TJO Konsultatsioonid
See veebileht kasutab küpsiseid (cookies).

Jätkades TJO Konsultatsioonide veebilehe kasutamist, nõustud meie kasutajakogemuse parandamiseks mõeldud küpsiste ja nende kasutamise tingimustega. Tutvu meie andmekaitse põhimõtetega.

Peamise sisu sektsioon

Mis on ISO 27001 ja ISMS?

Jussi Onoper
Juhatuse esimees, konsultant ja koolitaja

ISO/IEC 27001 standard ja infoturbe juhtimissüsteem (ISMS)

ISO/IEC 27001 standard on rahvusvaheline standard, mis määrab kindlaks nõuded infoturbe juhtimissüsteemile. Kuna tegemist on suhteliselt pika nimetusega, kasutatakse rahvusvaheliselt sageli inglise keelsetest tähtedest tulenevat lühendit ISMS (Information Security Management System).

ISO/IEC 27001 standard eeldab infoturbega seonduvate riskide läbimõtlemist, nendest tulenevate ennetavate ja leevendavate meetmete valimist ning juurutamist ja loomulikult valikute asjakohast dokumenteerimist. Eesmärgiks on arendada välja juhtimissüsteem, mis tagab info turvalisuse ja aitab ära hoida infoturbega seonduvate lekete vm tõsiste intsidentide esinemist.

ISO/IEC 27001 standardi kasutamine on üsna levinud tarkvarafirmade ja eriti pilveteenuste pakkujate hulgas. Standardi nõuetele vastava juhtimissüsteemi välja arendamine ja sertifitseerimine aitab klientidele on tõestada, et firmal on olemas rahvusvahelistele nõuetele vastav süsteem, mis aitab tagada, et selle firma kätte usaldatud või selle firma poolt pakutavate ja arendatavate tehniliste lahenduste abil hallatav info püsib turvalisena. Eesmärgiks on vähendada infoturbega seonduvaid riske.

Ka ISO/IEC 27001 sisu ei ole iseenesest keeruline, kuid eeldab ISO 9001 jms standarditega võrreldes märksa suuremat töömahtu. Nendele, kes on kokku puutunud teiste juhtimissüsteemide standarditega on standardi ülesehitus juba tuttav. Selle standardi teeb aga eriliseks standardi normatiivne lisa A. Sellesse on koondatud infoturbe meetmetega seonduvad nõuded. ISO/IEC 27001:2022 versioonis on need nõuded jagatud 4 gruppi:

  • A.5 Organisatsioonilised ohjemeetmed
  • A.6 Inimeste ohjemeetmed
  • A.7 Füüsilised ohjemeetmed
  • A.8 Tehnoloogilised ohjemeetmed

See, kas ja kuidas neid nõudeid teie organisatsioonis kohaldada, ongi infoturbe juhtimissüsteemi arendamise peamiseks sisuks. Tehtud valikud tuleb kohaselt dokumenteerida (juhtpõhimõtete, protseduuride vms dokumentide formaadis) ja loomulikult edaspidi juhtimissüsteemi järjepidevalt parendada. TJO Konsultatsioonid saab teile infoturbe juhtimissüsteemi arendamise ja dokumenteerimise juures appi tulla

ISO/IEC 27001 koolitused

TJO Konsultatsioonid käest on võimalik tellida erinevaid ISO/IEC 27001 standardi nõuetega seonduvaid koolitusi. Viime regulaarselt läbi avalikke koolitusi “ISO 27001:2022le vastav infoturbe juhtimissüsteem“. Lisaks sellele on võimalik tellida:

  1. koolitust ISO 27001:2022le vastav infoturbe juhtimissüsteem organisatsioonisisese koolitusena;
  1. tasuta lühiesitlus standardi nõuetest esmase ülevaate saamiseks (juurutamisest huvitatud organisatsioonide juhtkondadele)

ISO/IEC 27001 juhtimissüsteemi konsultatsioon

Üks meie põhiteenustest on juhtimissüsteemide arendamine. Konsultatsiooniprojekti tavapäraseks eesmärgiks on muuta organisatsiooni töökorraldus efektiivsemaks ja läbipaistvamaks. Kuid kliendi soovist sõltuvalt võib eesmärgiks olla ka infoturbe juhtimissüsteemi viimine tasemele, mis on vastavuses standardis toodud nõuetega ja valmis sertifitseerimiseks rahvusvaheliselt tunnustatud sertifitseerimisorgani poolt.

ISO/IEC 27001 konsultatsiooniprojekt on tavaliselt jaotatud neljaks etapiks:

  1. organisatsiooni hetkeolukorra ja vajaduste analüüsimine
  2. lahenduste väljatöötamine ja ISO/IEC 27001 nõuetele vastava infoturbe juhtimissüsteemi väljaarendamine
  3. uuendatud juhtimissüsteemi juurutamine
  4. auditite programmi käivitamine

Konsultatsiooniprojekti sisu ja maht sõltub arendatava süsteemi praegusest tasemest ja kliendi soovidest. Loe täpsemalt infoturbe juhtimissüsteemi arendusprojekti läbiviimisest.

Infoturbe juhtimissüsteemi siseauditi läbiviimine

Oleme valmis viima teenustööna läbi infoturbe juhtimissüsteemi siseauditeid, vt lähemalt juhtimissüsteemi siseauditi läbiviimine teenustööna. Loomulikult oleme valmis viima läbi infoturbe juhtimissüsteemi siseaudiitorite koolitusi sisekoolitustena.

Lisainfo

Kui vajate ISO/IEC 27001 standardi kohta rohkem teavet, võtke meiega julgelt ühendust! Oleme valmis abistama nii sobivate koolituste, nõustamisteenuste kui vajalike materjalidega. Lugege kindlasti ka kvaliteedijuhtimisega seotud artikleid meie “Kasuliku info” rubriigis.