ISO 27001 on rahvusvaheline standard infoturbe juhtimiseks. ISO pakub raamistiku teabe haldamiseks ning aitab organisatsioonidel tuvastada ja hallata sellega seonduvaid riske. Standard määratleb süsteemse lähenemise kuidas luua, rakendada, säilitada ja pidevalt parandada infoturbe juhtimist organisatsioonis.

ISO 27001 sertifitseerimine on kasulik organisatsioonidele, kellel on vaja hallata ja kaitsta erinevat tüüpi teavet ning nende tegevus on seotud teabeturbega nt finantssektor, tervishoid, IT jm. Lisaks on see vajalik organisatsioonidele, kelle koostöö riigi, era- või kolmanda sektori organisatsioonidega sõltub teabeturbe standartide efektiivsest järgimisest.

Organisatsioonid saavad ISO 27001-le sertifitseerida, mis näitab klientidele ja teistele osapooltele, et nad võtavad informatsiooniturvet tõsiselt ja on rakendanud sobivaid kontrolle teabe kaitsmiseks.

ISO 27001 standardi eelised

ISO 27001 standardi rakendamine organisatsioonis on kasulik mitmel viisil:

  • See aitab organisatsioonidel tuvastada ja hallata teabe turvariske, mis võivad tekkida nii sisemistest kui ka välistest allikatest.
  • See pakub raamistiku, et luua ja rakendada teabe turbega seotud poliitikaid, protseduure ja tehnilisi meetmeid.
  • See aitab organisatsioonidel planeerida ja ette valmistada õnnetuste juhtimiseks ning äritegevuse jätkusuutlikkuseks.
  • See aitab organisatsioonidel luua tõhusa infosüsteemide halduse süsteemi (ISMS), mis hõlmab teabe kogumist, haldamist, kaitsmist, säilitamist ja hävitamist.
  • Sertifitseerimine ISO 27001 standardi vastu näitab organisatsiooni klientidele, partneritele, töötajatele ja teistele osapooltele, et tegeleb teabe turbega tõsiselt ja on rakendanud sobivad kontrollid teabe kaitsmiseks.

Infoturbe halduse süsteemi (ISMS) vajadus ja kohustus Eestis

Lähtuvalt Küberturvalisuse seaduse (KüTS) 2022. aasta redaktsioonist, tekib paljudel organisatsioonidel kohustus korrastada ja viia oma infoturbe haldus vastavusse seadusega juurutades infoturbe halduse süsteem (ISMS) nagu näiteks ISO 27001.

ISMS-i juurutamiseks annab KüTS teatud avaliku-, era- ja kolmanda sektori organisatsioonidele, kellel on seadusest tulenev kohustus (nt elutähtsate teenuste osutajad, oluliste teenuste osutajad) konkreetse tähtaja ning võimaluse valida kahe valiku vahel:

  • Luua ning võtta kasutusele ISMS, mis oleks vastavuses Eesti Infoturbe Standardiga (E-ITS), mis alates 2023. aastast asendab varasemalt Eestis kasutusel olnud ISKE etalonturbe süsteemi.
  • Luua ning võtta kasutusele rahvusvaheliselt tunnustatud ISO/IEC 27001 standardile vastav ISMS ning saavutada ja hoida standardile vastavuse sertifikaati.

Miks valida ISO 27001 sertifitseerimine

ISO 27001 sertifikaat on laialt tunnustatud nii Euroopas kui ka mujal maailmas. Organisatsiooni infoturbe halduse süsteemi ISO 27001 standardi kohaselt sertifitseerimine ja sertifikaadi hoidmine on tõhus viis näidata organisatsiooni koostööpartneritele ning Eesti ametlikule kontrollasutusele (RIA), et organisatsiooni poolt töödeldavate andmete konfidentsiaalsus, terviklus ja käideldavus on tagatud vastavuses ISO standardiga ning valdkonna parimate praktikatega.

KPMG ISO 27001 konsultatsioon ja auditeerimine

KPMG saab olla abiks standardi rakendamise nõustamise, auditeerimise ja sertifitseerimisega. KPMG väljastab Eestis ISO 27001 sertifikaati koos kohustuslike järelevalveaudititega vastavalt ISO standardi nõuetele, mis tagab organisatsiooni ISMS-i jätkuva vastavuse ISO standardiga ning aitab säilitada sertifikaadi.

ISO sertifitseerimisprotsess

Nõustamine

ISO 27001 nõustamine algab organisatsiooni infoturbe lahknevusanalüüsiga (ingl gap analysis). Analüüsi tulemusena tuvastatud puuduste osas anname soovitused meetmete rakendamiseks, mis võimaldavad efektiivselt viia organisatsiooni infoturbeprotsessi(d) vastavusse standardiga. Koostöös kliendiga koostame detailse tegevuskava vastavuse saavutamiseks, vajadusel saab KPMG osutada abi tegevuskava elluviimiseks (vt ka KPMG IT riskihindamise teenus).

Eelaudit

Sertifitseerimise potsess algab eelauditiga, mille eesmärk on hinnata organisatsiooni poolt kasutusele võetud ISMS-i ja valmidust edukalt läbida sertifitseerimisaudit. Peale eelauditit on organisatsioonil 6 kuud aega, et eemaldada tuvastatud puudused ja mittevastavused ning alustada sertifitseerimisauditiga. Juhul, kui kuue kuu möödumisel organisatsioon ei ole valmis sertifitseerimisauditiks, eelauditi käigus tuvastatud puudused ei ole lahendatud, tuleb eelaudit uuesti läbi viia.

Sertifitseerimisaudit ja järelevalveaudit

Sertifitseerimine järgib kolmeaastast tsüklit ning koosneb sertifitseerimisauditist ning kahest järelevalveauditist (ingl surveillance audit), mis tuleb läbi viia sertifikaadi väljastamisest järgneva kahe aasta jooksul. Kui organisatsioon soovib edaspidi oma sertifikaati säilitada peale kolmanda aasta lõppu, tuleb läbi viia resertifitseerimine, mis eeldab auditi edukat läbimist ning seejärel algab uus kolmeaastane sertifitseerimistsükkel.

ISAE SOC2 ja ISO 27001

ISO 27001 standardi nõuete alusel sertifitseerimine haakub hästi ka ISAE  atesteerimisega (loe lisa KPMG SOC2 teenuse lehelt). KPMG-l on turul ainulaadne positsioon, kuna saame pakkuda ISAE 3000 standardi osas kindlustandvat tööd infoturbevaldkonnas (SOC2 raport) ning infoturbe halduse süsteemi sertifitseerimise teenust vastavalt ISO 27001 standardile. Kahe standardi samaaegne sertifitseerimine hoiab kokku aega ja kulusid ning aitab saavutada sertifikaadid ja tuntud infoturbevaldkonna standardid nii Euroopa kui ka USA turul.

Võta meiega ühendust!

KPMG blog posts
Ivar Anton
Küberturvalisuse ekspert / IT - audiitor
KPMG Baltics OÜ
Profiil | | Phone