Tietoturvamerkin saadakseen tuotteen tai palvelun tulee läpäistä kolmannen osapuolen suorittama tarkastus. Tarkastuksessa käydään läpi, että tuote vastaa asetettuja vaatimuksia ja dokumentoidaan tarkastajan tulokset. Tarkastuksen voi tehdä Kyberturvallisuuskeskuksen hyväksymä tietoturvayritys. Varsinaisen Tietoturvamerkin myöntää Traficomin Kyberturvallisuuskeskus.

Arviointikäytännöt

Tarkastusprosessin kuvaus

Yritys aloittaa keskustelun Traficomin tai tarkastajan kanssa.

  1. Yritys toimittaa vaatimustenmukaisuuslomakkeen ja tarkastettavan tuotteen tarkastajalle.
  2. Uhkamallinnus luodaan yhdessä tarkastajan kanssa.
  3. Tarkastaja luo testaussuunnitelman.
  4. Traficom hyväksyy uhkamallinnuksen ja testaussuunnitelman.
  5. Tarkastaja suorittaa testauksen yhteistyössä yrityksen kanssa.
  6. Tarkastaja toimittaa Traficomille vaatimuksenmukaisuuslomakkeen ja testausraportin.
  7. Traficom arvioi testauksen sekä tulokset.
  8. Siirrytään hakuprosessin seuraaviin vaiheisiin.

Traficom tekee päätöksen merkin myöntämisestä.

Uhkamallin ja tarkastussuunnitelman laatiminen

Ennen tarkastukseen ryhtymistä tuotteesta laaditaan uhkamallinnus ja sen perusteella tarkastussuunnitelma, jotka lähetetään Kyberturvallisuuskeskukselle katselmoitavaksi. Kun Kyberturvallisuuskeskus on hyväksynyt suunnitelman, voidaan testaus käynnistää kohtuullisella varmuudella siitä, että suunnitelmaa noudattava testaus johtaa Tietoturvamerkin saamiseen vaatimusten täyttyessä.

Tietoturvatarkastus

Tarkastaja tekee tarkastuksen suunnitelman mukaisesti. Tuloksena syntyvä tarkastusraportti ja vaatimustenmukaisuuslomake toimitetaan Kyberturvallisuuskeskukselle katselmoitaviksi.

Tietoturvamerkin myöntäminen

Dokumenttien toimittamisen jälkeen järjestään tarkastuksen läpikäyntitilaisuus. Jos tarkastus läpäisee katselmoinnin ja kaikki tarvittavat dokumentit ja tiedot on toimitettu oikein, Kyberturvallisuuskeskus myöntää Tietoturvamerkin.

Haluatko tarkastajaksi?

Vaatimukset ulkoisille tarkastajille voidaan jakaa hallinnollisiin ja teknisiin. Tarkastajille asetettavilla vaatimuksilla varmistetaan riittävä kyvykkyys ja osaaminen tietoturvatarkastuksissa ja siten Tietoturvamerkin vaatimusten täyttymisen arvioimisessa.

Kysy lisää Traficomin Kyberturvallisuuskeskuksesta tai lähetä sähköpostia osoitteeseen tietoturvamerkki@traficom.fi.

Hallinnolliset vaatimukset

Tarkastajan on osoitettava osaamisensa ja yleistietämyksensä tarkastusten tekemiseen liittyvistä hallinnollisista kysymyksistä ja vaatimuksista. Tarkastajan on myös ymmärrettävä tarkastusten tavoitetaso ja sitouduttava siihen.

Tarkastajan täytyy olla poliittisesti, taloudellisesti ja hallinnollisesti riippumaton tarkastuksen toimeksiantajasta tai tarkastettavan tuotteen/palvelun valmistajasta. Lisäksi tarkastajan tulee osoittaa vähintään kaksi henkilöä, joilla on tarvittava sekä hallinnollinen että tekninen osaaminen Tietoturvamerkin testaukseen.

Tekniset vaatimukset

Tarkastajan tulee osoittaa kokemuksensa ja kyvykkyytensä tietoturvatarkastusten suunnittelussa ja tekemisessä. Mahdollisia tapoja tähän ovat referenssien nimeäminen tehdyistä Tietoturvamerkin tarkastusten kannalta olennaisista teknisistä tietoturvatestauksista.

Päivitetty