1. Milleks see dokumentide pakett on?

Enamik organisatsioone teeb siseauditi ühel hetkel: kaks nädalat enne ISO 27001 sertifitseerimisauditit, kiirustades, pinnapealselt. Tulemus on dokument, mitte teadmine. Ja sertifitseerimisaudiitor leiab ikkagi lüngad.

See pakett lahendab täpselt selle probleemi:

• planeerib siseauditid aasta peale ette — mitte paanikas, vaid struktureeritult
  
• annab audiitorile struktureeritud töövahendi kõikide 93 Annex A kontrolli ja klauslite 4–10 jaoks
  
• dokumenteerib kõik leiud ühtlaselt
  
• tagab, et leiud jõuavad mittevastavuste registrisse ja juhtkonna ülevaatuse päevakorda
  

Tulemus: siseaudit, mis päriselt toimib — mitte aastane dokument riiulil.

2. Kellele see sobib?

See pakett on mõeldud organisatsioonidele, kes:

• valmistuvad ISO 27001 sertifitseerimiseks
  
• on saanud välisaudiitorilt märkuse "siseauditi programm puudub" või "leidude register on tühi"
  
• peavad vastama NIS2, KüTS või ISO 27001 nõuetele

Sobib eriti:

• infoturbejuhile, kes peab siseauditi protsessi üles ehitama nullist
  
• IT-juhile, kes viib ristauditit läbi — vajab struktureeritud kontrollnimekirja
  
• juhtkonnale, kes kinnitab auditi aastaplaani ja soovib aru saada, mida kinnitatakse
  
• organisatsioonile, kes tahab teada oma lünki enne, kui sertifitseerimisaudiitor need leiab
  

3. Mida saad?

See ei ole lihtsalt kontrollnimekiri. See on täielik siseauditi süsteem — programmist sulgemiseni.

Pakett sisaldab 4 omavahel seotud dokumenti:

3.1. Siseauditi dokumentide juhend

Selgitab, kuidas kõik neli dokumenti koos töötavad:

• miks siseaudit erineb igapäevasest tööst
  
• 3-aastase audititsükli loogika
  
• 5-sammuline täitmise järjekord
  
• KKK sh "kas audiitor peab olema sertifitseeritud?", "kas kõiki 93 kontrolli tuleb korraga auditeerida?"
  

3.2. Siseauditi aastaplaani vorm

ISO 27001:2022 klausel 9.2.1 kohustuslik nõue — dokumenteeritud auditi aastaplaan:

• aastaplaan kuni 5 auditiga
  
• auditite ulatuse tabel
  
• audiitorite ja sõltumatuse tabel
  
• leidude raskusastmed tähtaegadega
  
• aruandluse tabel
  
• audititulemuste kokkuvõtte tabel

3.3. Siseauditi kontrollnimekirja vorm

Audiitori põhitööriist — 2 töölehte:

• ISO 27001:2022 klauslid 4–10
  
• Annex A kõik 93 kontrolli
  

3.4. Siseauditi leidude registri vorm

Audiitori tõenddokument, mis elab edasi pärast auditit:

• 14 veergu iga leiuga
  
• rippmenüüd
  
• 5 eeltäidetud näidisleid päriselust
  
• 7-sammuline protsess leiust sulgemiseni
  

4. KKK

Kas siseaudiitor peab olema sertifitseeritud? ISO 27001:2022 ei nõua sertifikaati — nõuab sõltumatust ja pädevust. Väikeses organisatsioonis töötab ristaudit: IT-juht auditeerib infoturbejuhi vastutusalas olevaid protsesse ja vastupidi. Sertifikaat (nt ISO 27001 Lead Auditor) on hea tõend pädevuse kohta, aga mitte kohustuslik.

Kas kõiki 93 Annex A kontrolli tuleb korraga auditeerima? Ei. Soovituslik on 3-aastane tsükkel.

Tühi leidude register tähendab, et kõik on korras? Ei — tühi register on punane lipp. Täiuslikku organisatsiooni ei ole. Tühi register tähendab, et keegi ei otsi.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.