KPMG: õigesti valitud infoturbe standard on koostööpartnerile kui kvaliteedimärk

ISO 27001 ja ISAE 3000 on kaks infoturbe standardit, mis kerkivad esile iga kord, kui organisatsioonid kaaluvad, kuidas oma andmeid ja süsteeme kaitsta ning seda kaitset ka välistele osapooltele tõendada.

ISO 27001 on rahvusvaheline standard, mis kehtestab infoturbe haldussüsteemi (ISMS) nõuded. Sertifitseerimisel tõendab ettevõte, et neil on olemas dokumenteeritud protsessid, riskihindamise metoodika ja kontrollmehhanismid, mis kaitsevad organisatsiooni infovara. Sertifikaat on hästi äratuntav, laialdaselt aktsepteeritud ning annab turukommunikatsioonis tugeva signaali.

Selle standardi tugevus peitub ulatuses: standard katab kogu organisatsiooni infoturbe halduse tsükli alates infoturbepoliitikate kehtestamisest kuni töötajate koolitamise ja füüsilise turvalisuseni. ISO 27001 on suurepärane lähtepunkt organisatsioonidele, kes soovivad luua struktureeritud infoturberaamistiku ja seda järjepidevalt arendada.

Kui ISO 27001 tagab, et süsteem ja protsessid oleksid paigas, siis ISAE 3000 annab lisaks sõltumatu tõenduse, et see süsteem ka tegelikult toimib. ISAE 3000 on standard, mida rakendatakse finantsilisi näitajaid mittesisaldava informatsiooni suhtes, sealhulgas infoturbe kontrollide hindamisele. Erinevalt ISO 27001 sertifitseerimisest ei kinnita ISAE 3000 lihtsalt süsteemi olemasolu, vaid hõlmab sõltumatu audiitori põhjalikku hinnangut selle kohta, kas kontrollid oli tõhusad konkreetse ajavahemiku jooksul. Tulemuseks saab ettevõte endale detailse ja kindlustandva aruande, mis on mõeldud üldjuhul teenuse kasutajaorganisatsioonidele.

Siit alates hakkab ISAE 3000 selgelt eristuma ISO 27001-st. Kui viimatinimetatu kontrollib, kas süsteem vastab standardi nõuetele, siis ISAE 3000 hindab, kas konkreetsed kontrollid toimisid tõhusalt tegelikkuses ja seda mitte ainult hetkel, vaid teatud ajavahemikul, tavaliselt ühe aasta jooksul.

Tänapäeva ärikeskkonnas töödeldakse suuri koguseid tundlikke andmeid sageli väljaspool organisatsiooni enda infrastruktuuri: pilveplatvormidel, IT-teenusepakkujate süsteemides, raamatupidamisteenustes või muudes jagatud keskkondades. Sellistes olukordades on organisatsioonil vajadus mitte ainult teada, et partneril on sertifikaat, vaid mõista, kuidas kontrollid tegelikult toimivad ja millised on riskid just tema andmetöötluse kontekstis.

ISAE 3000 aruanne on koostatud täpselt selle vajaduse rahuldamiseks. Aruanne kirjeldab teenusepakkuja konkreetseid kontrolle, hindab nende tõhusust ja määratleb kasutajaorganisatsiooni täiendavad kontrollvastutused, nn komplementaarsed kontrollid. See tähendab, et organisatsioon saab täpse pildi sellest, millele ta võib toetuda ja mida peab ise haldama.

Lisaks on ISAE 3000 aruanne ajaliselt orienteeritud: see hõlmab tavaliselt 6–12 kuud ja võimaldab hinnata, kas turvakontrollid on olnud järjepidevalt tõhusad, mitte ainult auditi läbiviimise hetkel. See on oluline erinevus organisatsioonidele, kelle riskijuhtimine nõuab reaalset, ajas kehtivat kindlustunnet.

Regulatiivsest ja vastavusraamistiku vaatenurgast täiendab ISAE 3000 hästi ka NIS2 direktiivi nõudeid, mis kohustavad organisatsioone hindama ja haldama tarneahela turvalisusriske. ISAE 3000-põhine kindluse andmine on selles kontekstis üks tugevamaid tõendeid, et kolmanda osapoole riskid on aktiivselt hallatud.

ISO 27001 ja ISAE 3000 ei ole vastandid, vaid need täiendavad üksteist. ISO 27001 loob tugeva aluse organisatsioonisisesele infoturbe haldusele ja annab ülemaailmselt tunnustatud signaali turu jaoks. ISAE 3000 lisab sellele sügavuse ja läbipaistvuse, mida nõuavad kaasaegse äri tarneahela ja kolmandate osapoolte riskijuhtimine. Kui küsimus on selles, kes töötleb teie andmeid ja kas nende kontrollid tõesti toimivad, siis on ISAE 3000 vastus täpsem, üksikasjalikum ja äriliselt rohkem rakendatav.