Sertifioinnin uusimisen prosessi
Milloin sertifiointi on uusittava
Sertifiointi on uusittava, kun aiemman tietoturvallisuustodistuksen tai vaatimuksenmukaisuustodistuksen voimassaolo päättyy. Sertifiointi voidaan joutua uusimaan myös silloin, jos tietojärjestelmään tehdään merkittäviä muutoksia tai jos tietojärjestelmään kohdistuvat vaatimukset muuttuvat merkittävästi.
Jos järjestelmään tehdään merkittäviä muutoksia tai vaatimukset muuttuvat merkittävästi tietoturvallisuustodistuksen voimassa ollessa, voi tulla kyseeseen muutosauditointi.
Tietojärjestelmäpalvelun tuottajan pitää toimittaa Kelalle ajantasainen tieto siitä, mitkä Kanta-palveluihin liittyvistä yhteistestattavista vaatimuksista on toteutettu ja mihin määrittelyversioihin toteutukset perustuvat.
Aikataulu ja yhteistestaustarve
Tietojärjestelmätoimittajan pitää olla yhteydessä Kelaan ja tietoturvallisuuden arviointilaitokseen 6 kk ennen vaatimustenmukaisuuden vanhenemista (THL:n määräys 4/2021).
Kanta-palvelujen yhteistestaus selvittää järjestelmäkohtaisesti, mitä yhteistestauksia edellytetään sertifikaatin uusimiseksi. On myös mahdollista, että yhteistestausta ei tarvita ennen tietoturvallisuuden arviointiin etenemistä.
Tietoturvallisuuden arviointiin etenemisen edellytyksenä on, että tietojärjestelmän toteutus perustuu Kanta-palveluiden ajantasaisiin määrittelyihin.
Varmista sujuva yhteistestaus
Jotta sertifioinnin uusimisen prosessi etenee sujuvasti ja viivytyksettä, ilmoittaudu yhteistestaukseen viimeistään 2 kk ennen suunniteltua aloitusta.
Tietojärjestelmätoimittajan pitää huolehtia siitä, että yhteistestattavat toiminnallisuudet on testattu omassa järjestelmässä kattavasti. Tietojärjestelmätoimittajan vastuulla on myös täyttää huolellisesti THL:n järjestelmälomake (THL:n Määräys 5/2021, liite 4).
Sujuvan yhteistestauksen varmistamiseksi on myös tärkeää, että Kanta-yhteistestauksen testitapaustaulukot täytetään huolellisesti.
Tietoturvallisuuden arviointi
Tietoturvallisuuden arviointilaitos suorittaa tietoturvallisuuden arvioinnin ja antaa tietoturvallisuustodistuksen enintään kolmeksi vuodeksi.
Kun tietoturvallisuuden arviointi on valmistunut, lähetä Valviraan rekisteri-ilmoitus liitteineen. Tarkempaa ohjeistusta antaa Valvira.