ISO 27001 standardi eelised:

ISO 27001 standardi rakendamine organisatsioonis on kasulik mitmel viisil:

  • See aitab organisatsioonidel tuvastada ja hallata teabe turvariske, mis võivad tekkida nii sisemistest kui ka välistest allikatest.
  • See pakub raamistiku, et luua ja rakendada teabe turbega seotud poliitikaid, protseduure ja tehnilisi meetmeid.
  • See aitab organisatsioonidel planeerida ja ette valmistada õnnetuste juhtimiseks ning äritegevuse jätkusuutlikkuseks.
  • See aitab organisatsioonidel luua tõhusa infosüsteemide halduse süsteemi (ISMS), mis hõlmab teabe kogumist, haldamist, kaitsmist, säilitamist ja hävitamist.
  • Sertifitseerimine ISO 27001 standardi vastu näitab organisatsiooni klientidele, partneritele, töötajatele ja teistele osapooltele, et tegeleb teabe turbega tõsiselt ja on rakendanud sobivad kontrollid teabe kaitsmiseks.


Infoturbe halduse süsteemi (ISMS) vajadus ja kohustus Eestis:

Lähtuvalt Küberturvalisuse seaduse (KüTS) 2022. aasta redaktsioonist, tekib paljudel organisatsioonidel kohustus korrastada ja viia oma infoturbe haldus vastavusse seadusega juurutades infoturbe halduse süsteem (ISMS) nagu näiteks ISO 27001.

ISMS-i juurutamiseks annab KüTS teatud avaliku-, era- ja kolmanda sektori organisatsioonidele, kellel on seadusest tulenev kohustus (nt elutähtsate teenuste osutajad, oluliste teenuste osutajad) konkreetse tähtaja ning võimaluse valida kahe valiku vahel:

  • Luua ning võtta kasutusele ISMS, mis oleks vastavuses Eesti Infoturbe Standardiga (E-ITS), mis alates 2023. aastast asendab varasemalt Eestis kasutusel olnud ISKE etalonturbe süsteemi.
  • Luua ning võtta kasutusele rahvusvaheliselt tunnustatud ISO/IEC 27001 standardile vastav ISMS ning saavutada ja hoida standardile vastavuse sertifikaati.


Miks valida ISO 27001 sertifitseerimine?

ISO 27001 sertifikaat on laialt tunnustatud nii Euroopas kui ka mujal maailmas. Organisatsiooni infoturbe halduse süsteemi ISO 27001 standardi kohaselt sertifitseerimine ja sertifikaadi hoidmine on tõhus viis näidata organisatsiooni koostööpartneritele ning Eesti ametlikule kontrollasutusele (RIA), et organisatsiooni poolt töödeldavate andmete konfidentsiaalsus, terviklus ja käideldavus on tagatud vastavuses ISO standardiga ning valdkonna parimate praktikatega.

KPMG ISO 27001 konsultatsioon ja auditeerimine:

KPMG saab olla abiks standardi rakendamise nõustamise, auditeerimise ja sertifitseerimisega. KPMG väljastab Eestis ISO 27001 sertifikaati koos kohustuslike järelevalveaudititega vastavalt ISO standardi nõuetele, mis tagab organisatsiooni ISMS-i jätkuva vastavuse ISO standardiga ning aitab säilitada sertifikaadi.

teenuse etapid 1

Planeerimine

Eeltegevused ISO sertifitseerimisauditi läbiviimiseks.

2

Sertifitseerimise eelne hindamine

Auditi eelne infoturbe halduse juhtimissüsteemi hetkeolukorra hindamine.

3

Sertifitseerimisaudit

Sertifitseerimisauditi läbiviimine, mille tulemusena valmib auditiraport koos puuduste kirjeldusega. Eduka auditi järel toimub ISO sertifikaadi väljastamine 3 aastaks.

4

Järelaudit

Järelauditi viiakse läbi iga 12 kuu järel või ISMSi suuremate muudatuste korral.

Nõustamine

ISO 27001 nõustamine algab organisatsiooni infoturbe lahknevusanalüüsiga (ingl gap analysis). Analüüsi tulemusena tuvastatud puuduste osas anname soovitused meetmete rakendamiseks, mis võimaldavad efektiivselt viia organisatsiooni infoturbeprotsessi(d) vastavusse standardiga. Koostöös kliendiga koostame detailse tegevuskava vastavuse saavutamiseks, vajadusel saab KPMG osutada abi tegevuskava elluviimiseks (vt ka KPMG IT riskihindamise teenus).

Eelaudit

Sertifitseerimise potsess algab eelauditiga, mille eesmärk on hinnata organisatsiooni poolt kasutusele võetud ISMS-i ja valmidust edukalt läbida sertifitseerimisaudit. Peale eelauditit on organisatsioonil 6 kuud aega, et eemaldada tuvastatud puudused ja mittevastavused ning alustada sertifitseerimisauditiga. Juhul, kui kuue kuu möödumisel organisatsioon ei ole valmis sertifitseerimisauditiks, eelauditi käigus tuvastatud puudused ei ole lahendatud, tuleb eelaudit uuesti läbi viia.

Sertifitseerimisaudit ja järelevalveaudit

Sertifitseerimine järgib kolmeaastast tsüklit ning koosneb sertifitseerimisauditist ning kahest järelevalveauditist (ingl surveillance audit), mis tuleb läbi viia sertifikaadi väljastamisest järgneva kahe aasta jooksul. Kui organisatsioon soovib edaspidi oma sertifikaati säilitada peale kolmanda aasta lõppu, tuleb läbi viia resertifitseerimine, mis eeldab auditi edukat läbimist ning seejärel algab uus kolmeaastane sertifitseerimistsükkel.

ISAE SOC2 ja ISO 27001

ISO 27001 standardi nõuete alusel sertifitseerimine haakub hästi ka ISAE  atesteerimisega (loe lisa KPMG SOC2 teenuse lehelt). KPMG-l on turul ainulaadne positsioon, kuna saame pakkuda ISAE 3000 standardi osas kindlustandvat tööd infoturbevaldkonnas (SOC2 raport) ning infoturbe halduse süsteemi sertifitseerimise teenust vastavalt ISO 27001 standardile. Kahe standardi samaaegne sertifitseerimine hoiab kokku aega ja kulusid ning aitab saavutada sertifikaadid ja tuntud infoturbevaldkonna standardid nii Euroopa kui ka USA turul.

Muuda ohud võimalusteks

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
 ${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
 Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.
Email again: