Kumppanisi kaikissa auditointi- ja sertifiointitarpeissa
Puolueettoman arvioinnin avulla todistat sidosryhmille prosessien, palveluiden ja tuotteiden laadukkuuden, sääntelynmukaisuuden ja korkean tietoturvan tason.
Kuinka voimme auttaa liiketoimintasi kehittämisessä?
Auditointi- ja sertifiointipalvelumme
KPMG IT Sertifiointi Oy toimii sertifiointielimenä ja Liikenne- ja viestintäministeriö Traficomin hyväksymänä virallisena tietoturvallisuuden arviointilaitoksena.
Toteutamme ISO 27001, ISO 27701 ja ISO 22301 -sertifiointeja. Lisäksi teemme ISO 9001:2015 -standardiin perustuvia laadunhallintajärjestelmien sertifiointeja IT-palvelunhallinnan, IT-palveluntuotannon ja sovelluskehityksen toimialoille.
KPMG IT Sertifiointi Oy tekee virallisia, hyväksyttynä tietoturvallisuuden arviointilaitoksena tehtäviä turvallisuusarviointeja perustuen kansalliseen turvallisuusarviointikriteeristöön Katakri 2020.
Toisiolaki ja asiakastietolaki edellyttävät tietojärjestelmiltä tietoturvallisuusvaatimusten täyttämistä, joka osoitetaan sertifioinnilla. Tämän sertifioinnin voi saada suorittamalla arviointilaitoksen tekemän tietoturvallisuuden arvioinnin THL:n ja Findatan asettamien määräysten mukaisesti.
Palveluorganisaatioihin kohdistuvat tietoturva- ja valvontavaatimukset kiristyvät jatkuvasti samaan aikaan kun toimintaympäristöt ja alihankintaverkostot monimutkaistuvat. Esimerkiksi tuotanto- ja palveluketjujen tietoturvariskit voivat ulottua suoraan asiakkaiden ydinliiketoimintaan.
Tämän vuoksi asiakkaat, yhteistyökumppanit ja viranomaiset edellyttävät yhä useammin riippumatonta ja standardoitua varmennusta siitä, että palveluorganisaation tietoturva, sisäinen valvonta tai raportointi täyttää sovitut vaatimukset.
ISAE‑varmennuslausunto tarjoaa ratkaisun tilanteisiin, joissa organisaation tulee:
- osoittaa tietoturvan tai valvontaympäristönsä taso useille sidosryhmille yhdellä raportilla
- vastata asiakkaiden tai toimialan asettamiin tarkentuneisiin vaatimuksiin
- osoittaa vaatimustenmukaisuus osana ESG‑ tai vastuullisuusraportointia
Varmennuslausuntoraportti rajataan tyypillisesti koskemaan tiettyä palvelukokonaisuutta, ja käytettävä kriteeristö määritellään tapauskohtaisesti organisaation ja sen asiakkaiden tarpeiden mukaan.
ISAE‑varmennuslausuntoja voivat myöntää vain valtuutetut tilintarkastusyhteisöt. Luotettuna ja kansainvälisesti tunnustettuna tilintarkastusyhteisönä KPMG yhdistää varmennustoimeksiannoissa riippumattoman tilintarkastusosaamisen sekä syvällisen tietoturva‑, IT‑ ja prosessiosaamisen.
ISAE‑lausunnot eri tarpeisiin
ISAE 3402
ISAE 3402 ‑varmennuslausunnolla palveluorganisaatio osoittaa, että taloudellisen raportoinnin kannalta olennaisten prosessien ja IT‑kontrollien valvontaympäristö on vaatimusten mukainen.
Lausuntoa hyödyntävät tyypillisesti taloushallintoon, ulkoistettuihin järjestelmiin tai raportointipalveluihin liittyviä palveluita tarjoavat organisaatiot.
ISAE 3000
ISAE 3000 ‑varmennuslausunto soveltuu tilanteisiin, joissa halutaan varmentaa esimerkiksi tietyn palvelukokonaisuuden tai liiketoiminta‑alueen tietoturvallinen palvelutuotanto.
Kriteeristö voidaan valita joustavasti asiakasvaatimusten mukaisesti. Yleisimmin käytetty viitekehys on SOC 2 ‑standardin kanssa yhteensopiva Trust Services Criteria 2017. ISAE 3000 ‑standardia voidaan käyttää myös muun kuin tietoturvaan liittyvän tiedon varmentamiseen, kuten kestävään kehitykseen ja ympäristöraportointiin.
Lisäksi ISAE‑viitekehystä täydentävät muut varmennus- ja tarkastuspalvelut, kuten ISRS 4400 ‑liitännäispalvelustandardi, joita voidaan hyödyntää muissa rajatummissa varmennustarpeissa.
