1. Milleks see dokumentide pakett on?

Enamik organisatsioone loob infoturbe dokumendid korra — ja unustab need. Poliitikad kinnitatakse, registrid täidetakse. Järgmise aasta audit koostatakse samamoodi. Vahepeal ei mõõdeta midagi, mittevastavusi ei dokumenteerita ja juhtkond ei tea, kas infoturbesüsteem tegelikult toimib.

See pakett lahendab täpselt selle probleemi:

• mõõdab infoturbe toimivust kvantitatiivse armatuurlaua kaudu
  
• dokumenteerib mittevastavused nii, et audiitor näeb toimivat protsessi, mitte tühja registrit
  
• annab juhtkonnale täidetava protokolli
  
• tõendab, et ISMS ei ole riiulil tolmunev kaustik, vaid elav, mõõdetav süsteem
  

Tulemus: ISMS, mis päriselt toimib — ja mida saab tõendada.

2. Kellele see sobib?

See pakett on mõeldud organisatsioonidele, kes:

• omavad juba põhilisi infoturbe dokumente (poliitikad, registrid), aga ei mõõda nende toimivust
  
• valmistuvad ISO 27001 auditiks ja ei tea, kas juhtkonna ülevaatuse nõue on täidetud
  
• peavad vastama NIS2, KüTS või ISO 27001 nõuetele
  
• ei suuda kohe vastata küsimusele: "Mitu mittevastavust teil sel aastal oli ja kui palju suleti tähtajaks?"
  

Sobib eriti:

• infoturbejuhile (CISO), kes peab ISMS-i juhtimistsükli tööle panema
  
• juhtkonnale, kes vastutab — KüTS § 6¹ järgi isiklikult — ja soovib olla kindel, et vastutus on tõendatav
  
• IT-juhile, kes kogub mõõdikuid, aga ei tea, kuidas neid juhtkonnale esitada
  
• organisatsioonile, kes on saanud audiitorilt märkuse "juhtkonna ülevaatuse protokoll puudub"
  

3. Mida saad?

See ei ole lihtsalt vorm. See on täielik ISMS juhtimistsükkel — mõõtmisest otsusteni.

Pakett sisaldab 4 omavahel seotud dokumenti:

3.1. ISMS operatiivse juhtimise dokumentide juhend

• õige täitmise järjekord
  
• KKK sh "mis vahe on juhtkonna ülevaatuse protokollil ja kvartaalraportil?"
  

3.2. ISMS operatiivse juhtimise poliitika vorm

Juhtkonna taseme otsuste dokument:

• 7 KPI-d eesmärkide, sageduste ja vastutajatega
  
• mittevastavuste 3 raskusastet tähtaegadega
  
• juhtkonna ülevaatuse sagedus ja kohustuslik päevakord
  
• rollid: juhtkond, infoturbejuht, IT-juht, kõik töötajad — igaühel selge vastutus
  
• kinnitamine: juhatuse liige + infoturbejuht
  

3.3. Mõõdikute ja mittevastavuste register

Paketi süda — 3 töölehte:

• Infoturbe armatuurlaud
  
• Mittevastavuste register
  
• Dokumenteeritud info register
  

3.4. Juhtkonna ülevaatuse protokolli vorm

4. KKK

Kas juhtkonna ülevaatus on tõesti kohustuslik ISO 27001 jaoks? Jah — ilma dokumenteeritud juhtkonna ülevaatuse protokollita ei ole sertifikaat võimalik. See ei ole soovitus.

Kas juhtkonna ülevaatust saab teha kirja teel? Formaalselt ei keela ISO 27001 kirja teel ülevaatust. Praktikas soovitame koosolekut — audiitor küsib "kes osalesid ja millal koosolek toimus?" Protokoll peab vastama.

Mis vahe on käesoleva paketi protokollil ja juhatuse kvartaalraportil? Kvartaalraport on operatiivne vaheraport 4× aastas. Protokoll on formaalne ISO 27001:2022 nõue 1× aastas — juhatuse liige peab olema kohal ja allkirjastama.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.