ISO 27001 on rahvusvaheline standard infoturbe juhtimiseks. ISO pakub raamistiku teabe haldamiseks ning aitab organisatsioonidel tuvastada ja hallata sellega seonduvaid riske. Standard m盲盲ratleb s眉steemse l盲henemise kuidas luua, rakendada, s盲ilitada ja pidevalt parandada infoturbe juhtimist organisatsioonis.

ISO 27001 sertifitseerimine on kasulik organisatsioonidele, kellel on vaja hallata ja kaitsta erinevat t眉眉pi teavet ning nende tegevus on seotud teabeturbega nt finantssektor, tervishoid, IT jm. Lisaks on see vajalik organisatsioonidele, kelle koost枚枚 riigi, era- v玫i kolmanda sektori organisatsioonidega s玫ltub teabeturbe standartide efektiivsest j盲rgimisest.

Organisatsioonid saavad ISO 27001-le sertifitseerida, mis n盲itab klientidele ja teistele osapooltele, et nad v玫tavad informatsiooniturvet t玫siselt ja on rakendanud sobivaid kontrolle teabe kaitsmiseks.

ISO 27001 standardi eelised

ISO 27001 standardi rakendamine organisatsioonis on kasulik mitmel viisil:

  • See aitab organisatsioonidel tuvastada ja hallata teabe turvariske, mis v玫ivad tekkida nii sisemistest kui ka v盲listest allikatest.
  • See pakub raamistiku, et luua ja rakendada teabe turbega seotud poliitikaid, protseduure ja tehnilisi meetmeid.
  • See aitab organisatsioonidel planeerida ja ette valmistada 玫nnetuste juhtimiseks ning 盲ritegevuse j盲tkusuutlikkuseks.
  • See aitab organisatsioonidel luua t玫husa infos眉steemide halduse s眉steemi (ISMS), mis h玫lmab teabe kogumist, haldamist, kaitsmist, s盲ilitamist ja h盲vitamist.
  • Sertifitseerimine ISO 27001 standardi vastu n盲itab organisatsiooni klientidele, partneritele, t枚枚tajatele ja teistele osapooltele, et tegeleb teabe turbega t玫siselt ja on rakendanud sobivad kontrollid teabe kaitsmiseks.

Infoturbe halduse s眉steemi (ISMS) vajadus ja kohustus Eestis

L盲htuvalt K眉berturvalisuse seaduse (K眉TS) 2022. aasta redaktsioonist, tekib paljudel organisatsioonidel kohustus korrastada ja viia oma infoturbe haldus vastavusse seadusega juurutades infoturbe halduse s眉steem (ISMS) nagu n盲iteks ISO 27001.

ISMS-i juurutamiseks annab K眉TS teatud avaliku-, era- ja kolmanda sektori organisatsioonidele, kellel on seadusest tulenev kohustus (nt elut盲htsate teenuste osutajad, oluliste teenuste osutajad) konkreetse t盲htaja ning v玫imaluse valida kahe valiku vahel:

  • Luua ning v玫tta kasutusele ISMS, mis oleks vastavuses Eesti Infoturbe Standardiga (E-ITS), mis alates 2023. aastast asendab varasemalt Eestis kasutusel olnud ISKE etalonturbe s眉steemi.
  • Luua ning v玫tta kasutusele rahvusvaheliselt tunnustatud ISO/IEC 27001 standardile vastav ISMS ning saavutada ja hoida standardile vastavuse sertifikaati.

Miks valida ISO 27001 sertifitseerimine

ISO 27001 sertifikaat on laialt tunnustatud nii Euroopas kui ka mujal maailmas. Organisatsiooni infoturbe halduse s眉steemi ISO 27001 standardi kohaselt sertifitseerimine ja sertifikaadi hoidmine on t玫hus viis n盲idata organisatsiooni koost枚枚partneritele ning Eesti ametlikule kontrollasutusele (RIA), et organisatsiooni poolt t枚枚deldavate andmete konfidentsiaalsus, terviklus ja k盲ideldavus on tagatud vastavuses ISO standardiga ning valdkonna parimate praktikatega.

