Takaisin palveluihin

Nixu Certification Oy

Tietoturvallisuuden arviointilaitos

Nixu Certification Oy on Nixu Oyj:n itsenäinen tytäryhtiö, joka toimii Traficomin hyväksymänä virallisena tietoturvallisuuden arviointilaitoksena. Nixu Certification Oy on FINAS-akkreditointipalvelun akkreditoima sertifiointiorganisaatio S047, akkreditointivaatimus SFS-EN ISO/IEC 17021-1:2015 (ISO/IEC 27006:2015 AMD 2020).

Nixu Certification Oy:n palveluihin kuuluvat viralliset turvallisuusarvioinnit: Valtiohallinnon tietoturvallisuuden johtoryhmän VAHTI-ohjeistus (tietoturva-asetuksen mukaisen vaatimuksen todentaminen), Katakri 2020 ja Kanta-tietojärjestelmäauditoinnit. Pätevyysalueemme kattaa turvallisuusluokkien IV ja III mukaiset viralliset arvioinnit.

Nixu Certification Oy tarjoaa myös vahvan tunnistuspalvelun tarjoajille lain ja eIDAS-asetuksen edellyttämää vaatimustenmukaisuuden arviointia

Lisäksi tarjoamme akkreditoituna toimijana ISO/IEC 27001 -standardiin perustuvien tietoturvallisuuden hallintajärjestelmien sertifiointeja. Voimme myös arvioida organisaation toimintaa esim. ISO/IEC 27017 (pilvipalvelut) ja ISO/IEC 27018 (henkilötieto) vasten.

Nixu Certification Oy tarjoaa ainoana suomalaisena toimijana CSA STAR -auditointeja. CSA STAR on pilvipalvelutarjoajille kehitetty sertifiointi, joka perustuu Cloud Security Alliancen kehittämään Cloud Controls Matrixiin.

Yhdessä emoyhtiö Nixun kanssa tarjoamme myös PCI DSS, PCI PA-DSS, PCI 3DS  ja Mirrorlink -auditoinnit. Auditointitarjontamme on tietoturvapuolella Suomen kattavin.


Kyvykkyys

Nixu Certification Oy:n toiminta on viranomaisvalvonnan alaista. Täytämme tiukat vaatimukset toimitilojen, asiakastietojen käsittelyn, osaamisen ja menetelmien osalta. Toimintamme on arvioitu ISO/IEC 17021, ISO/IEC 27006 ja Katakri 2020 (turvallisuusluokka II) vasten.


Riippumattomuus

Arviointilaitoksen keskeisiä periaatteita on toiminnan riippumattomuus. Nixu Certification Oy:n johto ja tarkastajat ovat sitoutuneet noudattamaan alla olevia periaatteita. Lisäksi Nixu Oyj sitoutuu olemaan vaikuttamatta Nixu Certification Oy:n tarkastuksiin sekä niihin liittyviin prosesseihin.

  • Nixu Certification on kaikissa toimissaan riippumaton ja puolueeton. Perustamme arviomme ainoastaan johdonmukaiseen ja läpinäkyvään tarkastusprosessiin sekä tarkastajiemme pätevyyteen ja ammattitaitoon.
  • Arviointitulos perustuu ainoastaan siihen, miten arvioitava organisaatio täyttää arviointikriteerit.
  • Arvioimme jokaisen toimeksiannon kohdalla riskit riippumattomuuden suhteen ja toimimme sellaisten riskien minimoimiseksi.
  • Riippumattomuutemme valvomiseksi asetamme erityisen riippumattomuuskomitean, joka tarkastaa toimintaamme vuosittain. 
  • Arviointilaitos ei sertifioi eikä tarkasta tahoja, jotka aiheuttavat hallitsemattoman riskin riippumattomuudelle.
  • Arviointilaitos ei sertifioi eikä tarkasta muita arviointilaitoksia.
  • Arviointilaitos ei suorita sisäisiä tarkastuksia sertifioiduille asiakkaille. 
  • Nixu Oyj:n ja Nixu Certification Oy:n palveluita ei liitetä yhteen esimerkiksi markkinoinnissa.


Auditointiprosessi

Auditointiprosessi noudattaa ISO 17021 ja ISO 27006 -standardeissa määriteltyä toimintatapaa ISO 27001 -auditointien osalta ja sitä noudatetaan soveltuvin osin myös VAHTI ja Katakri -auditoinneissa.

