Kuidas ISO 27001 standard juurutada

ISO 27001 kehtestab reeglid infoturbele ettevõttes ning kätkeb peamiselt laiaulatuslikke nõudeid andmekaitsele ettevõttes. Andmed ise võivad olla nii digitaalsed kui ka füüsilisel kujul nt. paberil vms.

Mida täna ei alusta, seda pole võimalik homme lõpetada. Johann Wolfgang von Goethe.

Ja kuidas siis ikkagi juurutada ISO 27001 standard? Standardit ise saab osta www.evs.ee

Kuna esimene võimalus on juurutada katse-eksituse meetodil, siis antakse ettevõttes kellegile ülesanne juurutada standardi nõuded. Kuna dokumenteerimise protsess on mahukas, siis kulutate seda tehes palju aega ja raha. Selle ajaga saaksite teha seda, mis on Teie tugevused.

Kuid teine meetod on konsultandi kaasamine, kes juhendaks teid nõuete rakendamise osas. See lähenemisviis tundub algselt kallim, kuid on ka kõige turvalisem, vähendades kulukate vigade riski.

Juurutame endale ISO 27001 standardi nõuded

Alustades ettevõttes ISO 27001 standardi nõuete juurutamist võid arvestada järgmisi nõuandeid:

  1. Esimese etapina on soovitus hinnata ära standardinõuete vastavust ja ettevõtte hetkeseisu nõuete täitmise osas.  Tulemuseks on aruanne, mille põhjal saab nimekirja puudustest. Seejärel määra puudustele vastutajad ja tähtajad.
  2. Koostada infosüsteemi protsesse puudutav dokumentatsioon ja alusta selle struktuuri loomisest.

Näiteks:

  • Juhendid
  • Riskid
  • Eesmärgid
  • Personal
  • Varad
  • Mittevastavused
  • Koosolekud
  • Auditid

ISO 27001 nõuetele vastavuse tagamiseks on vajalik kirjeldada järgmised teemad (alltoodud näited standardipunktide lõikes):
4.3 Infoturbe süsteemi rakendusala
5.2 Infoturbepoliitika
6.1.2 Infoturbe riskihindamise protsess
6.1.3 Infoturbe riski käsitlemise kava
6.1.3 Kohaldamisavaldus
6.2 Infoturbe eesmärgid;
7.2 Pädevuste tõendamine
8.2 Infoturbe riskihindamise ja käsitlemise tulemused
jne.

Dokumentatsioon peab sisaldama (standardi Annex-A alusel):

7.1.2 ja A.13.2.4 Turvarollide ja vastutuse määratlus
8.1.1 Vara inventuuri
8.1.3 Vara kasutamise reegleid
8.2.1 Teabe klassifitseerimist
9.1.1 Juurdepääsu reegleid
12.1.1 Infotehnoloogia haldamise töökorda
14.2.5 Turvalise süsteemi tehnilisi reegleid
15.1.1 Töövõtjate turvareeglite haldust
16.1.5 Intsidentide likvideerimise korda
18.1.1 Seaduste-, regulatiivsete ja lepinguliste nõuete haldust

jne.

Infoturbega on seotud väga lai teemade ring ja seepärast on soovitus olla kõigega kursis või kasutada selleks spetsialiste.

Ligipääsetavus

Kasuta igal võimalusel kaheastmeslist autentimist (2FA/MFA). Alati peab olema pigem pisut paranoiline, sest täiesti võimalik on mõni vanem tootmisliin üle võtta lihtsate võtetega.

Füüsiline turvalisus

On oluline, et ettevõttes tuleb välistada andmete sattumist võõraste isikute kätte. Selleks on väga palju võimalusi (vabalt kontorisse ligipääs, serveri ruumi ligipääs, võimalik ligipääs võrgujuhtmetele jne.) Seepärast on nõue kirjeldada ettevõttes täpselt kuidas on tagatud füüsiline turvalisus.

Võimaus on esimese asjana kontrollida ja kirjeldada nõuded ettevõtte võrgule. Näiteks ligipääsetavus tootmisseadmetele, jahutuse kontrolleritele, nutikatele kohviaparaatidele, külaliste WiFi võrgule jne.

Kui olulised seadmed vajavad ligipääsu interneti kaudu, siis kindlasti peaks see toimuma krüpteeritud tunneli kaudu (VPN).

Kui täna saate ettevõttes kõik olla ilma arvutita nädal aega ja kõik toimib endiselt, siis on infoturbe riskid väikesed ning ISO 27001 süsteemi juurutamiseks pole vajadust aega kulutda.

Loe seniks teisi postitusi

Comments are closed.