14 maaliskuuta 2017

Inspecta on Viestintäviraston hyväksymä tietoturvallisuuden arviointilaitos

Viestintävirasto ohjaa ja valvoo tietoturvallisuuden arviointilaitoksia, jotka tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua. Perjantaina 10.3. 2017 Inspecta Sertifiointi Oy on vahvistettu Viestintäviraston hyväksymäksi tietoturvallisuuden arviointilaitokseksi. Inspectalla on pitkä ja monipuolinen kokemus erilaisista tietoturva-arvioinneista ja erityisesti tietoturvallisuuden hallintajärjestelmien ISO/IEC 27001 -sertifioinnista.

Arviointilaitokset apuna yritysturvallisuuden edistämisessä

Yksityiset yritykset voivat arviointilaitoksen suorittaman arvioinnin avulla todistaa, että yrityksen toiminta täyttää tietoturvallisuusvaatimukset. Näin yritykset voivat varautua esimerkiksi kansainvälisiin hankintakilpailuihin, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä, tai osoittaa kansalliselle viranomaiselle, että sen toiminnassa on toteutettu määrätty tietoturvallisuuden taso, kertoo Viestintävirasto verkkosivuillaan hyväksytyn arviointilaitoksen toiminnasta.

Toimivaltainen viranomainen laatii aina yritysten turvallisuusselvityksen ja antaa tietojärjestelmien ja tietoliikennejärjestelyjen viranomaishyväksynnän. Viranomaishyväksyntä voidaan kuitenkin antaa arviointilaitoksen tekemän arvioinnin pohjalta.

Arviointilaitoksen, kuten Inspectan, tietoturvatarkastus selvittää onko tarkasteltavan yrityksen toiminta ja toimitilat tietoturvallisuudelle asetettujen vaatimuksen mukaista. Arviointi tehdään aina arvioitavan itsensä toimeksiannosta ja heidän asettamiensa kriteerien ja tavoiteltavan tietoturvatason mukaisesti.

Inspecta palvelee myös viranomaisten tietoturvallisuuden arvioinnissa

Inspectan Suomalaisilla asiantuntijoilla on pitkä kokemus tietoturvallisuuden hallintajärjestelmien arvioinnista. Inspecta oli ensimmäinen sertifiointiorganisaatio, joka sai suomalaisen FINASin akkreditoinnin tälle standardille. Akkreditoidun sertifiointielimen kansainvälistä ISO/IEC 27001 -standardia vasten sertifioiman tietoturvallisuuden hallintajärjestelmän taso tunnistetaan ja tunnustetaan koko maailmassa. ISO/IEC 27001 -sertifikaatti antaa myös vahvan pohjan ja kattavan viitekehyksen muidenkin tietoturvallisuuden vaatimusmallien hallintaan ja niiden vaatimusten mukaiseen toimintaan, esimerkkinä Suomessa valtionhallinnon tietoturvatasot ja Katakri.

Tietoturvallisuuden hallintajärjestelmän sertifiointi käsittää erilaiset arvioinnit ja standardit. Keskeistä sertifioinnissa on todeta organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö. ISO/IEC 27001 -standardin keskeinen tavoite on oikein mitoitettu tapa pienentää riskejä – 10 euron riskin poistamiseen ei kannata käyttää 1.000 euroa.

Viranomaiset voivat tietoturvallisuuden kehittämisessä ja tietojärjestelmiensä arvioinnissa käyttää ainoastaan Viestintäviraston tai sen hyväksymien arviointilaitosten arviointipalveluja. Jatkossa Inspecta palvelee siis myös viranomaistahoja tietoturva-arvioinneissa.

Lisätietoja antaa toimialavastaava Jyrki Lahnalahti, Inspecta Sertifiointi Oy, +358400571892 jyrki.lahnalahti@inspecta.com