乐鱼(Leyu)体育官网 ISO 27001 konsultatsioon ja auditeerimine

乐鱼(Leyu)体育官网 saab olla abiks standardi rakendamise n玫ustamise, auditeerimise ja sertifitseerimisega. 乐鱼(Leyu)体育官网 v盲ljastab Eestis ISO 27001 sertifikaati koos kohustuslike j盲relevalveaudititega vastavalt ISO standardi n玫uetele, mis tagab organisatsiooni ISMS-i j盲tkuva vastavuse ISO standardiga ning aitab s盲ilitada sertifikaadi.

ISO sertifitseerimisprotsess

狈玫耻蝉迟补尘颈苍别

ISO 27001 n玫ustamine algab organisatsiooni infoturbe lahknevusanal眉眉siga (ingl gap analysis). Anal眉眉si tulemusena tuvastatud puuduste osas anname soovitused meetmete rakendamiseks, mis v玫imaldavad efektiivselt viia organisatsiooni infoturbeprotsessi(d) vastavusse standardiga. Koost枚枚s kliendiga koostame detailse tegevuskava vastavuse saavutamiseks, vajadusel saab 乐鱼(Leyu)体育官网 osutada abi tegevuskava elluviimiseks (vt ka 乐鱼(Leyu)体育官网 IT riskihindamise teenus).

Eelaudit

Sertifitseerimise potsess algab eelauditiga, mille eesm盲rk on hinnata organisatsiooni poolt kasutusele v玫etud ISMS-i ja valmidust edukalt l盲bida sertifitseerimisaudit. Peale eelauditit on organisatsioonil 6 kuud aega, et eemaldada tuvastatud puudused ja mittevastavused ning alustada sertifitseerimisauditiga. Juhul, kui kuue kuu m枚枚dumisel organisatsioon ei ole valmis sertifitseerimisauditiks, eelauditi k盲igus tuvastatud puudused ei ole lahendatud, tuleb eelaudit uuesti l盲bi viia.

Sertifitseerimisaudit ja j盲relevalveaudit

Sertifitseerimine j盲rgib kolmeaastast ts眉klit ning koosneb sertifitseerimisauditist ning kahest j盲relevalveauditist (ingl surveillance audit), mis tuleb l盲bi viia sertifikaadi v盲ljastamisest j盲rgneva kahe aasta jooksul. Kui organisatsioon soovib edaspidi oma sertifikaati s盲ilitada peale kolmanda aasta l玫ppu, tuleb l盲bi viia resertifitseerimine, mis eeldab auditi edukat l盲bimist ning seej盲rel algab uus kolmeaastane sertifitseerimists眉kkel.

ISAE SOC2 ja ISO 27001

ISO 27001 standardi n玫uete alusel sertifitseerimine haakub h盲sti ka ISAE  atesteerimisega (loe lisa 乐鱼(Leyu)体育官网 SOC2 teenuse lehelt). 乐鱼(Leyu)体育官网-l on turul ainulaadne positsioon, kuna saame pakkuda ISAE 3000 standardi osas kindlustandvat t枚枚d infoturbevaldkonnas (SOC2 raport) ning infoturbe halduse s眉steemi sertifitseerimise teenust vastavalt ISO 27001 standardile. Kahe standardi samaaegne sertifitseerimine hoiab kokku aega ja kulusid ning aitab saavutada sertifikaadid ja tuntud infoturbevaldkonna standardid nii Euroopa kui ka USA turul.

V玫ta meiega 眉hendust!

Taavi toppi blog posts
Taavi Toppi
K眉berturvalisuse ekspert / IT audiitor
乐鱼(Leyu)体育官网 Baltics O脺
Profiil |
乐鱼(Leyu)体育官网 blog posts
Ivar Anton
K眉berturvalisuse ekspert / IT - audiitor
乐鱼(Leyu)体育官网 Baltics O脺
Profiil | | Phone