Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Arviointilaitokseksi hyväksymistä koskeva hakemus

Tietoturvallisuuden arviointilaitokset tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua. Arviointilaitokset hyväksyy Kyberturvallisuuskeskus, joka myös ohjaa ja valvoo arviointilaitoksia. Arviointilaitoshyväksyntä on maksullinen palvelu. Palvelussa on luettelo Suomessa toimivista Traficomin hyväksymistä arviointilaitoksista.

Arviointilaitokset apuna yritysturvallisuuden edistämisessä

Yksityiset yritykset voivat arviointilaitoksen suorittaman arvioinnin avulla todistaa, että yrityksen toiminta täyttää tietoturvallisuusvaatimukset. Näin yritykset voivat varautua esimerkiksi kansainvälisiin hankintakilpailuihin, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä, tai osoittaa kansalliselle viranomaiselle, että sen toiminnassa on toteutettu määrätty tietoturvallisuuden taso. 

Toimivaltainen viranomainen laatii aina yritysten turvallisuusselvityksen ja antaa tietojärjestelmien ja tietoliikennejärjestelyjen viranomaishyväksynnän. Viranomaishyväksyntä voidaan kuitenkin antaa arviointilaitoksen tekemän arvioinnin pohjalta.

Arviointimenettely

Arviointilaitoksen suorittamassa tietoturvatarkastuksessa selvitetään

  • onko toiminnassa toteutettu tietoturvallisuutta koskevat vaatimukset
  • tarkastetaan arvioitavan kohteen toimitilat.

Arviointi perustuu arvioinnin kohteen toimeksiantoon, jossa määritellään käytettävä tietoturvallisuuden arviointikriteeristö ja tavoiteltava tietoturvataso.

Viranomaisten tietoturvallisuuden arviointi

Viranomaiset voivat käyttää tietojärjestelmiensä tietoturvallisuuden arvioinnissa ainoastaan Liikenne- ja viestintävirasto Traficomin tai sen hyväksymän arviointilaitoksen arviointipalveluja. Arviointimenettelystä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011).

Arviointilaitosten ohjaus ja valvonta

Lisätietoja

Hyväksytyt tietoturvallisuuden arviointilaitokset