Tietoturvallisuuden arviointilaitokset

Viestintävirasto ohjaa ja valvoo tietoturvallisuuden arviointilaitoksia, jotka tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua.

Arviointilaitokset apuna yritysturvallisuuden edistämisessä

Yksityiset yritykset voivat arviointilaitoksen suorittaman arvioinnin avulla todistaa, että yrityksen toiminta täyttää tietoturvallisuusvaatimukset. Näin yritykset voivat varautua esimerkiksi kansainvälisiin hankintakilpailuihin, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä, tai osoittaa kansalliselle viranomaiselle, että sen toiminnassa on toteutettu määrätty tietoturvallisuuden taso.

Toimivaltainen viranomainen laatii aina yritysten turvallisuusselvityksen ja antaa tietojärjestelmien ja tietoliikennejärjestelyjen viranomaishyväksynnän. Viranomaishyväksyntä voidaan kuitenkin antaa arviointilaitoksen tekemän arvioinnin pohjalta.

Yritysturvallisuuden arvioinnissa tietoturvallisuusvaatimusten todentaminen voi tapahtua esimerkiksi Kansallisen turvallisuusauditointikriteeristön (KATAKRI) avulla.

Arviointimenettely

Arviointilaitoksen suorittamassa tietoturvatarkastuksessa selvitetään

  • onko toiminnassa toteutettu tietoturvallisuutta koskevat vaatimukset
  • tarkastetaan arvioitavan kohteen toimitilat.

Arviointi perustuu arvioinnin kohteen toimeksiantoon, jossa määritellään käytettävä tietoturvallisuuden arviointikriteeristö ja tavoiteltava tietoturvataso.

Viranomaisten tietoturvallisuuden arviointi

Viranomaiset voivat tietoturvallisuuden kehittämisessä ja tietojärjestelmiensä arvioinnissa käyttää Viestintäviraston hyväksymien arviointilaitosten palveluja. Kesäkuun 2015 alusta viranomaiset voivat käyttää tietojärjestelmiensä tietoturvallisuuden arvioinnissa ainoastaan Viestintäviraston tai sen hyväksymän arviointilaitoksen arviointipalveluja.

Arviointimenettelystä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011).

Tietoturva-asetuksen mukaisten vaatimusten todentamisessa käytetään Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) ohjeistusta.

Valtionhallinnon viranomaisten on saatettava tietojenkäsittelynsä vastaamaan valtionhallinnon tietoturvallisuusasetuksessa määriteltyjä tietoturvallisuusvaatimuksia eli tietoturvallisuuden perustason vaatimuksia 1.10.2013 mennessä. Jos viranomainen luokittelee salassa pidettävät asiakirjansa, on sen lisäksi noudatettava asetuksessa säädettyjä, luokiteltujen asiakirjojen käsittelyä koskevia vaatimuksia.

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 681/2010

Arviointilaitosten ohjaus ja valvonta

Viestintävirasto

  • hyväksyy tietoturvallisuuden arviointilaitokset
  • ohjaa ja valvoo laitosten toimintaa.

Kansallinen akkreditointielin FINAS (Finnish Accreditation Service)

  • arvio tietoturvallisuuden arviointilaitosten riippumattomuuden
  • arvioi laitosten työntekijöiden pätevyyden
  • vastaa laitoksen pätevyyden seurannasta.

Laki tietoturvallisuuden arviointilaitoksista 1405/2011

Viestintäviraston ohje tietoturvallisuuden arviointilaitoksille

Viestintäviraston hyväksymät tietoturvallisuuden arviointilaitokset

Asiasanat: Tietoturva , NCSA-FI

Päivitetty 17.11.2017

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248