1. Alustame kõige olulisemast: KüTS nõue

Kui sinu ettevõte kuulub KüTS (küberturvalisuse seaduse) kohaldamisalasse, siis sul ei ole valikut “kas midagi teha”.

Sul on valik:

JA lisaks:

• rakendada E-ITS esmased infoturbenõuded (need on kohustuslikud igal juhul)

Ehk lihtsas keeles:

• ISO/IEC 27001 = rahvusvaheline sertifikaat
  
• E-ITS = Eesti riigi praktiline standard
  
• esmased meetmed = miinimum, millest ei pääse keegi
  

See ei ole “nice to have”.
See on regulatiivne reaalsus. 

2. Mis asi see ISO/IEC 27001 sertifikaat üldse on?

ISO/IEC 27001:2022 on standard, mis ütleb:

• kuidas organisatsioon peab juhtima infoturbe riske
  
• kuidas tõendada, et see ei ole lihtsalt "Excel kuskil kaustas"
  
• kuidas luua toimiv ISMS (Information Security Management System)
  

Sertifikaat tähendab:

• sõltumatu audiitor on kontrollinud
  
• süsteem töötab — mitte ainult ei eksisteeri
  
• juhtkond on kaasatud
  
• riskid on teadlikult juhitud
  

See on sisuliselt: "Me ei improviseeri turvalisust, me juhime seda."

3. Kuidas ISO 27001 sertifikaati tehakse?

See ei ole üks dokument. See on süsteem.

3.1. Ulatuse ja konteksti määramine 

Mida sa kaitsed? Millised protsessid, süsteemid, teenused kuuluvad sisse?

3.2. Riskihindamine 

Mis võib valesti minna? Kui halb see on? Mida me sellega teeme?

3.3. Turvameetmete valik (Annex A) 

Ligipääsud, varade haldus, logimine, tarnijad ja palju muud — kõik 93 kontrolli kaalutakse läbi.

3.4. Dokumentatsiooni loomine 

Poliitikad, protseduurid, registrid, tõendid. Siin tulevad Defending Data dokumendipaketid kasuks.

3.5. Rakendamine 

Kas inimesed päriselt järgivad seda? Kas kontrollid toimivad? Dokument ei kaitse kedagi — rakendamine kaitseb.

3.6. Siseaudit 

Kontrolli iseennast enne sertifitseerimise auditit — tuleb teha igal aastal. Defending Data saab sind siin aidata.

3.7. Sertifitseerimisaudit 

Seda saab teha ainult akrediteeritud sertifitseerimisasutus.

• Stage 1 — eelkontroll: dokumentide ülevaade
  
• Stage 2 — päris audit: päriselu kontroll
  

3.8. Järelevalveauditid 

Igal aastal kontrollaudit. Sertifikaadi kehtivus on kolm aastat — seega tehakse kahe aasta jooksul kaks järelevalveauditit.

3.9. Taassertifitseerimisaudit 

4. Kui kaua see aega võtab?

Realistlik vaade:

5. Kes selle sertifikaadi väljastab?

ISO sertifikaati ei anna “ISO ise”.

Seda teevad akrediteeritud sertifitseerimisasutused, näiteks:

• Bureau Veritas
  
• DNV
  
• SGS
  
• TÜV
  

Eestis tegutsevad mitmed neist otse või partnerite kaudu. 

6. Kui palju ISO 27001 sertifikaat maksab?

• Sertifitseerimine: ~5 000 € – 20 000 €+
  
• Konsultatsioon (kui võtad): ~5 000 € – 30 000 €+
  
• Sinu enda aeg: kõige kallim komponent — sest see on aeg, mida sa ei saa tagasi osta
  

7. Kuidas Eestis ISO 27001 teha?

Sul on kolm realistlikku varianti:

7.1. Teed ise 

• Odavam, aga aeganõudev. 
  
• Risk: teed "valesti õige asja" — dokumendid on olemas, aga süsteem ei tööta.
  

7.2. Konsultandiga 

• Kiirem, kallim. 
  
• Tulemus sõltub konsultandi kvaliteedist.
  

7.3. Struktureeritud mallidega 

• Kuluefektiivne, juhendatud, loodud ISO + E-ITS + NIS2 + KüTS loogikaga. 
  
• Defending Data dokumendid on loodud just selleks — nii, et inimene saab aru, mitte ainult audiitor.

8. Mida sul päriselt vaja on?

ISO 27001 ei küsi "kas sul on dokument". See küsib:

• kas sul on kontroll
  
• kas sa tead oma riske
  
• kas juhtkond vastutab
  

Praktikas tähendab see vähemalt järgmist:

• infoturbepoliitika
  
• riskihindamine ja metoodika
  
• riskide käsitlemise plaan
  
• varade register
  
• ligipääsude haldus
  
• tarnijate haldus
  
• intsidentide käsitlus
  
• audit ja seire
  

Ja kõige olulisem: tõendid. Mitte dokumendid — tõendid. Need on kaks eri asja.

9. Kas ISO 27001 või E-ITS?

• Rahvusvahelised kliendid? → ISO 27001
  
• Pigem Eesti-sisene? → E-ITS
  
• Tahad mõlemat? → Tee nutikalt. Defending Data dokumendid on loodud nii, et üks pakett katab mõlemad — ISO ja E-ITS loogika on sees.
  

Loe lähemalt ka siit: ISO 27001 vs E-ITS: kumb valida NIS2 ja KüTS jaoks? 

10. Defending Data ISO 27001 dokumendipakett

Kui sa tahad ISO 27001 teha nii, et:

• see vastab standardile
  
• see arvestab ka E-ITS ja KüTS nõudeid
  
• sa ei kuluta kuid “tühja Excelit vaadates”
  

... siis vaata Defending Data dokumentatsioonipakette ja loe ka lähemalt, kuidas alustada infoturbega.

Seal on:

• valmis struktuur
  
• juhendid iga sammu jaoks
  
• audit-ready loogika
  
• kirjutatud nii, et inimene saab aru (mitte ainult audiitor)

11. KKK - korduma kippuvad küsimused – ISO 27001 sertifikatsiooni kohta

Kas ISO 27001 sertifikaat on KüTS järgi kohustuslik?

Ei ole otseselt kohustuslik, kuid KüTS nõuab:

• kas ISO 27001 sertifikaati
  
• või E-ITS rakendamist
  
• alati ka E-ITS esmaseid infoturbenõudeid 

Kas väiksel ettevõttel on seda mõtet teha?

Jah, kui:

• kuulud KüTS/NIS2 alla
  
• töötled tundlikke andmeid
  
• tahad usaldusväärsust tõsta
  

Ei, kui:

• teed seda ainult “sest keegi ütles”
  

Kas ma saan ISO 27001 teha ilma konsultandita?

Jah. Aga:

• vajad väga head struktuuri
  
• vajad arusaama standardist
  
• vajad süsteemi, mitte dokumente
  

See artikkel on kirjutatud selgitamise, mitte õigusnõustamise eesmärgil. Iga ettevõte on erinev — kui kahtled, küsi inimeselt, mitte ainult internetist.