Kuidas ISO 27001 standard juurutada

Mida täna ei alusta, seda pole võimalik homme lõpetada. Johann Wolfgang von Goethe.

ISO 27001 standard kehtestab reeglid infoturbele ettevõttes ning kätkeb peamiselt laiaulatuslikke nõudeid andmekaitsele ettevõttes. Andmed ise võivad olla nii digitaalsed kui ka füüsilisel kujul nt. paberil vms.

Kuidas siis ikkagi juurutada ISO 27001 standard?

Esimene võimalus on katse-eksituse meetodil. Ettevõttes antakse kellegile ülesanne juurutada standardi nõuded. Dokumenteerimisprotsess on mahukas ning isegi kui õpite oma vigadest, siis kulutate seda tehes palju aega ja raha. Selle ajaga saaksite teha seda, mis on Teie tugevused.

Teine meetod on konsultandi kaasamine, kes juhendaks teid nõuete rakendamise osas. See tundub algselt kallim lähenemisviis, kuid on ka kõige turvalisem, vähendades kulukate vigade riski.

Mis oleks need etapid, kui soov on juurutada ettevõttes ISO 27001 standardi nõuded.

  1. Esimese etapina on soovitus hinnata ära standardinõuete vastavust ja ettevõtte hetkeseisu nõuete täitmise osas.  Tulemuseks on aruanne, mille põhjal saab nimekirja puudustest, millele saab määrata vastutajad ja tähtajad.
  2. Koostada dokumentatsiooni struktuur.

Näiteks:

  • Juhendid
  • Vormid
  • Riskid
  • Eesmärgid
  • Personal
  • Varad
  • Mittevastavused
  • Koosolekud
  • Auditid

ISO 27001 nõuetele vastavuse tagamiseks on vajalik kirjeldada järgmised teemad (alltoodud näited standardipunktide lõikes):
4.3 Infoturbe süsteemi rakendusala
5.2 Infoturbepoliitika
6.1.2 Infoturbe riskihindamise protsess
6.1.3 Infoturbe riski käsitlemise kava
6.1.3 Kohaldamisavaldus
6.2 Infoturbe eesmärgid;
7.2 Pädevuste tõendamine
8.2 Infoturbe riskihindamise ja käsitlemise tulemused
9.1 Tõendusmaterjal jälgimise ja tulemuste mõõtmise kohta
9.2 Tõendusmaterjal auditiprogrammide ja auditi tulemuste kohta
9.3 Juhtimisülevaadete tulemuste tõendusmaterjal
10.1 Tõendid mittevastavuste ja kõigi edasiste võetud meetmete kohta

Dokumentatsioon peab sisaldama (standardi Annex-A alusel):

7.1.2 ja A.13.2.4 Turvarollide ja vastutuse määratlus
8.1.1 Vara inventuuri
8.1.3 Vara kasutamise reegleid
8.2.1 Teabe klassifitseerimist
9.1.1 Juurdepääsu reegleid
12.1.1 Infotehnoloogia haldamise töökorda
12.4.1 ja A.12.4.3 Kasutaja tegevuste, erandite ja turvasündmuste logide jälgimise süsteemi.
14.2.5 Turvalise süsteemi tehnilisi reegleid
15.1.1 Töövõtjate turvareeglite haldust
16.1.5 Intsidentide likvideerimise korda
17.1.2 Talitluspidevuse protseduuri
18.1.1 Seaduste-, regulatiivsete ja lepinguliste nõuete haldust

Infoturbega on seotud väga lai teemade ring ning seepärast jagan teemad blokkideks.

Füüsiline turvalisus

On oluline silmas pidada, et ettevõttes tuleb silmas pidada andmete sattumist võõraste isikute kätte ja selleks on väga palju võimalusi (vabalt kontorisse ligipääs, serveri ruumi ligipääs, võimalik ligipääs võrgujuhtmetele jne.) Seepärast on nõue kirjeldada ettevõttes täpselt kuidas on tagatud füüsiline turvalisus.

järgneb …

Loe seniks teisi postitusi

Comments are closed.