Arviointilaitokseksi hyväksymistä koskeva hakemus
Tietoturvallisuuden arviointilaitokset tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua. Arviointilaitokset hyväksyy Kyberturvallisuuskeskus, joka myös ohjaa ja valvoo arviointilaitoksia. Arviointilaitoshyväksyntä on maksullinen palvelu. Palvelussa on luettelo Suomessa toimivista Traficomin hyväksymistä arviointilaitoksista.
Arviointilaitokset apuna yritysturvallisuuden edistämisessä
Yksityiset yritykset voivat arviointilaitoksen suorittaman arvioinnin avulla todistaa, että yrityksen toiminta täyttää tietoturvallisuusvaatimukset. Näin yritykset voivat varautua esimerkiksi kansainvälisiin hankintakilpailuihin, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä, tai osoittaa kansalliselle viranomaiselle, että sen toiminnassa on toteutettu määrätty tietoturvallisuuden taso.
Toimivaltainen viranomainen laatii aina yritysten turvallisuusselvityksen ja antaa tietojärjestelmien ja tietoliikennejärjestelyjen viranomaishyväksynnän. Viranomaishyväksyntä voidaan kuitenkin antaa arviointilaitoksen tekemän arvioinnin pohjalta.
Arviointimenettely
Arviointilaitoksen suorittamassa tietoturvatarkastuksessa selvitetään
- onko toiminnassa toteutettu tietoturvallisuutta koskevat vaatimukset
- tarkastetaan arvioitavan kohteen toimitilat.
Arviointi perustuu arvioinnin kohteen toimeksiantoon, jossa määritellään käytettävä tietoturvallisuuden arviointikriteeristö ja tavoiteltava tietoturvataso.
Viranomaisten tietoturvallisuuden arviointi
Viranomaiset voivat käyttää tietojärjestelmiensä tietoturvallisuuden arvioinnissa ainoastaan Liikenne- ja viestintävirasto Traficomin tai sen hyväksymän arviointilaitoksen arviointipalveluja. Arviointimenettelystä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011).