Oled avastanud Defending Data ja otsustanud, et aeg on NIS2 ja KüTS rakendamisega tõsiselt pihta hakata. Tubli. Aga kust alustada?

Siin on täielik teekond — õiges järjekorras, koos kõigi vajalike blogiartiklite ja dokumentidega. Järgi seda nimekirja ja sa ei jää ühegi olulise sammuga hätta.

Kui infoturbe nõuete maailm oleks garderoob, siis: NIS2: “riietu ilmastikukindlalt” (ütleb kuidas, mitte mis brändi jope). KüTS: sama jope Eesti lõikega: lisab järelevalve ja riigispetsiifika. Esmased turvameetmed: “pane vähemalt kingad jalga, palun” miinimumtase. E-ITS: Eesti “standardraam”. ISO 27001: rahvusvaheline lavapääse: kõige rangem “näita dokumenteeritud infot” tase.

Kui oled viimastel kuudel infoturbe teemadega kokku puutunud, siis on tunne ilmselt selline: kõik räägivad NIS2-st, KüTS-ist, ISO 27001-st, E-ITS-ist… ja kuskil taustal vilksatavad veel esmased turvameetmed.

Tekib täiesti õigustatud küsimus: mida mul üldse päriselt vaja on, milline standard aluseks võtta?

Kui sõna riskihindamine paneb su meeskonna vaikima ja juhatuse pastakat lauale koputama, siis pole probleem riskides. Probleem on selles, kuidas riskihindamist ette kujutatakse.

Vaatame nüüd rahulikult läbi kogu selle tüütu riskihindamise protsessi.