Alla on kuvattu sertifioinnin elinkaari yleisellä tasolla:

Sertifioinnin elinkaari

 

 

 

 

 

 

 

 

 

 


Varsinainen sertifiointiauditointi suoritetaan kaksivaiheisesti seuraavasti:

Vaihe 1 Dokumentaatio ja haastattelut

0. Auditointiryhmän muodostaminen
1. Aloituskokous ja sertifioinnin laajuuden määrittäminen
2. Dokumentaation läpikäyminen
3. Henkilöstön haastatteleminen
4. Muiden sertifiointiin vaikuttavien asioiden selvittäminen
5. Toisen vaiheen suunnittelu
6. (1. vaiheessa tunnistettujen ongelmien ratkaiseminen)

Vaihe 2 Todentaminen

7. Prosessien ja toiminnan todentaminen kriteereitä vasten
8. Toiminnan todentaminen tavoitteiden kautta
9. (2. vaiheessa tunnistettujen ongelmien ratkaiseminen)

Sertifiointi

10. Sertifiointipäätöksen valmistelu
11. Sertifiointipäätöksen tekeminen
12. Sertifioinnin seuraaminen 
 

Sertifiointiprosessi 

Hyväksytyn auditoinnin jälkeen Nixu Certification Oy voi myöntää asiakkaalle sertifikaatin. Pääauditoija tekee esityksen siitä, voidaanko sertifikaatti myöntää. Sertifiointipäätöksen (myönteisen tai kielteisen) tekee Nixu Certification Oy:n toimitusjohtaja tai hänen sijaisensa. Uusintasertifiointi suoritetaan ennen sertifikaatin voimassaolon umpeutumista. Sertifikaatin voimassaolo edellyttää myös säännöllisiä seuranta-auditointeja.

Mikäli sertifioinnin edellytykset eivät enää ole voimassa, voidaan sertifikaatti pidättää määräajaksi tai peruuttaa kokonaan. Sertifikaatti voidaan palauttaa, kun edellytykset ovat taas voimassa. Sertifikaatin laajuutta voidaan myös supistaa.
 

Oikeus kieltäytyä sertifioimasta

Nixu Certification Oy:llä, kuten muillakin sertifiointielimillä, on oikeus olla sertifioimatta (engl. refuse), vaikka sertifioinnin edellytykset sinällään täyttyisivät. Tämä on poikkeuksellista ja tulee kyseeseen lähinnä tilanteissa, joissa sertifiointia hakevan toimialan toiminnan eettisyys tai muu ilmeinen syy katsotaan niin painavaksi, että sertifioinnista pidättäydytään. Ilmoitamme sertifiointia hakevalle mahdollisimman varhain, mikäli tulemme käyttämään oikeuttamme olla sertifioimatta ja perustelemme päätöksemme.


Sertifikaattiin viittaamisen säännöt

Sertifiointiin viittaamisessa suositellaan käytettäväksi Nixu Certification Oy:n toimittamaa sertifiointitunnusta. Tarvittaessa sertifiointiin voi myös viitata kirjallisessa muodossa. Viittauksessa tulee aina käydä ilmi sertifioinnin saaneen tahon nimi, sertifioija, sertifiointivaatimus sekä kuvaus siitä mitä on sertifioitu.

Sertifiointiin voi viitata, mikäli sertifikaatti on voimassa ja sertifioitu taho täyttää sertifiointivaatimukset. Sertifiointiin ei saa viitata ennen sertifiointipäätöksen antamista eikä viittaaminen saa olla harhaanjohtavaa. Sertifioitu taho on aina itse vastuussa viittaamisesta ja sen tulee noudattaa Nixu Certification Oy:n sääntöjä.

Sertifiointiin saa viitata vain sen toiminnan osalta, joka on sertifioitu. Mikäli organisaation koko toiminta ei ole sertifioitu, tulee selkeästi kertoa mikä osuus on sertifioitu, mikäli sertifiointiin viitataan. Mikäli sertifioitu osuus muuttuu, tulee organisaation vastaavasti päivittää kaikki viittaukset sertifiointiin vastaamaan muuttunutta tilannetta.


