Toteutamme ISO 27001, ISO 27701 ja ISO 22301 -sertifiointeja. Lisäksi teemme ISO 9001:2015 -standardiin perustuvia laadunhallintajärjestelmien sertifiointeja IT-palvelunhallinnan, IT-palveluntuotannon ja sovelluskehityksen toimialoille.
KPMG IT Sertifiointi Oy tekee virallisia, hyväksyttynä tietoturvallisuuden arviointilaitoksena tehtäviä turvallisuusarviointeja perustuen kansalliseen turvallisuusarviointikriteeristöön (Katakri 2020 ja Katakri 2015).
Toisiolaki ja asiakastietolaki edellyttävät tietojärjestelmiltä tietoturvallisuusvaatimusten täyttämistä, joka osoitetaan sertifioinnilla. Tämän sertifioinnin voi saada suorittamalla arviointilaitoksen tekemän tietoturvallisuuden arvioinnin THL:n ja Findatan asettamien määräysten mukaisesti.
Asiakkaat ja muut sidosryhmät asettavat palveluorganisaatioille vuosi vuodelta tiukempia tietoturvavaatimuksia tietoturvaympäristön samanaikaisesti monimutkaistuessa. Esimerkiksi alihankintaverkostojen tietoturvariskit voivat monimutkaisten tuotantoketjujen kautta vaikuttaa organisaation ydinliiketoimintaan. Monet organisaatiot haluavatkin valvoa erilaisten tietoturvavaatimusten noudattamista kyselyin tai auditoinnein.
Palveluorganisaatio voi osoittaa ISAE–varmennuslausunnolla tietoturvansa tai valvontaympäristönsä tason useille eri tahoille yhdellä varmennuslausuntoraportilla. Varmennuslausuntoraportti rajataan tyypillisesti koskemaan tiettyä palvelukokonaisuutta ja raportilla käytettävä varmennuskriteeristö räätälöidään asiakaskohtaisesti.
ISAE–varmennuslausunnot ovat palveluorganisaatioille kansainvälisesti tunnustettu tapa osoittaa tietoturvansa taso. ISAE-lausuntoja voi käyttää myös esimerkiksi ESG-vaatimusten toteennäyttämiseen. Luotettuna ja tunnustettuna tilintarkastusyhteisönä KPMG voi toimia kumppanina kaikissa varmennuslausuntoja koskevissa tarpeissa.
Palveluorganisaatio voi osoittaa ISAE3402–varmennuslausuntoraportilla asiakkailleen ja muille sidosryhmille taloudellisen raportoinnin kannalta oleellisten prosessien valvontaympäristön vaatimustenmukaisuuden. Tyypillisesti ISAE3402 –varmennuslausuntoraportteja käyttävät taloushallintoon liittyviä palveluita tarjoavat organisaatiot.
ISAE3000–varmennuslausuntoraportilla voidaan osoittaa tietyn palvelukokonaisuuden tai liiketoiminta-alueen tietoturvallinen palvelutuotanto. Toimeksiannon pohjana käytettävä kriteeristö voidaan valita joustavasti, mutta tyypillisimmin valittu kriteeristö on Yhdysvalloissa yleisen SOC2–standardin kanssa hyvin yhteensopiva Trust Service Criteria 2017. ISAE3000–standardi soveltuu myös muunlaisen tiedon varmentamiseen, kuten esimerkiksi kestävään kehitykseen ja ympäristöraportointiin liittyvän informaation varmentaminen.
Lisäksi voimme toimia varmennuskumppanina muissa kolmansien osapuolten varmentamiseen ja tarkastamiseen liittyvissä tarpeissa (esim. ISRS4400 –liitännäispalvelustandardi).
Lisätietoja
Muut tilintarkastusalan standardit - Suomen Tilintarkastajat
2017 Trust Services Criteria (With Revised Points of Focus – 2022) | Resources | AICPA (aicpa-cima.com)
Käyttövaltuushallinnan auditointi on prosessi, jolla tarkastellaan organisaation käyttövaltuuksien hallintaa ja varmistetaan, että pääsyoikeuksia myönnetään ja hallitaan asianmukaisesti. Auditointi kattaa käyttövaltuuksien myöntämisen, muokkaamisen ja poistamisen prosessit sekä pääsynhallintajärjestelmän toimivuuden ja noudattamisen liiketoiminnan sääntöjä ja tietoturvavaatimuksia.
Käyttövaltuushallinnan auditointi auttaa organisaatioita varmistamaan, että käyttövaltuudet ovat kohdennettuja, tietoturvavaatimukset täyttyvät, säännöksiä noudatetaan ja riskit minimoidaan.
Nykytilan auditointi tarjoaa näkyvyyden käyttövaltuushallinnasta
- Onko käyttövaltuuksien myöntämisessä noudatettu organisaation sisäisiä politiikkoja ja käytäntöjä?
- Onko pääsyoikeuksia myönnetty "vain" tarpeen mukaisesti?
- Onko pääsyoikeuksien muokkaaminen ja poistaminen suoritettu asianmukaisesti?
- Onko pääsynhallintajärjestelien valvonta järjestetty asianmukaisesti ja mikä on raportointikyvykkyys?
Projektiarvioinnit ovat riippumattomia selvityksiä projektin tilanteesta, riskeistä ja toimintatavoista. Arvioinnit tehdään projektin suunnitelmia ja sopimuksia sekä soveltuvia standardeja ja parhaita käytäntöjä vasten. Projektiarviointi voidaan tehdä joko projektin aikana tai projektin päätyttyä. Projektin jatkuva laadunvarmistus esim. osana ohjausryhmää kestää tyypillisesti koko projektin elinkaaren.
