Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt
CIA triaadi skeem

ISO/IEC 27001: juhend infoturbe juhtimise standardi kohta

ISO/IEC 27001 on rahvusvaheliselt tunnustatud standard, mis määratleb nõuded organisatsiooni infoturbe halduse süsteemi (ISMS) loomiseks, rakendamiseks ja parendamiseks. See pakub süsteemset raamistikku, et kaitsta teie ettevõtte infovara ja juhtida turvariske.

Standard põhineb kolmel sambal, mida tuntakse CIA triaadina: konfidentsiaalsus, terviklikkus ja käideldavus. Need põhimõtted tagavad, et tundlik teave on kättesaadav vaid volitatud isikutele, andmed on täpsed ning süsteemid toimivad siis, kui neid vajate. Tänapäeva digitaalses keskkonnas on infoturve muutunud strateegiliseks prioriteediks, mitte ainult tehniliseks küsimuseks.

Standardi kohustuslikud nõuded

ISO/IEC 27001 põhiosa moodustavad klauslid 4–10, mis kirjeldavad infoturbe halduse süsteem toimimiseks vajalikke protsesse:

  • Organisatsiooni kontekst (klausel 4): Te peate määratlema oma ISMS-i ulatuse, arvestades nii sise- kui ka väliskeskkonda ning huvitatud osapoolte ootusi.
  • Juhtimine (klausel 5): Tippjuhtkond peab näitama pühendumust, kehtestama poliitikad ning määrama selged rollid ja vastutused.
  • Planeerimine (klausel 6): See hõlmab riskide hindamist ja käsitlemist ning mõõdetavate eesmärkide seadmist. 2022. aasta versioonis on lisandunud ka muudatuste planeerimise nõue.
  • Tugi (klausel 7): Te peate tagama vajalikud ressursid, pädevuse, töötajate teadlikkuse ja dokumenteeritud teabe haldamise.
  • Toimimine (klausel 8): Siin viiakse ellu planeeritud protsessid ja rakendatakse riskikäsitluse plaanid.
  • Tulemuslikkuse hindamine (klausel 9): See nõuab pidevat seiret, mõõtmist, siseauditeid ja juhtkonnapoolset ülevaatust.
  • Parendamine (klausel 10): Te peate käsitlema mittevastavusi ja rakendama parandusmeetmeid, et süsteemi pidevalt täiustada.

Mis muutus ISO/IEC 27001:2022 versioonis?

Uusim versioon peegeldab muutunud ohumaastikku, kus pilvetehnoloogiad ja kaugtöö on muutunud normiks. Üleminek uuele standardile peab toimuma hiljemalt 31. oktoobriks 2025.

Peamine muudatus toimus standardi Lisas A, kus kontrollmeetmete arv vähenes 114-lt 93-le. Need on nüüd jaotatud nelja selgesse teemasse:

  • Organisatsioonilised kontrollid (näiteks varade haldus ja tarnijasuhted)
  • Inimestega seotud kontrollid (näiteks konfidentsiaalsuslepingud ja koolitus)
  • Füüsilised kontrollid (näiteks seadmete turvalisus ja sissepääsu kontroll)
  • Tehnoloogilised kontrollid (näiteks autentimine ja krüptograafia)

Standardisse lisati 11 täiesti uut kontrolli. Nende hulka kuuluvad ohuinfo (threat intelligence), info kustutamine, andmelekkekaitse ja pilveteenuste turvalisus. Kujutage ette olukorda, kus teie ettevõtet tabab uus nullpäeva rünnak. Ohuinfo kontrolli rakendamine tähendab, et teie IT-meeskond analüüsib aktiivselt väliseid ohuallikaid ja kohandab kaitsemeetmeid enne, kui rünnak teie süsteemideni jõuab.

Kasu suurele organisatsioonile

ISO/IEC 27001 rakendamine ei ole pelgalt bürokraatlik harjutus, vaid toob reaalset ärilist kasu:

  • Suurem vastupanuvõime: Te vähendate eduka küberrünnaku tõenäosust ja sellest tulenevat kahju. IBM-i uuringute kohaselt aitab sertifikaat vähendada andmetega seotud rikkumiste kulusid keskmiselt 24%.
  • Regulatiivne vastavus: Standard aitab täita GDPR-i ja teiste andmekaitseseaduste nõudeid.
  • Maine ja usaldus: Sertifikaat on rahvusvaheline tõend teie klientidele ja partneritele, et suhtute nende andmete kaitsmisesse tõsiselt.
  • Protsesside optimeerimine: Selged rollid ja vastutused vähendavad dubleerimist ja parandavad IT-üksuse tööefektiivsust.

Eestis on ISO/IEC 27001 tihedalt seotud riikliku standardiga. Kui teie organisatsioon täidab avalikke ülesandeid, võib teile olla kohustuslik E-ITS, mis põhineb ISO 27001 nõuetel, kuid on kohandatud kohalikule õigusruumile.

Sertifitseerimine ja juurutamine

Sertifitseerimiseks valmistumine võtab tavaliselt aega 6–12 kuud. See on ISMS loomise teekond, mis algab hetkeolukorra kaardistamisest.

  • Viige läbi esialgne turvaaudit, et tuvastada lüngad standardi nõuete ja tegelikkuse vahel.
  • Koostage riskianalüüs ja valige sobivad kontrollmeetmed.
  • Dokumenteerige protsessid ja koolitage oma töötajaid.
  • Viige läbi siseaudit, et veenduda süsteemi toimimises.

Sertifitseerimisprotsess ise on kaheetapiline. Esimeses faasis vaatab audiitor üle teie dokumentatsiooni vastavuse. Teises faasis toimub kohapealne kontroll, kus hinnatakse meetmete tegelikku rakendamist. Sertifikaat kehtib kolm aastat, eeldades edukat iga-aastast järelevalveauditit.

Kuidas alustada?

Standardi edukas juurutamine eeldab juhtkonna tugevat toetust ja selget tegevuskava. Alustuseks tasub kaaluda, milline on teie organisatsiooni ambitsioon ja vajalik ettevalmistus sertifitseerimiseks, et vältida ressursside raiskamist ebaefektiivsetele tegevustele.

Kuna nõuded on mahukad, on sageli mõistlik kaasata kogenud partner. Professionaalne E-ITS rakendamine või ISO 27001 juurutamine aitab teil vältida tüüpvigu ja tagab, et loodud süsteem on teie äri toetav, mitte takistav.

Võtke meiega ühendust, et arutada, kuidas saame aidata teie organisatsioonil saavutada vastavus rahvusvahelistele infoturbestandarditele ja tagada teie süsteemide kestev turvalisus.