Bedömningsorgan för informationssäkerhet

Kommunikationsverket styr och övervakar bedömningsorganen för informationssäkerhet. Organen tillhandahåller myndigheter och företag pålitliga och opartiska tjänster för bedömning av informationssäkerhet.

Bedömningsorganen hjälper att främja företagssäkerhet

Privata företag kan med hjälp av bedömningsorganens bedömning bevisa att företagets verksamhet uppfyller kraven på informationssäkerhet. På detta sätt kan företagen förbereda sig till exempel för internationella upphandlingsförfaranden där det förutsätts ett intyg om en säkerhetsutredning som en myndighet har gjort eller visa nationella myndigheter att de i sin verksamhet har sörjt för en viss informationssäkerhetsnivå.

Företagens säkerhetsutredning utarbetas alltid av en behörig myndighet som också ger myndighetsgodkännande för informationssystem och datakommunikation. Myndighetsgodkännandet kan dock ges på basis av ett bedömningsorgans bedömning.

Vid bedömning av företagssäkerhet kan kraven på informationssäkerheten verifieras t.ex. med hjälp av den nationella kriteriesamlingen för säkerhetsauditering (KATAKRI).

Nationell kriteriesamling för säkerhetsauditering (KATAKRI) (På finska)

Bedömningsförfarande

Syftet med ett bedömningsorgans informationssäkerhetskontroll är att

  • klarlägga om kraven angående informationssäkerheten har uppfyllts i verksamheten
  • granska lokalerna hos den som bedömningen gäller.

Bedömningen baserar sig på uppdrag av den som bedömningen gäller. I uppdraget definieras de bedömningskriterier som används och den informationssäkerhetsnivå som man strävar efter.

Bedömning av informationssäkerheten hos myndigheterna

För att utveckla informationssäkerheten och bedöma sina informationssystem kan myndigheterna använda tjänster av de bedömningsorgan som Kommunikationsverket har godkänt. Från början av juni 2015 kan myndigheterna bedöma informationssäkerheten i sina informationssystem endast med hjälp av sådana bedömningstjänster som tillhandahållas av Kommunikationsverket eller ett bedömningsorgan som verket har godkänt.

Om bedömningsförfarandet bestäms i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation.

Lag om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011)

För att verifiera de krav som är i enlighet med förordningen om informationssäkerheten används de anvisningar som ledningsgruppen för informationssäkerheten inom Statsförvaltningen (VAHTI) har gett.

VAHTI-anvisningarna (På finska)

Statsförvaltningsmyndigheterna ska senast 1.10.2013 se till att sin databehandling motsvarar de krav på informationssäkerheten som definieras i statsrådets förordning om informationssäkerheten, dvs. de grundläggande kraven på informationssäkerheten. Om myndigheten klassificerar sina sekretessbelagda handlingar ska myndigheten också följa de krav på hanteringen av klassificerade handlingar som åläggs i förordningen.

Statsrådets förordning om informationssäkerheten inom statsförvaltningen 681/2010

Styrning och övervakning av bedömningsorganen

Kommunikationsverket

  • godkänner bedömningsorganen för informationssäkerhet
  • styr och övervakar organens verksamhet.

Det nationella ackrediteringsorganet FINAS (Finnish Accreditation Service)

  • bedömer bedömningsorganens oavhängighet
  • bedömer kompetensen på de anställda vid bedömningsorganen
  • ansvarar för uppföljningen av organens kompetens.

FINAS
Lag om bedömningsorgan för informationssäkerhet 1405/2011

Kommunikationsverkets anvisning till bedömningsorgan för informationssäkerhet (på finska)

Godkända bedömningsorgan

Kommunikationsverket ger preciserande anvisningar om bedömningsorganens godkännandeförfaranden och organens verksamhet.

Ämnesord: Informationssäkerhet , NCSA-FI

Uppdaterad 16.08.2018

LinkedIn Print

logo

Kommunikationsverket

Cybersäkerhetscentret

PB 313, 00561 Helsingfors


Mediekontakter per telefon: +358 295 390 248