Mis on ISO 27001?
Jussi Onoper
ISO/IEC 27001 standard ja infoturbe juhtimissüsteem (ISMS)
ISO/IEC 27001 standard on rahvusvaheline standard, mis määrab kindlaks nõuded organisatsiooni infoturbe juhtimissüsteemile. Eesti keelde tõlgitud standardis on kasutatud ka terminit infoturbe halduse süsteem, kuid kuna tegemist on klassikalise juhtimissüsteemiga (inglise keeles management system), siis kasutame teiste juhtimissüsteemidega sarnaselt infoturbe juhtimissüsteemi terminit. Kuna tegemist on suhteliselt pika nimetusega, kasutatakse rahvusvaheliselt sageli inglise keelsetest tähtedest tulenevat lühendit ISMS (Information Security Management System).
ISO/IEC 27001 standard (edaspidi lühidalt ISO 27001) eeldab infoturbega seonduvate riskide läbimõtlemist, nendest tulenevate ennetavate ja leevendavate meetmete valimist ning juurutamist ja loomulikult valikute asjakohast dokumenteerimist. Eesmärgiks on arendada välja juhtimissüsteem, mis tagab info turvalisuse ja aitab ära hoida infoturbega seonduvate lekete vm tõsiste intsidentide esinemist.
ISO 27001 standardi kasutamine on üsna levinud tarkvarafirmade ja eriti pilveteenuste pakkujate hulgas. Standardi nõuetele vastava juhtimissüsteemi välja arendamine ja sertifitseerimine aitab klientidele on tõestada, et firmal on olemas rahvusvahelistele nõuetele vastav süsteem, mis aitab tagada, et selle firma kätte usaldatud või selle firma poolt pakutavate ja arendatavate tehniliste lahenduste abil hallatav info püsib turvalisena. Eesmärgiks on vähendada infoturbega seonduvaid riske.
Ka ISO 27001 sisu ei ole iseenesest keeruline, kuid eeldab ISO 9001 jms standarditega võrreldes märksa suuremat töömahtu. Nendele, kes on kokku puutunud teiste juhtimissüsteemide standarditega on standardi ülesehitus juba tuttav. Selle standardi teeb aga eriliseks standardi normatiivne lisa A. Sellesse on koondatud infoturbe meetmetega seonduvad nõuded. ISO/IEC 27001:2022 versioonis on need nõuded jagatud 4 gruppi:
- A.5 Organisatsioonilised ohjemeetmed
- A.6 Inimeste ohjemeetmed
- A.7 Füüsilised ohjemeetmed
- A.8 Tehnoloogilised ohjemeetmed
See, kas ja kuidas neid nõudeid teie organisatsioonis kohaldada, ongi infoturbe juhtimissüsteemi arendamise peamiseks sisuks. Tehtud valikud tuleb kohaselt dokumenteerida (juhtpõhimõtete, protseduuride vms dokumentide formaadis) ja loomulikult edaspidi juhtimissüsteemi järjepidevalt parendada. TJO Konsultatsioonid saab teile infoturbe juhtimissüsteemi arendamise ja dokumenteerimise juures appi tulla
ISO 27001 koolitused
TJO Konsultatsioonid käest on võimalik tellida erinevaid ISO 27001 standardi nõuetega seonduvaid koolitusi. Viime regulaarselt läbi avalikke koolitusi “ISO 27001:2022le vastav infoturbe juhtimissüsteem“. Lisaks sellele on võimalik tellida:
- koolitust ISO 27001:2022le vastav infoturbe juhtimissüsteem organisatsioonisisese koolitusena;
- tasuta ISMSi lühiülevaade juhtkonnale – esmase ülevaate saamiseks juurutamisest huvitatud organisatsioonide juhtkondadele standardi ISO/IEC 27001 nõuetest ja juhtkonna rollist ISMSi arendamisel
ISO 27001 juhtimissüsteemi konsultatsiooniprojektide läbiviimine
Üks meie põhiteenustest on juhtimissüsteemide arendamine. Konsultatsiooniprojekti tavapäraseks eesmärgiks on muuta organisatsiooni töökorraldus efektiivsemaks ja läbipaistvamaks. Kuid kliendi soovist sõltuvalt võib eesmärgiks olla ka infoturbe juhtimissüsteemi viimine tasemele, mis on vastavuses standardis toodud nõuetega ja valmis sertifitseerimiseks rahvusvaheliselt tunnustatud sertifitseerimisorgani poolt.
Infoturbe juhtimissüsteemi konsultatsiooniprojekt on tavaliselt jaotatud neljaks etapiks:
- organisatsiooni hetkeolukorra ja vajaduste analüüsimine
- lahenduste väljatöötamine ja standardi nõuetele vastava infoturbe juhtimissüsteemi väljaarendamine
- uuendatud juhtimissüsteemi juurutamine
- juhtimissüsteemi siseauditite programmi käivitamine
Konsultatsiooniprojekti sisu ja maht sõltub arendatava süsteemi praegusest tasemest ja kliendi soovidest. Loe täpsemalt infoturbe juhtimissüsteemi arendusprojekti läbiviimisest.
Infoturbe juhtimissüsteemi siseauditite läbiviimine
Oleme valmis viima teenustööna läbi infoturbe juhtimissüsteemi siseauditeid, vt lähemalt ISMSi siseauditi läbiviimine teenustööna. Loomulikult oleme valmis viima läbi infoturbe juhtimissüsteemi siseaudiitorite koolitusi sisekoolitustena.
Lisainfo
Kui vajate ISO/IEC 27001 standardi kohta rohkem teavet, võtke meiega julgelt ühendust! Oleme valmis abistama nii sobivate koolituste, nõustamisteenuste kui vajalike materjalidega. Tutvuge ka erinevate artiklitega meie “Kasuliku info” rubriigis.