Skip to main content
Ota yhteyttä
      Mikä Katakri on?

      Kansallinen turvallisuusauditointikiriteeristö (Katakri) osoittaa organisaatiosi kyvyn suojata salassa pidettävää tietoa

      Katakri 2020 on kansallinen turvallisuusauditointikriteeristö, jota suomalaiset viranomaiset käyttävät arvioidessaan organisaation kykyä suojata turvallisuusluokiteltua ja salassa pidettävää tietoa. Sitä voidaan hyödyntää sekä viranomaisten auditoinneissa että organisaatioiden oman turvallisuustason kehittämisessä. 

      Katakri varmistaa, että organisaatiolla on riittävät ja asianmukaiset menettelyt tietojen suojaamiseen kaikissa ympäristöissä, joissa turvallisuusluokiteltua tietoa käsitellään. Katakri  2020 -päivitys huomioi uudistuneen lainsäädännön, digitalisaation kehityksen sekä pilvipalveluympäristöjen erityisvaatimukset.

      Katakri kattaa kolme osa-aluetta.

      • T - Turvallisuusjohtaminen

        Johdon tuki, turvallisuusvastuut, henkilöstöturvallisuus, riskienhallinta ja tietoturvapolitiikka. Osa-alue varmistaa, että organisaatiolla on toimiva hallintajärjestelmä turvallisuusluokitellun tiedon suojaamiseen.

      • F - Fyysinen turvallisuus

        Turva-alueet, kulunvalvonta, rakenteelliset esteet ja tunkeutumisen ilmaisujärjestelmät. Osa-alue kuvaa vaatimukset niille fyysisille tiloille, joissa salassa pidettävää tietoa käsitellään.

      • I - Tekninen tietoturvallisuus

        Tietoliikenteen, tietojärjestelmien ja käyttöturvallisuuden vaatimukset. Osa-alue varmistaa, että digitaaliset ympäristöt täyttävät vaaditun turvallisuusluokan tekniset kriteerit.

      Olli Knuuti
      Olli Knuuti

      Information Security Assessments

      KPMG in Finland

      Kenelle Katakri-arviointi on tarkoitettu?

      Kaikille salassa pidettävää tietoa käsitteleville organisaatioille

      Katakri 2020 -arviointi soveltuu kaikille toimijoille, joiden toimintaan kuuluu salassa pidettävän tai turvallisuusluokitellun tiedon käsittely. Katakri-arviointi on erityisen tärkeä tilanteissa, joissa organisaation on pystyttävä osoittamaan turvallisen tiedonkäsittelyn taso luotettavasti ja virallisesti.

      • Osallistuminen viranomaishankkeisiin

        Arviointilaitostodistus on usein edellytys osallistumisessa julkishallinnon ja puolustushallinnon hankkeisiin, joissa käsitellään turvallisuusluokiteltua tietoa. 

      • Kansainväliset yhteistyöhankkeet

        Katakri 2020 on yhteensopiva EU:n ja Naton turvallisuusvaatimusten kanssa. Todistus helpottaa kansainvälisten yhteisöturvallisuusselvitysprosessien (FSC) läpäisemistä.

      • Jatkuva turvallisuuden kehittäminen

        Arviointi tunnistaa kehityskohteet ja tukee turvallisuuskulttuurin rakentamista. Systemaattinen lähestymistapa vähentää tietovuotojen riskiä kaikissa toimintaympäristöissä.

      Hyödyt organisaatiolle

      • Riskienhallinnan parantaminen

        Auditoinnissa tunnistetaan organisaation keskeiset kehityskohteet.

      • Luotettavuuden osoittaminen

        Kumppanit ja tilaajat voivat varmistua tietojen käsitttelyn turvallisuuden tasosta.

      • Viranomaisyhteystyön sujuvuus

        Arviointitodistus on osoitus organisaation kyvystä käsitellä turvallisuusluokiteltua tietoa vaatimusten mukaisesti. 

      • Toimitusketjujen vaatimusten täyttyminen

        Erityisesti julkishallinnon hankkeet asettavat usein vaatimuksia tietojen käsittelylle.

