Konsulteerime ja vajadusel ka korraldame teie andmete turvalisuse ja süsteemide kaitse.
Jäta meile oma e-mail ja võtame sinuga esimesel võimalusel ühendust.
- Blogi
- ISO/IEC 27001 või E-ITS: kumba infoturbestandardit eelistada?
ISO/IEC 27001 või E-ITS: kumba infoturbestandardit eelistada?
Suures plaanis on mõlema puhul tegemist tervikliku infoturbestandardiga ning kuigi nende lähenemisnurgad on mõnevõrra erinevad, siis mõlemad käsitlevad aspekte, mis on infoturbe kontekstis olulised.
Just seetõttu on ka kõigile E-ITS'i kohuslastele Küberturvalisuse seaduses (KüTS) jäetud võimalus, kas rakendatakse E-ITS või esitatakse sama ulatusega ISO/IEC 27001 sertifikaat.
ISO/IEC 27001 on ülemaailmne infoturbe standard, samas kui E-ITS on Eesti riiklik standard, mis põhineb sakslaste BSI IT-Grundschutz standardil, kuid on kohandatud kohalikule õigussüsteemile ja kontekstile, pakkudes detailseid juhiseid konkreetsete ohtude ja riskijuhtimise kohta.
E-ITS sisaldab endas 5 protsessimoodulit (Turbehaldus, Organisatsioon ja personal, Kontseptsioonid ja metoodikad, Käidutööd ning Avastamine ja reageerimine) ja 5 süsteemimoodulit(Taristu, Võrgud ja side, IT-süsteemid, Rakendused ning Tööstuse IT) ning nende sees siis kokku ca 1600 rakendamisele kuuluvat meedet. ISO/IEC 27001 jaotab oma 93 kontrolli (Controls) nelja mooduli vahel:Korralduslikud meetmed, Personali meetmed, Füüsilised meetmed ja Tehnilised meetmed.
E-ITS on kindlasti sobilikum kui asutus või organisatsioon on pigem Eesti keskne ja tegevuspiirkond on Eesti, sh erinevad avaliku sektori asutused. E-ITS keskendub eelnevalt määratletud meetmetega tüüpiliste ohtude vastu, lihtsustades riskijuhtimist standardsete organisatsioonide jaoks. Lisaks on RIA koostanud mitmetele organisatsioonidele — nagu perearstid, vee-ettevõtted, kütte-ettevõtted ja teised — profiilid, mis lihtsustavad standardi rakendamist.
ISO/IEC 27001 on sobilikum rahvusvahelisel areenil tegutsevate organisatsioonide ja asutuste jaoks (nt ülikoolid). Kui organisatsioon tegutseb globaalselt või taotleb rahvusvahelist tunnustust oma infoturbehalduse eest, pakub see terviklikku raamistikku infoturberiskide tuvastamiseks ja haldamiseks ning tugeva infoturbehaldussüsteemi loomiseks.
Peamised erinevused ISO/IEC 27001 ja E-ITS'i infoturbestandardite vahel
- Raamistik. ISO/IEC 27001 on rahvusvaheline ning sobib igas suuruses ja sektoris organisatsioonidele üle maailma, kasutatakse tihti turu- või sertifitseerimisvajadusest lähtuvalt. E-ITS on riiklik standard, loodud eelkõige Eesti avalikule sektorile, et tagada ühtne infoturbekorraldus. Kohustuslik riigiasutustele.
- Paindlikkus vs detailsus. ISO/IEC 27001 ütleb, et organisatsioon määrab ise ulatuse ja valib kontrollimeetmed riskihindamise alusel. Vajab organisatsioonilt infoturbealast küpsust. E-ITS on konkreetsem ja detailsem, sisaldab Eesti-spetsiifilisi täpseid ja konkreetseid juhiseid ning tegevusi. Rakendamine on selgem, kuid paindlikkus väiksem.
- Riskijuhtimise lähenemine. ISO/IEC 27001 puhul on riskijuhtimine ISMS-i tuum, ehk kogu süsteem ehitatakse riskide haldamise ja pideva parendamise ümber. E-ITS'is on riskijuhtimine olemas, kuid pigem vormiline.
Üks tööriist, kaks infoturbestandardit: E-ITS ja ISO/IEC 27001
Infoturbe rakendamine ei pea olema peavalu. Õige tööriist muudab kogu protsessi kiiremaks, selgemaks ja usaldusväärsemaks. Selle tulemuseks on tugevam infoturve ja vähenenud riskid.
Eitsify app võimaldab terviklikku infoturvet ülesse ehitada ja on sobilik nii E-ITS'i kui ka ISO/IEC 27001 standardile.
Eitsify infoturbetööriist sisaldab ISO/IEC 27001 tarbeks:
- Eestikeelne ISO/IEC 27001 infoturbe tööriist (loomulikult on olemas ka inglise keel).
- Äriprotsesside kaardistamine.
- Kasutajad ja rollid.
- Kontrollide haldus ja terviklik rollipõhine ISMS plaan.
- Intuitiivne ja loogiline kasutajaliides.
- ISO/IEC 27001 uuendused.
- Ülevaated ja aruandlus juhtkonnale.
- Custom moodulid kui mõni ISO/IEC 27001 kontroll seda ei kata.
- Varad.
Kui ISMS on tööriistas üles ehitatud, on seda lihtne auditeerida, ajakohastada ja täiustada. See tähendab, et standardi täitmine ei ole ühekordne pingutus, vaid muutub loomulikuks osaks ettevõtte juhtimises.
Vaata lähemalt: Eitsify app. E-ITS või ISO/IEC 27001 .. vali lihtsalt õige raadionupp :)
