Sertifioinnin uusiminen

Sertifioinnin uusiminen

Sertifioinnin uusiminen on tehtävä ennen kuin järjestelmän vaatimustenmukaisuus vanhenee ja järjestelmä on vanhenemisajan jälkeen edelleen tuotantokäytössä.

Sertifioinnin uusimisen prosessi

Milloin sertifiointi on uusittava

Sertifiointi on uusittava, kun aiemman tietoturvallisuustodistuksen tai vaatimuksenmukaisuustodistuksen voimassaolo päättyy. Sertifiointi voidaan joutua uusimaan myös silloin, jos tietojärjestelmään tehdään merkittäviä muutoksia tai jos tietojärjestelmään kohdistuvat vaatimukset muuttuvat merkittävästi. 

Jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi tietoturvallisuustodistuksen voimassa ollessa, voi tulla kyseeseen muutosauditointi. 

Tietojärjestelmäpalvelun tuottajan pitää toimittaa Kelalle ajantasainen tieto siitä, mitkä Kanta-palveluihin liittyvistä yhteistestattavista vaatimuksista on toteutettu ja mihin määrittelyversioihin toteutukset perustuvat.

Aikataulu ja yhteistestaustarve

Tietojärjestelmätoimittajan pitää olla yhteydessä Kelaan ja tietoturvallisuuden arviointilaitokseen 6 kk ennen vaatimustenmukaisuuden vanhenemista (THL:n määräys 4/2021). 

Kanta-palvelujen yhteistestaus selvittää järjestelmäkohtaisesti, mitä yhteistestauksia edellytetään sertifikaatin uusimiseksi. On myös mahdollista, että yhteistestausta ei tarvita ennen tietoturvallisuuden arviointiin etenemistä. 

Tietoturvallisuuden arviointiin etenemisen edellytyksenä on, että tietojärjestelmän toteutus perustuu Kanta-palveluiden ajantasaisiin määrittelyihin.

Varmista sujuva yhteistestaus

Jotta sertifioinnin uusimisen prosessi etenee sujuvasti ja viivytyksettä, ilmoittaudu yhteistestaukseen viimeistään 2 kk ennen suunniteltua aloitusta.

Tietojärjestelmätoimittajan pitää huolehtia siitä, että yhteistestattavat toiminnallisuudet on testattu omassa järjestelmässä kattavasti. Tietojärjestelmätoimittajan vastuulla on myös täyttää huolellisesti THL:n järjestelmälomake (THL:n Määräys 5/2021, liite 4). 

Sujuvan yhteistestauksen varmistamiseksi on myös tärkeää, että Kanta-yhteistestauksen testitapaustaulukot täytetään huolellisesti.

Tietoturvallisuuden arviointi

Tietoturvallisuuden arviointilaitos suorittaa tietoturvallisuuden arvioinnin ja antaa tietoturvallisuustodistuksen enintään kolmeksi vuodeksi. 

Kun tietoturvallisuuden arviointi on valmistunut, lähetä Valviraan rekisteri-ilmoitus liitteineen. Tarkempaa ohjeistusta antaa Valvira.

Sertifioinnin uusimisen prosessi. Prosessi on selitetty myös leipätekstissä.
Sertifioinnin uusimisen prosessi. Klikkaa kuvasta pdf-tiedosto suuremmaksi.


 

Tukimateriaalia

Sivua päivitetty 22.2.2024