Lisätietoja
Muut tilintarkastusalan standardit - Suomen Tilintarkastajat
2017 Trust Services Criteria (With Revised Points of Focus – 2022) | Resources | AICPA (aicpa-cima.com)
Käyttövaltuushallinnan auditoinnissa arvioidaan, miten organisaatiossa myönnetään, muutetaan ja poistetaan käyttäjä‑ ja pääsyoikeuksia sekä kuinka hyvin nämä prosessit tukevat liiketoimintaa, tietoturvavaatimuksia ja sääntelyä.
Auditoinnissa tarkastellaan:
- käyttövaltuuksien elinkaaren hallintaa (myöntäminen, muokkaaminen, poistaminen)
- pääsynhallintajärjestelmien toimivuutta ja valvontaa
- sisäisten politiikkojen, sääntöjen ja tietoturvavaatimusten noudattamista
Käyttövaltuushallinnan auditointi auttaa organisaatiota varmistamaan, että:
- käyttövaltuudet ovat kohdennettuja
- tietoturvavaatimukset täyttyvät
- säännöksiä noudatetaan ja
- riskit minimoidaan.
Auditointi tarjoaa ajantasaisen ja riippumattoman kuvan käyttövaltuushallinnan nykytilasta ja tuo esiin kehityskohteet ennen kuin ne realisoituvat riskeiksi.
Nykytilan auditoinnilla saadaan selkeät vastaukset muun muassa seuraaviin kysymyksiin:
- Noudatetaanko käyttövaltuuksien myöntämisessä organisaation sisäisiä politiikkoja ja käytäntöjä?
- Onko pääsyoikeudet rajattu aidosti tehtävän ja tarpeen mukaisesti?
- Toimivatko käyttövaltuuksien muutokset ja poistot hallitusti esimerkiksi roolin vaihtuessa tai työsuhteen päättyessä?
- Onko pääsynhallintajärjestelmien valvonta ja raportointi riittävällä tasolla?
Projektiarviointi on riippumaton ja objektiivinen arvio projektin tilasta, toimintatavoista ja keskeisistä riskeistä. Arvioinnissa tarkastellaan, eteneekö projekti suunnitelmien, sopimusten sekä soveltuvien standardien ja parhaiden käytäntöjen mukaisesti.
Projektiarviointi voidaan toteuttaa:
- projektin aikana, jolloin se toimii päätöksenteon ja ohjauksen tukena
- projektin päätyttyä, kun halutaan muodostaa kokonaiskuva onnistumisista, puutteista ja opituista asioista
Lisäksi projektin jatkuva laadunvarmistus, esimerkiksi osana ohjausryhmätyöskentelyä, voi kattaa koko projektin elinkaaren ja tukea projektia sen kaikissa vaiheissa.
Projektiarvioinnit auttavat organisaatioita:
- tunnistamaan ajoissa riskit, jotka voivat vaarantaa aikataulun, kustannukset tai laadun
- varmistamaan, että projektin toimintatavat tukevat asetettuja tavoitteita
- parantamaan ohjausta ja päätöksentekoa luotettavan, riippumattoman tilannekuvan avulla
- lisäämään projektin onnistumisen todennäköisyyttä ja liiketoimintahyötyjen realisoitumista
Ratkaisumme avulla riskit hallintaan ja fokus onnistumiseen
Autamme organisaatioita saamaan selkeän ja realistisen kuvan projektiensa tilasta. Hyödynnämme projektiarvioinneissa kehittämäämme, toimialakokemukseen pohjautuvaa riskienhallintamallia, jonka avulla tunnistamme ne uhat ja heikkoudet, jotka voisivat estää projektin onnistuneen toimituksen.
Riskienhallintamallimme:
- perustuu riskien jatkuvaan tunnistamiseen ja arviointiin
- keskittyy niihin riskeihin, joilla on todellinen vaikutus projektin tavoitteisiin
- tukee ennaltaehkäiseviä toimenpiteitä sen sijaan, että reagoitaisiin vasta ongelmien ilmetessä
Mukautamme tarvittaessa riskienhallintatapamme asiakkaan omaan riskikehykseen ja projektinhallintamalliin, jotta arviointi tuottaa mahdollisimman relevanttia ja käytännöllistä tietoa.
Sovellus- ja ohjelmistokehitys ei aina tuota tavoiteltua lopputulosta. Ohjelmistotuotteita saatetaan kehittää isollakin budjetilla, mutta ohjelmistoissa vilisee siitä huolimatta tietoturva-aukkoja. Huonot tietoturvakäytännöt, tunnistamattomat haavoittuvuudet tai tietosuojapuutteet altistavat sovelluksen tietomurroille, tietovuodoille tai haitallisille hyökkäyksille.