Ratkaisumme
Tarjoamme ylivoimaista toimialalla kehitettyä riskienhallintaa, jonka avulla tunnistetaan uhat, jotka estäisivät projektin onnistuneen toimituksen ja sitä kautta tavoiteltujen liiketoimintahyötyjen saavuttamisen. Tulemme myös tarvittaessa mukauttamaan riskienhallintatapamme asiakkaamme omaan riskikehykseen.
Riskienhallintamallimme on tärkeä osa projektinhallintametodologiaamme. Se sisältää riskien jatkuvan tunnistamisen ja arvioinnin, jotta niiden mahdollisia kielteisiä vaikutuksia projektille voidaan minimoida.
Sovellus- ja ohjelmistokehitys ei aina tuota tavoiteltua lopputulosta. Ohjelmistotuotteita saatetaan kehittää isollakin budjetilla, mutta ohjelmistoissa vilisee siitä huolimatta tietoturva-aukkoja. Huonot tietoturvakäytännöt, tunnistamattomat haavoittuvuudet tai tietosuojapuutteet altistavat sovelluksen tietomurroille, tietovuodoille tai haitallisille hyökkäyksille. Erityisesti isommissa kehitysprojekteissa on usein yhteensopivuusongelmia (integrity & interoperability), jotka voivat johtaa hallitsemattomasti kasvaviin kustannuksiin ja merkittäviin aikatauluviiveisiin.
Sovelluskehityksen laadunvarmistus ja auditointi auttaa nostamaan sovelluskehityksen laatutasoa sekä vähentämään sen kustannuksia ja riskejä.
Ratkaisumme
- Arvioimme sovelluskehitysprojektin ratkaisuarkkitehtuurin ja koodauksen laatutasoa, tietoturvakäytäntöjen ja -prosessien tehokkuutta.
- Tarkistamme tietoturvaan liittyvien komponenttien, kuten tunnistamisen, pääsynhallinnan ja tietosuojan toteutuksen.
- Autamme löytämään ja korjaamaan mahdolliset heikkoudet.
- Edistämme DevSecOps-kulttuurin edistämistä.
- Arvioimme ja optimoimme sovelluskehityksen automaatiota ja työnkulkuja.
- Tarkastelemme, miten tietoturva on integroitu osaksi kehitysprosessia, kuten turvallisuustestauksen ja haavoittuvuuksien hallinnan automatisointia.
- Parannamme projektien tehokkuutta, nopeuttamaan julkaisujen aikataulua (läpimenoaika).
- Varmistamme, että tietoturva on huomioitu jokaisessa vaiheessa
- tunnistamme ja hallitsemme sovellusten haavoittuvuuksia, autamme kehittämään sekä tilaajan että tilaajan toimittajan osaamista.
- Varmistamme, että sovelluskehitysprosessi täyttää asiaankuuluvat tietoturva- ja tietosuoja-vaatimukset sekä säännökset.
- Varmistamme, että tarvittavat kontrollit, dokumentaatio ja raportointiprosessit ovat kunnossa.
Due diligence -prosessissa toteutetaan kohteelle huolellinen arviointi. Arviointi tarjoaa luotettavaa tietoa esimerkiksi investointipäätöksen tueksi tai oikean hinnan arvioimiseksi yritysjärjestelytilanteessa.
Teknologia due diligence auttaa sidosryhmiä arvioimaan kohteen teknologiaomaisuutta, tarvittavia integrointitoimia ja immateriaalioikeuksia. Prosessin aikana tunnistetaan myös keskeiset riskit, tuetaan päätöksentekoa ja suunnitellaan kaupan jälkeisiä toimia. Teknologia due diligence varmistaa teknologiaan liittyvien näkökohtien perusteellisen arvioinnin ja auttaa lieventämään riskejä, jotka liittyvät teknologiapainotteisten yritysten investointeihin tai liiketoimintakauppoihin. Riskien tunnistaminen mahdollistaa tietoon perustuvan päätöksenteon ja riskinhallintastrategioiden laatimisen.
Teknologia due diligence –palvelumme kattavat esimerkiksi IT:n, kyberturvallisuuden, ohjelmisto-omaisuuden ja –kehitystoimintojen huolellisen arvioinnin.
Ratkaisumme
Teknisen omaisuuden arviointi. Arvioimme teknologiaomaisuuden laadun, toimivuuden ja arvon. Kokoamme kattavan analyysin teknologiainfrastruktuurista, järjestelmistä, ohjelmistoista ja digitaalisista valmiuksista. Arviointi auttaa mahdollisia sijoittajia tai ostajayrityksiä ymmärtämään kohdeyrityksen teknologiset vahvuudet ja heikkoudet.
Riskien ja ongelmien tunnistaminen. Autamme tunnistamaan kohdeyrityksen teknologiaympäristöön liittyvät mahdolliset riskit, haavoittuvuudet ja ongelmat. Arvioimme ohjelmistojen laatua, kyberturvallisuuden haavoittuvuuksia, yksityisyyden suojan noudattamista, vanhoja järjestelmiä, skaalautuvuushaasteita, teknologiavelkaa ja riippuvuutta kriittisistä resursseista tai toimittajista.
Integrointitoimien ja -kustannusten arviointi. Fuusioiden, yritysostojen tai kumppanuuksien yhteydessä on ratkaisevan tärkeää ymmärtää teknologian integrointitoimet ja niihin liittyvät kustannukset. Teknologia due diligence antaa tietoa järjestelmien, infrastruktuurin ja ohjelmistojen yhteensopivuudesta ostavan ja kohdeyrityksen välillä.
Asiantuntijamme
