1. Milleks see dokumentide komplekt on?

NIS2 ja küberturvalisuse seadus (KüTS) ei nõua lihtsalt riskide „ära kaardistamist“.
Nad eeldavad, et riske juhitakse teadlikult, põhjendatult ja juhtimistasandil.
Loe ka blogipostitust - riskihindamine NIS2 ja KüTS võtmes - mis on oluline?

Käesolev dokumentide komplekt ei ole lihtsalt riskihindamise mall.
See on terviklik riskihalduse süsteem, mis aitab sul:

• tuvastada päris riskid (mitte teoreetilised ohud)
• hinnata nende mõju ja tõenäosust ühtse metoodika alusel
• teha teadlikke juhtimisotsuseid
• dokumenteerida riskide käsitlemine ja jääkrisk
• näidata vastavust ISO 27001, NIS2, KüTS ja GDPR nõuetele

See lahendus ühendab:

• poliitika
• metoodika
  
• riskiregistri
  
• juhtkonna otsused
  

üheks loogiliseks tervikuks.

Tulemus: riskihaldus, mis päriselt töötab, mitte lihtsalt “on olemas”.

2. Kellele see sobib?

See dokumentide pakett on loodud organisatsioonidele, kes:

• tahavad rakendada või täiustada ISO 27001 infoturbe juhtimissüsteemi
• peavad vastama NIS2 või KüTS nõuetele
• töötlevad isikuandmeid (GDPR)
• soovivad teha riskihindamist struktureeritult ja auditeeritavalt
• vajavad selget ja juhitavat riskihalduse süsteemi, mitte Exceli kaost

Sobib eriti hästi:

• väikestele ja keskmise suurusega ettevõtetele
• kasvavatele organisatsioonidele
• IT- ja teenuseettevõtetele
• organisatsioonidele, kus riskihaldus on seni olnud “ad hoc”

3. Mida saad?

Sa saad 6 omavahel seotud dokumenti, mis moodustavad täieliku riskihalduse süsteemi:

3.1. Riskihindamise dokumentatsiooni juhend

Selgitab, kuidas kõik allolevad dokumendid koos töötavad:

• metoodika → riskiregister → juhtimisotsus
  
• kuidas dokumente kasutada
  
• kuidas neid regulaarselt uuendada
  

3.2. Riskihindamise poliitika vorm

Määrab, kuidas riskihindamine organisatsioonis töötab:

• ulatus ja kontekst
• riskikriteeriumid
• rollid ja vastutus
• riskihindamise protsess
• seire ja aruandlus

3.3. Riskihindamise poliitika vormi juhend

Selgitab poliitika sisu inimkeeles:

• mida iga peatükk tähendab
• mida sinna kirjutada
• kelle jaoks see oluline on

3.4. Riskihindamise metoodika ja juhend

Kirjeldab, kuidas riske hinnatakse:

3.5. Riskihindamise ja riskiregistri vorm

Sinu organisatsiooni tegelik riskipilt:

• varad ja protsessid
• riskikirjeldused
• mõju ja tõenäosus
• riskiskoor ja tase
• meetmed, vastutajad ja tähtajad
• jääkrisk

3.6. Riskihindamise kokkuvõtte ja juhatuse otsuse vorm

Juhtkonna taseme otsustusdokument:

• peamised riskid
• riskide prioriteedid
• käsitlemise otsused
• vastutajad ja tähtajad
• jääkriski aktsepteerimine

Tõendab, et juhtkond teeb teadlikke otsuseid.

4. KKK

Kas see pakett sobib ka siis, kui meil ei ole veel ISO 27001 sertifikaati? Jah — pakett on loodud just selleks, et aidata sul riskihindamise süsteem nullist üles ehitada. ISO 27001 sertifitseerimine on järgmine samm, mitte eeldus.

Kas Excel-riskiregister on kohandatav? Jah — kõik dokumendid, sealhulgas Excel, on kohandatavad vastavalt sinu organisatsiooni vajadustele.

Kas see vastab ka E-ITS nõuetele? Jah — kõik dokumendid on toodud E-ITS märkmetega.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.