Palaute, valitukset ja oikaisuvaatimukset

Nixu Certification Oy pyrkii kaikessa toiminnassaan toimimaan ammattimaisesti ja oikeudenmukaisesti. Mikäli Nixu Certification Oy:n asiakas tai muu taho kokee, että toiminnassamme on huomautettavaa, voi se tehdä valituksen tai oikaisuvaatimuksen, joka käsitellään alla olevan kuvan mukaisesti. Lisäksi otamme mielellämme vastaan vapaamuotoista palautetta toiminnastamme. Mikäli haluat antaa palautetta, tehdä valituksen tai oikaisuvaatimuksen, ole yhteydessä: Valtteri Peltomäki, valtteri.peltomaeki@dnv.com tarkempien ohjeiden saamiseksi.

Valitukset ja oikaisuvaatimukset käsittelee aina toimitusjohtaja sekä hänen nimeämä komitea.

Oikaisuvaatimusprosessi:

Oikaisuvaatimusprosessi

 

 

 

 

 

 

 

 

 

 

 

Palvelut

ISO 27001

Teemme ISO 27001 -sertifiointiauditointeja. ISO 27001 -sertifiointi sopii kaikille tietoturvaan panostaville organisaatiolle ja erityisesti niille, jotka haluavat osoittaa ulkopuoliselle taholle toimivansa hyvien tietoturvakäytäntöjen mukaisesti. ISO 27001 keskittyy tietoturvan johtamisjärjestelmään. Tarjoamme mahdollisuutta yhdistää samaan tarkastukseen myös muita viitekehyksiä kuten CSA STARia, VAHTIa, Katakria ja PCI:tä. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima ISO 27001 -tarkastaja.

Lue lisää

CSA STAR

Cloud Security Alliancen kehittämä Cloud Controls Matrix (CCM) on pilvipalvelujen tarjoajille suunnattu vaatimuskriteeristö. Keskeisimpänä periaatteena on tarjota pilvipalvelujen käyttäjille läpinäkyvyys ja varmuus pilvipalveluntarjoajien turvallisuuteen. CSA STAR -sertifiointi toteutetaan ISO 27001 -sertifioinnin jälkeen. Olemme kehittäneet yhdessä CSA:n kanssa jatkuvan auditoinnin konspetia pilvipalveluille (EU-SEC-projekti). Nixu Certification on CSA:n hyväksymä tarkastaja.

Lue lisää: https://www.sec-cert.eu

ISO/IEC 27701-tietosuojasertifiointitarkastukset

Teemme ISO 27701 -tietosuojasertifiointitarkastuksia. ISO 27701 sopii kaikille tietosuojaan panostaville organisaatioille ja erityisesti niille, jotka haluavat osoittaa ulkopuoliselle taholle toimivansa hyvien tietosuojakäytäntöjen mukaisesti. ISO 27701 on laajennus ISO 27001 -standardille. Nixu Certification hakee akkreditointia ISO 27701-tarkastuksille, kun se tulee mahdolliseksi. 

Lue lisää

ISO/IEC 27017 ja ISO/IEC 27018

Pilvipalvelujen parhaita käytäntöjä kuvataan myös ISO-standardeissa 27017 ja 27018. Virallisesti näitä standardeja vasten ei voi sertifioitua, mutta yhdessä ISO 27001 -sertifioinnin kanssa Nixu Certification Oy voi antaa asiakkaalle lausunnon myös näiden kontrollien täyttymisestä.

KATAKRI 2015 JA VAHTI

Katakri on turvallisuusauditointikriteeristö, jota voidaan käyttää arvioitaessa organisaation kykyä suojata viranomaisten salassa pidettävää tietoa. Katakria käytetään tarkastustyökaluna myös yritysturvallisuusselvityksiä tehtäessä. Katakriin kuuluu kolme osa-aluetta:

 

T: Turvallisuusjohtaminen 
F: Fyysinen turvallisuus
I: Tekninen tietoturvallisuus

Virallinen Katakri-hyväksyntä edellyttää kaikkien osa-alueiden arviointia, mutta osittaisesta arvioinnista voi saada erillisen lausunnon arviointilaitokselta. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima Katakri 2015 -tarkastaja suojaustasoille STIV ja STIII.
 