      Arviointiprosessi

      Miten Katakri 2020 -arviointi etenee?

      • Laajuuden ja arvioinnin tavoitteen määrittely

        Sovitaan arvioinnin laajuus, turvallisuusluokka ja tavoite. Haastattelut ja läpikäytävät osa-alueet (T, F, I) suunnitellaan etukäteen, jotta projekti etenee sujuvasti.

      • Valmistautuminen ja mahdollinen esiauditointi

        Tarkastetaan, että organisaatiolla on riittävät prosessit ja dokumentaatio varsinaista arviointia varten. Havaitut puutteet voidaan korjata ennen virallista arviointia. Vaiheessa toteutetaan tyypillisesti itsearviointi ja tarvittaessa esiauditointi.

      • Virallinen arviointi

        Suoritetaan Katakri 2020 -kriteeristöön perustuva arviointi organisaation tiloissa ja järjestelmissä. 

      • Arviointilaitostodistus

        Mikäli poikkeamia ei havaita ja muut edellytyksen täyttyvät, voidaan myöntää virallinen arviointilaitostodistus. Todistuksella organisaatio osoittaa vaatimusten täyttymisen viranomaisille, kumppaneille ja asiakkailleen.

      Valmistelu ennen esiauditointia

      Vaiheen kesto on tyypillisesti joitakin viikkoja tai kuukausia lähtötilanteesta riippuen.

      Esiarvioinnista todistukseen

      Vaihe kestää tyypillisesti 1-5 kuukautta arvioinnin kohteesta ja organisaation kypsyydestä riippuen. Aikataulu sovitaan aina tarkemmin kunkin asiakkaan kanssa.

      Todistuksen voimassaolo

      Arviointilaitostodistus on voimassa maksimissaan viisi vuotta (T- ja F-osiot) tai kolme vuotta (I-osio). 

      Miksi valita KPMG?

      FINAS-akkreditoitu. Traficomin hyväksymä. Riippumaton. 

      article

      Kaikki sertifioinnit yhdeltä toimijalta

      Ei tarvetta vaihtaa toimijaa standardista toiseen.

      Sertifioimme seuraavia standardeja:

      • ISO/IEC 27001 tietoturvan hallintajärjestelmä
      • Laajennukset: ISO/IEC 27017 (pilvipalvelujen turvallisuus), ISO/IEC 27018 (henkilötietojen suoja pilvessä)
      • ISO/IEC 27701 (PIMS), ISO/IEC 22301 (jatkuvuus), ISO/IEC 42001 (tekoälyn hallintajärjestelmä)
      • Viranomaisvaatimukset: Katakri 2020Kanta- ja Findata‑auditoinnit
      • ISO/IEC 9001:2015 -standardiin perustuvat laadunhallintajärjestelmät IT-palvelunhallinnan, IT-palvelutuotannon ja sovelluskehityksen toimialoille
      gavel

      Virallinen arviointilaitos

      Toimimme FINAS-akkreditoituna sertifiointielimenä ja Traficomin hyväksymänä tietoturvallisuuden arviointilaitoksena – riippumattomasti ja jatkuvan viranomaisvalvonnan alaisena.

      enhanced_encryption

      Turvallisuusluokka II

      Oma tiedonkäsittelymme on hyväksytty Turvallisuusluokalle II. Asiakastietosi käsitellään vaatimusten mukaisessa ympäristössä koko sertifiointiprosessin ajan.

       

      diversity_3

      Laaja pätevyysalue

      Pätevyysalueemme kattaa Katakri 2020 -arvioinnit turvallisuusluokille TL IV ja TL III. Teemme arviointeja sekä julkisen että yksityisen sektorin asiakkaille.

      Valmis aloittamaan Katakri 2020 -auditoinnin?


      Ota yhteyttä, arvioimme lähtötilanteesi ja ehdotamme sopivimman etenemispolun organisaatiollesi. 



      Tutustu asiantuntijoihimme

      Olli Knuuti
      Olli Knuuti

      Information Security Assessments

      KPMG in Finland

      Antti Laurila

      Cyber Advisory

      KPMG in Finland

      Lauri Kaipainen

      Cyber Advisory

      KPMG in Finland