För att kunna få ett Cybersäkerhetsmärke ska en produkt eller tjänst genomgå en granskning utförd av en tredje part. Till granskningen hör undersökning av att produkten överensstämmer med de uppställda kraven och att revisorns resultat dokumenteras. Granskningen kan utföras av ett informationssäkerhetsföretag som Cybersäkerhetscentret har godkänt. Cybersäkerhetscentret vid Traficom beviljar det egentliga Cybersäkerhetsmärket.
Beskrivning av auditeringsprocessen
Ett företag inleder diskussioner med Traficom eller med en revisor.
- Företaget lämnar in en blankett för försäkran om överensstämmelse och den produkt som ska auditeras till revisorn.
- En hotmodell utfärdas tillsammans med revisorn.
- Revisorn utfärdar en testplan.
- Traficom godkänner hotmodellen och testplanen.
- Revisorn utför testningen i samarbete med företaget.
- Revisorn skickar Traficom en blankett för överensstämmelse med krav och testrapporten.
- Traficom utvärderar testet och resultaten.
- Följande skeden av ansökningsprocessen börjar.
Traficom fattar beslut om beviljande av märket.
Utfärdande av hotmodell och kontrollplan
Innan man inleder granskningen ska man utfärda en hotmodell för produkten samt en kontrollplan på basis av hotmodellen och de skickas till Cybersäkerhetscentret för inspektering. När Cybersäkerhetscentret har godkänt planen kan testet inledas med rimlig säkerhet om att testet som följer planen betyder att Cybersäkerhetsmärket beviljas då kraven är uppfyllda.
Granskning av säkerhet
Granskningen utförs av en revisor i enlighet med planen. Granskningsrapporten och blanketten för överensstämmelse med krav skickas till Cybersäkerhetscentret för inspektering.
Beviljande av Cybersäkerhetsmärket
Efter verket fått dokumenten arrangeras ett möte där granskningen betraktas närmare. Cybersäkerhetscentret beviljar Cybersäkerhetsmärket om granskningen godkänns vid inspekteringen och alla nödvändiga dokument och uppgifter har lämnats in på korrekt sätt.
Vill du bli en revisor?
Kraven för externa revisorer kan delas in i administrativa och tekniska krav. Kraven på revisorer säkerställer att de har en tillräcklig förmåga och tillräckliga kunskaper som behövs för granskningar av säkerhet och för bedömningen av om kraven för Cybersäkerhetsmärket uppfylls.
Fråga mer hos Cybersäkerhetscentret vid Traficom eller skicka e-post till tietoturvamerkki@traficom.fi.
Administrativa krav
Revisorn ska visa sina kunskaper och sin allmänna kännedom om de administrativa frågorna och svaren som hänför sig till granskningar. Revisorn ska också kunna förstå granskningarnas målnivå och förbinda sig till det.
Revisorn ska vara politiskt, ekonomiskt och administrativt oberoende från uppdragsgivaren eller tillverkaren av den produkt eller tjänst som granskas. Revisorn ska dessutom visa minst två personer som har de nödvändiga administrativa och tekniska kunskaperna för testning av Cybersäkerhetsmärket.
Tekniska krav
Revisorn ska kunna visa sin erfarenhet och förmåga vid planeringen och utförandet av granskningar av säkerhet. Möjliga metoder är att ge referenser om utförda tekniska informationssäkerhetstester som är väsentliga med tanke på granskningar av Cybersäkerhetsmärket.