Oled avastanud Defending Data ja otsustanud, et aeg on NIS2 ja KüTS rakendamisega tõsiselt pihta hakata. Tubli. Aga kust alustada?

Siin on täielik teekond — õiges järjekorras, koos kõigi vajalike blogiartiklite ja dokumentidega. Järgi seda nimekirja ja sa ei jää ühegi olulise sammuga hätta.

Kui keegi ütleb “ISO 27001 sertifikaat”, siis enamasti tekib kaks reaktsiooni: 1. “See on vist midagi väga kallist ja keerulist”. 2. “Kas ma üldse pean seda tegema?”

Hea uudis: see ei ole must kast. Veel parem uudis: kui sa loed selle postituse lõpuni, saad sa päriselt aru, kuidas sertifikaadi tegemine käib.

Kui keegi ütleb “ISMS dokumentatsioon”, siis paljud kujutavad ette: lõputut failimassi, dokumente, mida keegi ei loe ja auditit, mis tuleb nagu eksam, milleks keegi ei õppinud.

Reaalsus ei pea selline olema.

Kui infoturbe nõuete maailm oleks garderoob, siis: NIS2: “riietu ilmastikukindlalt” (ütleb kuidas, mitte mis brändi jope). KüTS: sama jope Eesti lõikega: lisab järelevalve ja riigispetsiifika. Esmased turvameetmed: “pane vähemalt kingad jalga, palun” miinimumtase. E-ITS: Eesti “standardraam”. ISO 27001: rahvusvaheline lavapääse: kõige rangem “näita dokumenteeritud infot” tase.

Kui oled viimastel kuudel infoturbe teemadega kokku puutunud, siis on tunne ilmselt selline: kõik räägivad NIS2-st, KüTS-ist, ISO 27001-st, E-ITS-ist… ja kuskil taustal vilksatavad veel esmased turvameetmed.

Tekib täiesti õigustatud küsimus: mida mul üldse päriselt vaja on, milline standard aluseks võtta?