Into Security

Revisioner och certifieringar av informationssäkerhet på ett pålitligt sätt med inhemska krafter 

Into Certification Oy är ett certifieringsorgan ackrediterat av FINAS och ett officiellt bedömningsorgan för informationssäkerhet godkänt av Transport- och kommunikationsverket Traficom. Information om våra kompetensområden och ackrediteringar hittar du här: 

FINAS ackrediteringstjänst
Godkända cybersäkerhetsbedömningsorgan

Våra tjänster som certifieringsorgan 

Våra tjänster inkluderar olika revisioner och certifieringar av informationssäkerhetshanteringssystem, bland annat följande:  

  • Certifiering av informationssäkerhetshanteringssystem baserat på ISO/IEC 27001 – vi är en FINAS-ackrediterad certifieringsorganisation för kompetensområdena ISO/IEC 27001:2013 och ISO/IEC 27001:2022 med beteckningen S064 
  • Nationella säkerhetsrevisionskriterier enligt Katakri 2020, säkerhetsklasserna TLIV och TLIII  
  • Dataskyddsrevisioner för social- och hälsovårdsdatasystem och välfärdsapplikationer enligt lagen om kunduppgifter
  • Findata – Revisioner enligt sekundärlagstiftningen
  • PCI DSS-revisioner
  • Bedömning av överensstämmelse med eIDAS-förordningen för leverantörer av starka identifieringstjänster 

Läs mer om Into Certification Oy:s tjänstebeskrivning
Läs mer om våra andra tjänster relaterade till informationssäkerhet här

01

Varför certifiering? 

Genom certifieringen kan er organisation på ett tillförlitligt sätt visa för nuvarande och framtida kunder att ni har infört tillräckliga rutiner för informationssäkerhet i förhållande till er verksamhet, åtagit er att kontinuerligt upprätthålla informationssäkerheten och tar skyddet av kunders och samarbetspartners uppgifter på allvar. 

Ofta uppstår behovet av certifiering utifrån kundernas krav: många organisationer kräver certifiering från alla nyckelaktörer i sin egen digitala värdekedja.

02

Varför ISO 27001? 

  • Sätter dataskyddets funktion i centrum 
  • Känd metod för att visa på säkerhetsnivån i företaget 
  • Skapar en kultur för säker verksamhet för kunden 
  • Skyddar kundföretagets rykte

ISO 27001-certifieringsprocessen 

En välplanerad och genomförd första certifiering underlättar uppföljningen under de kommande åren och sparar kostnader. ISO 27001-certifieringsprocessen följs i tillämpliga delar även vid utvärdering av andra ramverk. 

ISO 27001-certifieringsprocessen går till på följande sätt:

  1. Certifieringsansökan. Processen inleds med en ansökan från organisationen
  2. Planering. Preliminär planering och förberedelser inför certifieringen
  3. Överensstämmelse med styrsystemet. Bedömning av systemets överensstämmelse med ISO 27001-standarden och den dokumentation som standarden kräver
  4. Systemets funktion. Kontroll av systemets praktiska genomförande
  5. Rapportering och certifieringsbeslut. Beslut om certifiering fattas baserat på resultaten av revisionen

Steg för kontinuerligt underhåll:

  • Årlig uppföljningsrevision
  • Regelbunden återcertifieringsrevision (vanligtvis vart tredje år)

Processen inkluderar kontinuerliga övervakningsåtgärder som säkerställer att efterlevnaden upprätthålls.

Överklagande- och ändringsprocess

Alla klagomål och överklaganden behandlas enligt följande principer:

Behandlingsansvar

  • Certifierare, såsom t.ex. verkställande direktör, hanterar inte klagomål angående certifieringsbeslut, eftersom de ansvarar för att fatta dem
  • En extern kvalitetskontroll hanterar klagomålen för att säkerställa oberoende

Behandlingsprocess

  • Meddelande om avslutande av behandlingsprocessen
  • Bekräftelse av mottagande av överklagande skickas till överklagaren
  • Vi samlar in nödvändig tilläggsinformation för handläggningen
  • Vi fattar nödvändiga beslut samt vidtar korrigerande åtgärder
  • Vi informerar kunden om beslut och åtgärder

Kvalitetssäkring

  • Tidigare liknande klagomål beaktas i handläggningen
  • Alla klagomål, överklaganden och relaterade beslut dokumenteras
  • Behandlingen av klagomål leder inte till diskriminerande åtgärder mot kunden

Offentliga uppgifter

Into Certification Oy ger på begäran följande information om det inte finns skäl att inte lämna ut informationen:

  • Namn på den certifierade kunden
  • Certifieringens omfattning och geografiska läge
  • Standard/kriterier som används i certifieringen
  • Certifieringens status

Begränsningar:

  • Ingen fullständig kundlista lämnas ut
  • Vi svarar inte på förfrågningar som innehåller uppgifter från flera företag
  • Tillgången till information kan begränsas på begäran av kunden (t.ex. av säkerhetsskäl)

Denna policy för offentlig information säkerställer transparens samtidigt som den beaktar kundernas behov av dataskydd.

Neutralitetspolitik

Into Certification Oy åtar sig att agera opartiskt och oberoende i all sin bedömningsverksamhet. Vi säkerställer opartiskhet genom följande principer:

  • Vår certifieringsverksamhet är åtskild från moderbolagets verksamhet i den mån det är nödvändigt för att säkerställa oberoende
  • Vi erbjuder inga konsulttjänster för de system vi har utvärderat
  • Vi certifierar inte system vars utformning eller genomförande vi har deltagit i
  • Våra medarbetare raporterar eventuella intressekonflikter
  • Bedömningsbesluten fattas objektivt utifrån den insamlade bevisningen

Vår opartiskhet övervakas av FINAS ackreditering och Traficoms godkännande. Vi följer upp och utvärderar regelbundet vår verksamhet för att identifiera eventuella risker för opartiskhet.

Våra kunder kan lita på att våra bedömningar och beslut alltid baseras på opartisk och professionell övervägning.

Pålitligt, inhemskt företag 

Into Certification Oy är ett dotterbolag till Into Security Oy och ett officiellt bedömningsorgan för informationssäkerhet godkänt av Traficom. 

Vi uppfyller de krav på oberoende och kompetens som ställs på bedömningsorganen samt säkerhetskraven relaterade till hantering av kundinformation och fysiska lokaler.

Kontakta oss

Vi hjälper dig att hitta de bästa lösningarna på dina säkerhetsutmaningar. Hör av dig till oss så diskuterar vi din organisations behov och mål.

Kontakta oss