Mitä Findata-auditointi tarkoittaa?

Tietoturvallisen käyttöympäristön arviointi toisiolain vaatimusten mukaisesti

Findata‑auditointi on viranomaisvaatimuksiin perustuva tietoturvallisuuden arviointi, jolla osoitetaan tietoturvallisen käyttöympäristön täyttävän sekä toisiolain että Findatan asettamat vaatimukset.

Auditointi on edellytys sille, että käyttöympäristöä voidaan käyttää sosiaali- ja terveystietojen toissijaiseen käsittelyyn, kuten tutkimukseen.

Auditointi toteutetaan Findatan määräyksen 1/2022 mukaisesti riippumattomana arviointina.

Keskeiset syyt toteuttaa Findata-auditointi:

Toisiolaki edellyttää Findata-auditointia

Sosiaali‑ ja terveystietojen toissijainen käyttö (esim. tutkimus, tilastointi, viranomaisselvitykset) on sallittua vain Findatan määräyksen mukaisessa tietoturvallisessa käyttöympäristössä.
Käyttöympäristö on rekisteröitävä ennen käyttöä

Käyttöympäristö on rekisteröitävä viranomaisen ylläpitämään julkiseen rekisteriin (Astori).
Rekisteröinnin edellytys on Traficomin hyväksymän arviointilaitoksen myöntämä tietoturvallisuustodistus, joka saadaan Findata‑auditoinnin kautta.

Kenelle Findata‑auditointi on tarkoitettu?

Findata‑auditointi on tarkoitettu organisaatioille, jotka tarjoavat tai ylläpitävät tietoturvallisia käyttöympäristöjä sosiaali‑ ja terveysalan tietojen toissijaiseen käyttöön.

Tyypillisiä kohdeorganisaatioita ovat:

tutkimusorganisaatiot ja korkeakoulut
analytiikka‑ ja data‑alustapalveluiden tarjoajat
terveys‑ ja hyvinvointialan ohjelmistotoimittajat
pilvi‑ ja alustaratkaisuja hyödyntävät palveluntarjoajat

Auditointi koskee sekä Suomessa että ulkomailla sijaitsevia ratkaisuja riippumatta käytetystä teknologia‑, hosting‑ tai palvelumallista.

Olli Knuuti

Information Security Assessments

KPMG in Finland

mail
call

Findata-auditoinnin hyödyt

Miksi organisaation kannattaa toteuttaa Findata-auditointi?

people_outline

Vaatimustenmukaisuuden osoittaminen

Auditointi varmistaa, että käyttöympäristö täyttää toisiolain ja Findatan määräysten edellyttämät tietoturvavaatimukset ja voidaan hyväksyä viranomaisten toimesta.

rule

Luottamuksen rakentaminen

Riippumattoman arviointilaitoksen tekemä auditointi lisää viranomaisten, tutkimusluvanhaltijoiden ja sidosryhmien luottamusta käyttöympäristön turvallisuuteen.

filter_center_focus

Riskienhallinnan tehostaminen

Auditointi tunnistaa keskeiset tietoturvariskit ja auttaa kohdistamaan suojatoimet oikein erityisesti monimutkaisissa ja pilvipohjaisissa käyttöympäristöissä.

network_node

Sujuva rekisteröintiprosessi

Hyvin valmisteltu auditointi nopeuttaa käyttöympäristön rekisteröitymistä ja vähentää viranomaisten lisäselvitystarpeita.

Auditointiprosessi ja sen vaiheet

Miten Findata‑auditointiprosessi etenee?

Auditoinnissa arvioidaan muun muassa:

käyttöympäristön tekninen ja organisatorinen tietoturva
pääsynhallinta, lokitus ja valvonta
tietojen käsittely‑ ja suojausmenetelmät
toimintamallit poikkeama‑ ja häiriötilanteissa
ulkoistusten, pilvipalveluiden ja mahdollisen ulkomaisen käsittelyn hallinta

Lähtötilanteen kartoitus

Käyttöympäristön soveltamisala, arkkitehtuuri ja toiminnot käydään läpi yhdessä asiakkaan kanssa.
Dokumentaatio‑ ja vaatimusanalyysi

Arvioidaan dokumentaation kattavuus suhteessa Findatan määräyksiin.
Varsinainen tietoturvallisuuden arviointi

Tekninen ja organisatorinen arviointi Findata‑vaatimusten mukaisesti.
Havaintojen raportointi ja korjaavat toimenpiteet

Selkeät havainnot ja kehityssuositukset mahdollistavat vaatimusten täyttämisen.
Arviointilausunto

Virallinen arviointilausunto käyttöympäristön hyväksyntää ja rekisteröintiä varten.

Prosessi on suunniteltu tukemaan asiakkaan liiketoimintaa ja minimoimaan auditointiin liittyvä hallinnollinen kuormitus.

Miksi valita KPMG?

FINAS-akkreditoitu. Traficomin hyväksymä. Riippumaton.

article

Kaikki sertifioinnit yhdeltä toimijalta

Sertifioimme seuraavia standardeja:

ISO/IEC 27001 tietoturvan hallintajärjestelmä
Laajennukset: ISO/IEC 27017 (pilvipalvelujen turvallisuus), ISO/IEC 27018 (henkilötietojen suoja pilvessä)
ISO/IEC 27701 (PIMS), ISO/IEC 22301 (jatkuvuus), ISO/IEC 42001 (tekoälyn hallintajärjestelmä)
Viranomaisvaatimukset: Katakri 2020, Kanta- ja Findata‑auditoinnit
ISO/IEC 9001:2015 -standardiin perustuvat laadunhallintajärjestelmät IT-palvelunhallinnan, IT-palvelutuotannon ja sovelluskehityksen toimialoille

approval

Tapauskohtaisen salausratkaisun arviointipätevyys

KPMG on ensimmäinen Traficomin hyväksymä tietoturvallisuuden arviointilaitos Suomessa, jolle on myönnetty pätevyys tapauskohtaisen salausratkaisun arviointiin. Uusi pätevyys koskee salausratkaisun tapauskohtaista arviointia osana tietojärjestelmän tietoturvallisuuden arviointia.

Tämä vahvistaa asemaamme vaativien ja turvallisuusluokiteltujen tietojärjestelmien arvioijana sekä kansallisen tason asiantuntijana salausratkaisujen arvioinneissa.

gavel

Virallinen arviointilaitos

Toimimme FINAS-akkreditoituna sertifiointielimenä ja Traficomin hyväksymänä tietoturvallisuuden arviointilaitoksena – riippumattomasti ja jatkuvan viranomaisvalvonnan alaisena.

enhanced_encryption

Turvallisuusluokka II

Oma tiedonkäsittelymme on hyväksytty Turvallisuusluokalle II. Asiakastietosi käsitellään vaatimusten mukaisessa ympäristössä koko sertifiointiprosessin ajan.

diversity_3

Laaja kokemus viranomaisauditoinneista

Syvällinen ymmärrys sosiaali- ja terveydenhuollon sääntelystä sekä vankka asiantuntemus pilvi- ja kansainvälisistä käyttöympäristöistä.

Useamman kymmenen vuoden kokemus eri toimialoilla toimivien yksityisten ja julkisten organisaatioiden sertifiointitarpeista.

Lue lisää osaamisestamme

KPMG auttaa organisaatioita vahvistamaan tietoturvaa, täyttämään NIS2‑vaatimukset ja hallitsemaan kyberriskejä. Tutustu tietoturvapalveluihimme, jotka tukevat liiketoiminnan jatkuvuutta ja suojaavat kriittistä dataa.

Lue lisää