Turvaintsidentide halduse ja teavitamise dokumendipakett (NIS2, KüTS, ISO 27001 valmis lahendus)

129,00 €

Sest kui turvaintsident juhtub, ei ole sul vaja rohkem dokumente. Sul on vaja süsteemi.

Täielik turvaintsidendihalduse dokumentatsioonipakett, mis aitab sul üles ehitada toimiva intsidendihalduse süsteemi — alates poliitikast ja protseduurist kuni teavitamisvormide ja registrini. Vastab ISO 27001:2022, NIS2, KüTS ja GDPR nõuetele.

Komplekt: 6 dokumendi malli

Lisa ostukorvi

1. Milleks see dokumentide komplekt on?

NIS2 ja küberturvalisuse seadus (KüTS) ei nõua lihtsalt turvaintsidentide "ära registreerimist". Nad eeldavad, et turvaintsidentidele reageeritakse teadlikult, koordineeritult ja seaduslikke tähtaegu järgides.

See dokumentendipakett aitab sul vastata ühele väga konkreetsele küsimusele: mis me teeme, kui midagi päriselt juhtub?

Pakett annab sulle:

  • selge turvaintsidentide halduse süsteemi
  • otsustusloogika (millal reageerida, millal eskaleerida, millal teavitada)
  • praktilised sammud turvaintsidendi lahendamiseks
  • valmis teavitamise loogika ja vormid nii RIA kui ka AKI jaoks
  • seose riskihalduse, varundamise ja talituspidevusega

See ei ole compliance dokument. See on tööriist olukordadeks, kus keegi on just klikkinud valele lingile ja sul on 24 tundi aega reageerida — või andmed on lekkinud ja AKI 72-tunnine tähtaeg hakkab jooksma.

Dokumendid põhinevad reaalsel elutsüklil: tuvastamine → hindamine → reageerimine → taastamine → teavitamine → parendamine.

2. Kellele sobib?

See pakett on sulle, kui:
  • pead vastama NIS2, KüTS või GDPR, IKS nõuetele
  • valmistud ISO 27001 rakendamiseks või auditiks
  • sul on juba IT või infoturve, aga puudub selge turvaintsidendihaldus
  • tahad vältida olukorda, kus turvaintsident = paanika

Sobib eriti hästi:

  • väikese ja keskmise suurusega ettevõtetele
  • teenuseosutajatele (sh digiteenused)
  • organisatsioonidele, kes töötlevad isikuandmeid
  • organisatsioonidele, kelle teenuse katkestus mõjutab kliente

3. Mida saad?

Sa ei saa ühte faili. Sa saad terviklahenduse:

3.6 Turvaintsidendihalduse dokumentide juhend

Selgitab kogu süsteemi inimkeeles — sealhulgas mida RIA, AKI ja andmesubjektide teavitamine tähendab ja millal kumb kehtib.

3.1 Turvaintsidendihalduse ja teavitamise poliitika

Määratleb reeglid ja vastavuse nõuded. Sisaldab mõõdikuid (MTTD, MTTR) ja poliitika iga-aastase ülevaatuse nõuet:

  • ulatus ja kontekst
  • rollid ja vastutus
  • turvaintsidentide klassifitseerimine (kriitiline / kõrge / keskmine / madal)
  • seire ja aruandlus

3.2 Turvaintsidendihalduse ja teavitamise protseduur

Samm-sammuline tegevusplaan turvaintsidendi korral — sisaldab klassifitseerimismaatriksit, lühi- ja pikaajalise ohjeldamise eristust ning taastamisjärgse seire nõuet:

  • tuvastamine ja registreerimine
  • ohjeldamine ja uurimine
  • taastamine ja sulgemine
  • õppetunnid ja parendus

3.3 Turvaintsidentide ja parenduste register

Koht, kus tekib tõend (audit-ready). Sisaldab automaatseid MTTD ja MTTR arvutusi ning KPI ülevaate lehte:

  • turvaintsidendi ID, tüüp ja klassifikatsioon
  • rakendatud meetmed ja teavitamised
  • õppetunnid ja parendustegevused vastutajate ning tähtaegadega

3.4 Küberintsidentidest teavitamise juhend

Millal ja kuidas teavitada RIA-t ja AKI-t — ilma liigse stressita. Katab nii KüTS (RIA, 24 h) kui GDPR (AKI, 72 h) kohustused koos selge otsustuspuuga.

3.5 Küberintsidentidest teavitamise vormid 1–5

Esmane teade, täpsustus, vahearuanne ja lõpparuanne RIA-le (vormid 1–4) + AKI teavitusvorm isikuandmete rikkumise korral (vorm 5).

4. KKK

Kas iga väike sündmus tuleb ka registrisse panna? Jah — muster on nähtav ainult siis, kui andmed on olemas. Kümme "väikest" sündmust ühes süsteemis ühe kuu jooksul ei ole juhus. Audiitor küsib, mida te tegite — "meil ei juhtunud midagi" pole usaldusväärne vastus.

Kas see pakett sobib ka siis, kui meil ei ole veel ISO 27001 sertifikaati? Jah — pakett on loodud just selleks, et aidata sul intsidendihalduse süsteem nullist üles ehitada. ISO 27001 sertifitseerimine on järgmine samm, mitte eeldus.

Kas see vastab ka E-ITS nõuetele? E-ITS kohaldub avaliku sektori asutustele. Kui sinu organisatsioon ei ole avaliku sektori asutus, siis E-ITS märkused ei kohaldu.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.