Into Security

Tietoturvallisuuden auditoinnit ja sertifioinnit luotettavasti kotimaisin voimin 

Into Certification Oy on FINAS-akkreditointipalvelun akkreditoima sertifiointiorganisaatio ja tietoturvallisuuden arviointilaitos S064, akkreditointivaatimukset SFS-EN ISO/IEC 17021-1:2015 ja ISO/IEC 27006-1:2024. Pätevyysalueet: ISO/IEC 27001:2013, ISO/IEC 27001:2022, ISO 9001:2015 ja Katakri 2020 turvallisuusluokat IV ja III. Olemme lisäksi hyväksytty PCI QSA -yritys (Payment Card Industry Qualified Security Assessor). Tietoja pätevyysalueistamme ja akkreditoinneista löytyvät täältä: 

FINAS-akkreditointipalvelu
Hyväksytyt kyberturvallisuuden arviointilaitokset

Tietoturvallisuuden arviointilaitoksen palveluitamme 

Palveluitamme ovat erilaiset tietoturvallisuuden hallintajärjestelmien auditoinnit ja sertifioinnit, muun muassa seuraavat:  

  • ISO/IEC 27001 -standardiin perustuva tietoturvallisuuden hallintajärjestelmien sertifiointi – olemme ISO/IEC 27001:2013 ja ISO/IEC 27001:2022 pätevyysalueille FINASin akkreditoima sertifiointiorganisaatio tunnuksella S064 
  • Kansallinen turvallisuusauditointikriteeristö Katakri 2020 mukaiset arvioinnit, johon meidät on akkreditoitu ja hyväksytty turvallisuusluokille TLIV ja TLIII  
  • Asiakastietolain mukaiset sosiaali- ja terveydenhuollon tietojärjestelmien ja hyvinvointisovellusten tietoturva-auditoinnit
  • Findata – Toisiolain mukaiset auditoinnit
  • PCI DSS -auditoinnit
  • Vahvan tunnistuspalvelun tarjoajille lain ja eIDAS-asetuksen edellyttämä vaatimustenmukaisuuden arviointi 

Tutustu tarkemmin Into Certification Oy:n palvelukuvaukseen
Lue muista tietoturvallisuuteen liittyvistä palveluistamme tarkemmin täällä

01

Miksi sertifiointi? 

Sertifioinnin myötä organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen. 

Usein sertifiointitarve nousee asiakkaiden vaatimuksista, moni organisaatio edellyttää sertifiointia kaikilta avaintoimijoilta omassa digitaalisessa arvoketjussaan.

02

ISO 27001 -asiakashyötyjä 

  • Nostaa tiedon suojauksen toiminnan keskiöön 
  • Tunnettu tapa osoittaa tietoturvan taso yrityksessä 
  • Luo turvallisen toiminnan kulttuurin asiakkaalle 
  • Suojaa asiakasyrityksen mainetta

ISO 27001 -sertifiointiprosessi 

Hyvin suunniteltu ja toteutettu ensimmäinen sertifiointi helpottaa huomattavasti myöhempien vuosien seurantaa ja säästää kustannuksissa. ISO 27001 -sertifiointiprosessia noudatetaan soveltuvin osin myös muiden viitekehysten arvioinnissa. 

ISO 27001 -sertifiointiprosessi etenee seuraavasti:

  1. Sertifiointihakemus. Prosessi käynnistyy organisaation hakemuksella
  2. Suunnittelu. Sertifioinnin alustava suunnittelu ja valmistelu
  3. Hallintajärjestelmän vaatimustenmukaisuus. Arvioidaan järjestelmän ISO 27001 -standardinmukaisuus ja standardin edellyttämä dokumentaatio
  4. Hallintajärjestelmän toiminta. Tarkastetaan järjestelmän käytännön toteutus
  5. Raportointi ja sertifiointipäätös. Auditoinnin tulosten perusteella tehdään päätös sertifioinnista

Jatkuvan ylläpidon vaiheet:

  • Vuosittainen seuranta-auditointi
  • Uudelleensertifiointiauditointi määräajoin (tyypillisesti 3 vuoden välein)

Prosessiin kuuluu jatkuvat seurantatoimenpiteet, jotka varmistavat vaatimustenmukaisuuden säilymisen.

