Turvameetmete register ja kontroll (sh SoA) — ISO 27001 valmis lahendus

119,00 €

Sest "meil on turvameetmed olemas" ja "meil on tõend, et need toimivad" on kaks väga erinevat lauset.

Infoturbes on üks klassikaline probleem: riskid on hinnatud, tabelid on täidetud… aga keegi ei tea, kas midagi päriselt ka tehakse.

See dokumentatsioonipakett lahendab selle. Turvameetmete register kaardistab kõik meetmed, seob need riskidega ja tõendab vastavust. Turvameetmete kontroll kinnitab, et meetmed päriselt toimivad — mitte ainult paberil.

Komplekt: 3 dokumendi malli — saad emailile

Lisa ostukorvi

1. Milleks see dokumentide komplekt on?

Kui riskihindamine on tehtud, tekib alati üks küsimus: mida me nende riskidega päriselt teeme?

See on küsimus, millele turvameetmete dokumentatsioon vastab.

Turvameetmete register aitab sul:

  • kaardistada kõik rakendatud turvameetmed ühes kohas
  • siduda need konkreetsete riskide ja kontrollidega
  • koostada ISO 27001 nõutud SoA (Statement of Applicability)

Turvameetmete kontroll aitab sul:

  • hinnata, kas meetmed tegelikult toimivad
  • koguda tõendeid auditiks, sisehindamiseks ja juhtkonnale
  • tuvastada parenduskohad enne, kui audiitor seda teeb

Koos loovad need süsteemi, mis vastab küsimusele: "Kas meie infoturve töötab või me lihtsalt loodame, et töötab?"

Dokumentatsioon on üles ehitatud nii, et see toetab:

  • ISO/IEC 27001:2022
  • NIS2 direktiivi
  • KüTS
  • E-ITS loogikat
Oluline põhimõte: register annab ülevaate, poliitikad annavad sisu, kontroll annab tõendi.

2. Kellele sobib?

See mall sobib sulle, kui:

  • sa rakendad või plaanid rakendada ISO 27001
  • sa pead täitma NIS2 või KüTS nõudeid
  • sul on riskihindamine olemas (või tegemisel)
  • sa tahad aru saada, mis turvameetmed sul tegelikult on
  • sa valmistud auditiks või sisehindamiseks

Eriti kasulik:

  • juhatusele (ülevaade ja vastutus)
  • infoturbejuhile (praktiline töövahend)
  • audiitorile (tõend, mitte jutt)

3. Mida saad?

See tootepakett sisaldab:

3.1. Turvameetmete vormide juhend

  • selgitab, kuidas dokumente kasutada
  • seob turvameetmed riskihindamise ja poliitikatega
  • annab loogika, kuidas kogu süsteem töötab

3.1. Turvameetmete registri, sh SoA vorm

  • kõik turvameetmed ühes tabelis
  • seos riskide ja ISO/E-ITS kontrollidega
  • rakendamise staatus ja vastutajad
  • SoA leht ISO 27001 jaoks

3.2. Turvameetmete kontrolli vorm

  • kontrollküsimused iga meetme kohta
  • vastused ja hinnangud
  • tõendite dokumenteerimine
  • kontrolli kuupäevad

4. KKK

Kas see sobib ka siis, kui meil ei ole veel ISO 27001 sertifikaati? Jah — register ja kontroll on kasulikud igale organisatsioonile, kes soovib teada, mis turvameetmed neil tegelikult on. ISO sertifitseerimine on järgmine samm, mitte eeldus.

Mis vahe on registril ja kontrollil? Register kaardistab — mis meetmed meil on. Kontroll tõendab — kas need meetmed päriselt toimivad. Mõlemad on vajalikud. Üks ilma teiseta on pool lahendust.

Kas SoA on kohustuslik? SoA on kohustuslik ainult ISO 27001 sertifitseerimisel. Kui sa E-ITS-i või KüTS-i järgi töötad, võid SoA lehe vahele jätta — register töötab ka ilma selleta.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.