IT AUDITID

IT auditi käigus hinnatakse infosüsteemidega seotud riske, tehakse tähelepanekuid puuduste kohta ja esitatakse soovitused puuduste kõrvaldamiseks.

Teostame IT juhtimise, IT arendusprojektide, ISO27001 auditeid ja IT auditeid mitmete muude standardite baasil.

ISO27001 audit

ISO27001 on maailmas üks enim kasutatav infoturbe juhtimise standardeid. “ISO/IEC 27001 Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded” standard kirjeldab nõuded infoturbe halduse süsteemi rajamiseks, evituseks, käigushoiuks ja pidevaks täiustamiseks.

Infoturbe halduse süsteemi kasutuselevõtt on üks organisatsiooni strateegilisi otsuseid. ISO27001 sisaldab nõudeid organisatsiooni infoturvariskide hindamiseks ja nende vähendamiseks. Selles standardis püstitatud nõuded on suhteliselt üldised ja universaalsed ning need on sobivad kõigile organisatsioonidele, sõltumata nende tüübist, suurusest või iseloomust.

ISO27001 auditi käigus hindavad meie audiitorid, kas organisatsioon vastab standardi nõuetele ja kas organisatsioon tegutseb vastavalt kehtestatud poliitikatele, protseduuridele ja välistele nõuetele.

ISO27001 audit on sobilik organisatsioonidele, kes soovivad teada, mis seisus ollakse infoturbe halduse korraldamisel ja tagamisel. Samas võivad ISO27001 auditi tellida asutused, kes on alles alustamas süstemaatiliselt infoturbe valdkonna korraldamist ja soovivad teada, millest alustada või millele enam tähelepanu pöörata.

NÕUSTAMINE

Elutähtsa teenuse riskianalüüside ja toimepidevuse plaanide koostamine

Vastavalt Hädaolukorra seadusele peavad elutähtsa teenuse osutajad koostama elutähtsa teenuse toimepidevuse riskianalüüsi ja elutähtsa teenuse toimepidevuse tagamise plaani ning esitama need igal aastal elutähtsat teenust korraldavale asutusele. Ei ole hea mõte teha neid analüüse ja plaane selleks, et seadus nõuab, vaid neid võiks ikka teha selleks, et nendest ka asutusele endale miskit kasu oleks.

Infoturbe korraldamine kasutades standardit ISO27001

ISO27001 on maailmas üks enim kasutatavaid standardeid infoturbe alaste tegevuste korraldamisel. 2013 aastal ilmus sellest standardist uuendatud versioon. Enamike standardite kasutusele võtmine eeldab head planeerimist ja oskuslikku rakendamist.

Infoturve kasutades etalonturbe metoodikat

Etalonturve on turbemetoodika, mille eesmärgiks on identifitseerida ja rakendada vajalikud turvameetmed, et saavutada asjakohane ja aktsepteeritav infovarade turvalisus. Etalonturbe metoodikateks on näiteks ISKE ja IT-Grundschutz. Kuna tegemist on suhteliselt mahukate standarditega, siis nende rakendamine eeldab veelgi paremat planeerimist ja läbi mõtlemist rakendamisel.

Infoturbe tagamine kasutades 18 kriitilist turvameedet

Sageli on infoturbe standardite rakendamine aeganõudev protsess. 18 kriitilist turvameedet on nn. kõrgema prioriteediga tehnilised meetmed, mille arendamisel on arvestatud enam levinud ja enim kahju tekitavate küberünde vektoritega. 18 kriitilist turvameedet on eelkõige tehnilised turvameetmed, mis peaks andma suhteliselt kiiresti tulemusi. Lisaks nende rakendamisele on jätkuvalt vajalik asjakohane infoturbe alane programm, mis sisaldab endas infoturbealaseid poliitikaid ja kordasid, personaliga seotud meetmeid, füüsilise turvalisusega seotud asjaolusid jmt.
18 kriitilist turvameedet https://www.cisecurity.org/controls/cis-controls-list

Infoturbe juhi teenus

Igas asutuses on terve hulk infoturbe alaseid tegevusi, mille eest peaks vastutama konkreetne inimene. Eriti oluline on see asutustes, kus teenuste osutamine või millegi tootmine sõltuvad infosüsteemidest. Alati ei pea palkama selleks inimest asutusse tööle, vaid infoturbe korraldamise ja vastavad tegevused saab teenusena sisse osta. Infoturbejuht tagab infoturvet reguleerivate juhiste olemasolu, elluviimise ja ajakohastamise, korraldab organisatoorsete, füüsiliste ja infotehniliste infoturbemeetmete rakendamist või asjaomase teenuse tellimist, kontrollib infoturvet reguleerivate juhiste täitmist, hindab asutuse infoturbe tõhusust ning koostab sellekohaseid raporteid juhtkonnale, osaleb asutuse arendus- või IT-nõukogu töös ja infosüsteemide arendusprojektides ning nõustab infoturbe riskide hindamisel, uute turvameetmete loomisel või olemasolevate parendamisel, juurutab asutuses turvaintsidentide haldamise korra, korraldab infosüsteemide valmisoleku hädaolukordadeks ning taasteplaani koostamise, teavitab töötajaid turvareeglitest, nõustab neid infoturbealaselt ning vajaduse korral korraldab asutuse töötajatele koolitusi üldise turvateadlikkuse tõstmiseks.

Füüsilise turvalisuse alane nõustamine

Infoturbe alaste meetmete rakendamisest on vähe kasu, kui samal ajal ei pöörata tähelepanu füüsilise turbe meetmetele. Võivad küll olla paigaldatud ja konfigureeritud väga head tulemüüri, IDS/IPS, viirustõrje süsteemid, kuid sellest on vähe kasu, kui serveriruumi uks on lahti või ei käi üldse lukku.

 

Kirjuta info@gvaudit.ee ja küsi täpsemalt!