Infoturbepoliitika ja infoturbe ulatuse, konteksti määramine NIS2 ja KüTS võtmes

99,00 €

Sest infoturve, mida keegi päriselt ei mõista, ei kaitse kedagi.

Juhtimistasandit toetav dokumentide komplekt, mis aitab panna paika infoturbe aluse, määrata ISMS-i ulatuse ning luua selge raamistiku riskide juhtimiseks ja auditeeritavuseks.

Komplekt: 3 dokumendi malli — saad emailile

Lisa ostukorvi

1. Milleks see dokumentide komplekt on?

ISO 27001, NIS2 ja küberturvalisuse seadus (KüTS) ei alga kontrollidest.
Need algavad sellest, et sa tead:

  • mida sa kaitsed
  • miks sa seda kaitsed
  • ja kus sinu vastutus tegelikult algab ja lõpeb

Nad eeldavad, et infoturvet juhitakse teadlikult, põhjendatult ja juhtimistasandil.

See komplekt on loodud selleks, et:

  • viia infoturve “dokumendist” juhtimise tasemele,
  • panna paika ISMS-i ulatus ja loogika enne riskihindamist,
  • siduda kokku teenused, süsteemid, andmed ja tarnijad,
  • anda juhatusele selge arusaam: mille eest me vastutame,
  • näidata audiitorile ja järelevalvele, et infoturve on läbimõeldud, mitte juhuslik.

Komplekt lähtub riskipõhisest loogikast ning on kooskõlas ISO/IEC 27001:2022, NIS2 ja KüTS põhimõtetega, ilma et infoturve muutuks bürokraatlikuks “checklist’iks”. Samuti on lisatud märkused, mida peaks dokumentidele lisama, kui rakendad E-ITS-i.

Eriti sobib olukorras, kus:
“midagi on justkui tehtud… aga keegi ei saa päriselt aru, kuidas see kokku käib.”

2. Kellele see sobib?

  • organisatsioonidele, kellele kohaldub NIS2 ja/või KüTS,
  • organisatsioonidele, kes alustavad ISO 27001 või E-ITS teekonda,
  • organisatsioonidele, kus infoturbe ulatus on täna ebaselge või defineerimata,
  • juhtkonnale, kes peab võtma vastutuse infoturbe eest (mitte ainult IT-le delegeerima),
  • infoturbe- ja riskijuhtidele, kes peavad looma selge ja auditeeritava aluse.

Eriti sobib olukorras, kus: “midagi on justkui tehtud… aga keegi ei saa päriselt aru, kuidas see kokku käib.”

3. Mida saad?

3.1 Infoturbepoliitika, ulatuse ja konteksti vormide juhend 

- inimkeelne selgitus iga peatüki kohta,
- praktilised juhised, kuidas dokumente täita,
- selgitused:

  • mida audiitor vaatab,
  • mis juhtub, kui midagi puudub,
  • kuidas siduda dokumendid päriseluga.

3.2 Infoturbepoliitika vorm

- täielik ISO 27001:2022 nõuetele vastav struktuur + märkused, mida lisada, kui rakendad E-ITS-i,
- juhtkonna tasemel dokument infoturbe põhimõtete ja vastutuse määramiseks,
- sisaldab:

  • eesmärgid ja mõõdikud,
  • rollid ja vastutused,
  • riskijuhtimise põhimõtted,
  • seire, audit ja parendamine,
  • seob infoturbe ärieesmärkide ja riskidega.

3.3 Infoturbe ulatuse ja konteksti määramise vorm

  • ISMS-i ulatuse ja piiride määratlemine,
  • NIS2 / KüTS kohaldumise fikseerimine + märkused, mida lisada, kui rakendad E-ITS-i,
  • organisatsiooni konteksti analüüs (sisemine + väline),
  • huvitatud osapoolte ja nende nõuete kaardistus,
  • teenuste, infosüsteemide ja tarnijate struktureeritud kirjeldus.

4. KKK

Kas see komplekt sobib ka siis, kui me pole veel otsustanud, kas valime ISO 27001 või E-ITS? Jah — komplekt on kooskõlas mõlemaga ja sisaldab E-ITS märkusi, mis aitavad sul otsuse tegemisel orienteeruda.

Kas see on esimene dokument, mida peaks tegema? Jah — infoturbepoliitika ja ulatus on ISMS-i alus. Enne riskihindamist peab see paigas olema.

Kas see sobib ka väiksemale ettevõttele? Jah — dokumendid on kohandatavad vastavalt organisatsiooni suurusele ja keerukusele.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.