Valitus- ja muutoksenhakuprosessi

Kaikki valitukset ja muutoksenhaut käsitellään seuraavien periaatteiden mukaisesti:

Käsittelyvastuu

  • Sertifioija, kuten esim. toimitusjohtaja, ei käsittele sertifiointipäätöksiä koskevia valituksia, koska vastaa niiden tekemisestä
  • Ulkopuolinen laadunvarmistus käsittelee valitukset riippumattomuuden varmistamiseksi

Käsittelyprosessi

  • Ilmoitetaan käsittelyprosessin päättymisestä
  • Valituksen vastaanotto vahvistetaan valittajalle
  • Kerätään tarvittavat lisätiedot käsittelyä varten
  • Tehdään tarvittavat päätökset sekä korjaavat toimenpiteet
  • Tiedotetaan päätöksistä ja toimenpiteistä asiakkaalle

Laadunvarmistus

  • Aiemmat samankaltaiset valitukset huomioidaan käsittelyssä
  • Kaikki valitukset, muutoksenhaut ja niihin liittyvät päätökset dokumentoidaan
  • Valitusten käsittely ei johda syrjiviin toimiin asiakasta kohtaan

Julkiset tiedot

Into Certification Oy antaa pyynnöstä seuraavat tiedot ellei ole perusteltua syytä olla antamatta tietoa:

  • Sertifioidun asiakkaan nimi
  • Sertifioinnin laajuus ja maantieteellinen sijainti
  • Sertifioinnissa käytetty standardi/kriteeristö
  • Sertifioinnin tila/status

Rajoitukset:

  • Täydellistä asiakaslistaa ei luovuteta
  • Useiden yritysten tietoja sisältäviin kyselyihin ei vastata
  • Tietojen saatavuutta voidaan rajoittaa asiakkaan pyynnöstä (esim. turvallisuussyistä)

Tämä julkisten tietojen käytäntö varmistaa läpinäkyvyyden samalla huomioiden asiakkaiden tietoturvatarpeet.

Puolueettomuuspolitiikka

Into Certification Oy sitoutuu toimimaan puolueettomasti ja riippumattomasti kaikessa arviointitoiminnassaan. Varmistamme puolueettomuuden seuraavilla periaatteilla:

  • Sertifiointiliiketoimintamme on eriytetty emoyhtiömme toiminnoista siltä osin kuin se on tarpeellista riippumattomuuden varmistamiseksi
  • Emme tarjoa konsultointipalveluja arvioimiimme järjestelmiin
  • Emme sertifioi järjestelmiä, joiden suunnitteluun tai toteutukseen olemme osallistuneet
  • Arviointihenkilöstömme on sitoutunut ilmoittamaan mahdolliset eturistiriidat
  • Arviointipäätökset tehdään objektiivisesti kerätyn näytön perusteella

Puolueettomuuttamme valvoo FINASin akkreditointi ja Traficomin hyväksyntä. Seuraamme ja arvioimme säännöllisesti toimintaamme mahdollisten puolueettomuusriskien tunnistamiseksi.

Asiakkaamme voivat luottaa siihen, että arviointimme ja päätöksemme perustuvat aina puolueettomaan ja ammattimaiseen harkintaan.

Luotettava, kotimainen yhtiö 

Into Certification Oy on Into Security Oy:n tytäryhtiö, joka toimii Traficomin hyväksymänä virallisena tietoturvallisuuden arviointilaitoksena. 

Täytämme arviointilaitoksille asetetut riippumattomuutta ja henkilökunnan osaamista koskevat pätevyysvaatimukset sekä asiakastietojen käsittelyyn ja fyysisten tiloihin liittyvät turvallisuusvaatimukset.

Ota yhteyttä

Autamme löytämään parhaat ratkaisut tietoturvallisuuteen liittyvissä haasteissa. Laita meille viesti niin keskustellaan organisaatiosi tarpeista ja tavoitteista.

Ota yhteyttä