Valtiovarainministeriön VAHTI-toiminta sisältää useita ohjeita tietoturvallisuuden kehittämiseen ja arviointiin valtionhallinnossa. Ohjeita voi hyödyntää kaikenlaisissa organisaatioissa ja ohjeet kattavat mm. fyysisen turvallisuuden, päätelaitteet, varautumisen ja sovelluskehityksen. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima VAHTI-tarkastaja suojaustasolle STIV.

PiTuKri

PiTuKri on pilvipalveluiden turvallisuuden arviointikriteeristö, joka on ensisijaisesti tarkoitettu viranomaiskäyttöön, mutta soveltuu kaikkien niiden organisaatioiden käyttöön, jotka hyödyntävät toiminnassaan pilvlpalveluita. Nixu Certification tarjoaa pilvipalveluiden arviointeja ja tulee hakeutumaan akkreditoiduksi PiTuKri-auditoijaksi, kun se tulee mahdolliseksi.

Microsoft SSPA

Toimimme Microsoftin akkreditoimana tietoturva- ja tietosuojavaatimusten tarkastajana. 

Microsoft on määrittänyt tietoturva-ja tietosuojavaatimukset toimittajilleen, yhteistyökumppaneilleen ja alihankkijoilleen, joilla on hallussaan Microsoftin luottamuksellista tietoa tai henkilötietoja (Supplier Security and Privacy Assurance Program, eli SSPA-ohjelma). Toteutamme Microsoftin puolesta toimittajien ja alihankkijoiden toiminnan tarkastuksen SSPA-vaatimuksia vasten.

Kanta

Kanta on terveydenhuollon keskitetty tietojärjestelmä, jonne tallennetaan kansalaisten terveystietoa. Kanta-palveluihin liittyvien järjestelmien ja välityspalveluiden tulee läpäistä tietoturvallisuuden auditointi. Nixu Certification voi arviointilaitoksen ominaisuudessa suorittaa virallisen auditoinnin.

Tunnistus- ja luottamuspalveluiden vaatimuksenmukaisuuden arviointi

Toteutamme tunnistus- ja luottamuspalveluiden vaatimuksenmukaisuuden arviointeja. Vuonna 2016 voimaan astunut lakimuutos velvoittaa vahvaa sähköistä tunnistamista sekä allekirjoitusta tuottavat palveluntarjoajat suorittamaan vaatimustenmukaisuuden arvioinnin ja toimittamaan arvioinnin tulokset Traficomille. Palveluntarjoajiksi katsotaan sekä tunnistusvälineen, tunnistuspalvelun sekä tunnistusvälityspalvelun tarjoajat. Vaatimukset pohjautuvat suurilta osin EU:n eIDAS-asetukseen ja laajalti käytettyihin standardeihin, kuten ISO 27001-standardiin. Auditointi tulee tehdä kahden vuoden välein.

Tuotesertifioinnit

Johtamisjärjestelmä- ja tietojärjestelmäauditointien lisäksi tarjoamme tietoturvallisuuden tuotesertifiointeja. Käytettävä viitekehys valitaan yhdessä asiakkaan kanssa ja voimme toimia yhteistyössä viranomaisten kanssa. 

Blogeja

Why certify and what is ISO 27001?

ISO 27001 has become the de facto standard for Information Security Management System certifications. Most other security standards are based on or refer to ISO 27001 at least to some degree. We also see a trend that regulators are keen to use ISO 27001 as a baseline for security instead of inventing yet another new standard for industry actors to follow.

Toukokuu 30, 2017 at 10:30

PCI DSS -standardista versio 3.2 – mikä on muuttunut?

Tässä kirjoituksessa kuvataan 28. huhtikuuta julkaistun PCI DSS 3.2 -standardin keskeisimmät muutokset sekä niiden vaikutukset maksukorttitietoa käsitteleville toimijoille.

Muutokset voidaan jakaa kahteen kategoriaan: kaikkia toimijoita koskeviin muutoksiin ja vain palveluntarjoajille kohdistettuihin.

1) Kaikkia toimijoita koskevat muutokset

Toukokuu 2, 2016 at 10:53

Just arrived: The ISO privacy standard

One of the newest standards in the ISO 27k series is ISO 27701, which addresses security techniques for privacy information management. ISO 27701 offers a certification opportunity that cannot be missed for organisations that already align with ISO 27001 and have completed a GDPR (General Data Protection Regulation) compliance project.
Tuisku Sarrala
Lokakuu 23, 2019 at 09:30