Erityisesti isommissa kehitysprojekteissa on usein yhteensopivuusongelmia (integrity & interoperability), jotka voivat johtaa hallitsemattomasti kasvaviin kustannuksiin ja merkittäviin aikatauluviiveisiin.
Sovelluskehityksen laadunvarmistus ja auditointi auttaa nostamaan sovelluskehityksen laatutasoa sekä vähentämään sen kustannuksia ja riskejä.
Ratkaisumme
- Arvioimme sovelluskehitysprojektin ratkaisuarkkitehtuurin ja koodauksen laatutasoa, tietoturvakäytäntöjen ja -prosessien tehokkuutta.
- Tarkistamme tietoturvaan liittyvien komponenttien, kuten tunnistamisen, pääsynhallinnan ja tietosuojan toteutuksen.
- Autamme löytämään ja korjaamaan mahdolliset heikkoudet.
- Edistämme DevSecOps-kulttuurin edistämistä.
- Arvioimme ja optimoimme sovelluskehityksen automaatiota ja työnkulkuja.
- Tarkastelemme, miten tietoturva on integroitu osaksi kehitysprosessia, kuten turvallisuustestauksen ja haavoittuvuuksien hallinnan automatisointia.
- Parannamme projektien tehokkuutta ja autamme nopeuttamaan julkaisujen aikataulua (läpimenoaika).
- Varmistamme, että tietoturva on huomioitu jokaisessa vaiheessa
Lisäksi tunnistamme ja hallitsemme sovellusten haavoittuvuuksia ja autamme kehittämään sekä tilaajan että tilaajan toimittajan osaamista. Varmistamme, että sovelluskehitysprosessi täyttää asiaankuuluvat tietoturva- ja tietosuoja-vaatimukset sekä säännökset. Laadunvarmistuksemme ja auditointimme varmistaa, että tarvittavat kontrollit, dokumentaatio ja raportointiprosessit ovat kunnossa.
Due diligence -prosessissa toteutetaan kohteelle huolellinen arviointi. Arviointi tarjoaa luotettavaa tietoa esimerkiksi investointipäätöksen tueksi tai oikean hinnan arvioimiseksi yritysjärjestelytilanteessa.
Teknologia due diligence auttaa sidosryhmiä arvioimaan kohteen teknologiaomaisuutta, tarvittavia integrointitoimia ja immateriaalioikeuksia. Prosessin aikana tunnistetaan myös keskeiset riskit, tuetaan päätöksentekoa ja suunnitellaan kaupan jälkeisiä toimia.
Teknologia due diligence varmistaa teknologiaan liittyvien näkökohtien perusteellisen arvioinnin ja auttaa lieventämään riskejä, jotka liittyvät teknologiapainotteisten yritysten investointeihin tai liiketoimintakauppoihin. Riskien tunnistaminen mahdollistaa tietoon perustuvan päätöksenteon ja riskinhallintastrategioiden laatimisen.
Teknologia due diligence –palvelumme kattavat esimerkiksi IT:n, kyberturvallisuuden, ohjelmisto-omaisuuden ja –kehitystoimintojen huolellisen arvioinnin.
Ratkaisumme
Teknisen omaisuuden arviointi
- Arvioimme teknologiaomaisuuden laadun, toimivuuden ja arvon.
- Kokoamme kattavan analyysin teknologiainfrastruktuurista, järjestelmistä, ohjelmistoista ja digitaalisista valmiuksista.
Arviointi auttaa mahdollisia sijoittajia tai ostajayrityksiä ymmärtämään kohdeyrityksen teknologiset vahvuudet ja heikkoudet.
Riskien ja ongelmien tunnistaminen
Autamme tunnistamaan kohdeyrityksen teknologiaympäristöön liittyvät mahdolliset riskit, haavoittuvuudet ja ongelmat.
Arvioimme
- ohjelmistojen laatua
- kyberturvallisuuden haavoittuvuuksia
- yksityisyyden suojan noudattamista
- vanhoja järjestelmiä
- skaalautuvuushaasteita
- teknologiavelkaa ja
- riippuvuutta kriittisistä resursseista tai toimittajista.
Integrointitoimien ja -kustannusten arviointi
Fuusioiden, yritysostojen tai kumppanuuksien yhteydessä on ratkaisevan tärkeää ymmärtää teknologian integrointitoimet ja niihin liittyvät kustannukset. Teknologia due diligence antaa tietoa järjestelmien, infrastruktuurin ja ohjelmistojen yhteensopivuudesta ostavan ja kohdeyrityksen välillä.
Asiantuntijamme
