ISO/IEC 27001

Aitame üles ehitada ja juurutada ISO/IEC 27001:2022 nõuetele vastava infoturbe haldussüsteemi (ISMS) — alates hetkeolukorra kaardistamisest kuni sertifitseerimisauditi läbimiseni. Lähtume teie suurusest ja võimalustest ning kasutame võimalikult palju juba olemasolevaid lahendusi, et vältida liigset halduskoormust.

Miks ISO 27001 rakendada?

Rakendamise vajadus tuleneb mitmest põhjusest. Sageli soovitakse tõsta usaldusväärsust ja näidata partneritele pühendumust oma toodete ja teenuste IT-turvalisusele. Teinekord nõuab sertifikaati partner või klient, seab selle tingimuseks seadusandlus või on regulaator kujundanud nõuded selliseks, et standardi rakendamine on kõige mõistlikum viis neid täita.

Tüüpilised ajendid:

• Soov tõsta usaldusväärsust ja näidata partneritele pühendumust infoturbele
• Partneri või kliendi nõue — näiteks hankes või lepingus
• Seadusandlusest või regulaatorist tulenev nõue, sh NIS2 ja küberturvalisuse seadus
• Soov saada infoturve korda ja juhitavaks — ka ilma kohese sertifitseerimiseta

Mida ISMS hõlmab

Juhtimissüsteemi nõuded (ptk 4–10) — organisatsiooni kontekst, juhtkonna roll, planeerimine, ressursid, käitamine, tulemuslikkuse hindamine ja pidev parendamine.

Annex A kontrollid (2022) — 93 kontrolli, 4 teemat:

• Organisatsioonilised (37) — poliitikad, rollid, varade ja juurdepääsu haldus, tarnijasuhted, intsidendi- ja talitluspidevuse haldus
• Inimestega seotud (8) — personaliturve, teadlikkus, vastutus
• Füüsilised (14) — ruumide ja seadmete turve
• Tehnoloogilised (34) — juurdepääsukontroll, krüptograafia, võrgu- ja arendusturve, logimine ja seire

Mida saate tellida

Saate tellida kogu teekonna tervikuna või vaid üksikud osad — sõltuvalt teie organisatsiooni küpsusest ja vajadustest:

• Dokumenteeritud ja toimiv ISMS
• Riskihinnang ja riskide käsitlemise plaan
• Rakendatavuse deklaratsioon (SoA)
• Juurutamise teekaart ja koolitused
• Valmidus sertifitseerimisauditiks

Seos NIS2-ga

ISO/IEC 27001 loob tugeva ja tunnustatud aluse NIS2 direktiivi ning küberturvalisuse seaduse nõuete täitmiseks — suur osa nõutavatest meetmetest on standardiga juba kaetud.

ISO/IEC 27001 nõuab regulaarset siseauditit (klausel 9.2), et hinnata, kas infoturbe haldussüsteem vastab nii standardi kui ka organisatsiooni enda nõuetele ning toimib tõhusalt. Pakume sõltumatut ja erapooletut siseauditit — kas ühekordselt või jätkuva teenusena.

Miks tellida siseaudit väljast

• Sõltumatus — audiitor ei hinda enda tehtud tööd, mis tagab erapooletuse
• Kogemus — praktiline vaade paljudest organisatsioonidest ja sektoritest
• Värske pilk — kõrvaltvaataja märkab kitsaskohti, mis seestpoolt tähelepanuta jäävad
• Ressursisääst — pole vaja hoida ja koolitada sisemist auditikompetentsi
• Sobib hästi ka väiksematele organisatsioonidele, kus huvide konflikti vältimine on keeruline

Kuidas siseaudit käib

• Auditi ulatuse ja plaani kokkuleppimine
• Dokumentatsiooni ja tõendite läbivaatamine
• Intervjuud ja kohapealne hindamine
• Mittevastavuste ja parenduskohtade tuvastamine
• Auditiaruanne ja soovitused

Mida saate tulemuseks

• Auditiaruanne tuvastatud mittevastavuste ja tähelepanekutega
• Parendussoovitused prioriteetide kaupa
• Valmidus sertifitseerimis- või järelevalveauditiks
• Jätkuva teenuse puhul regulaarne auditiprogramm