Esileht»EVS»Uudised 2019»Uudised 2014

Standardite ISO/IEC 27001 ja ISO/IEC 27002 uusversioonid nüüd eesti keeles

7.10.2014

Organisatsioonis infoturbe halduse süsteemi loomisel ja uuendamisel on mõistlik esmalt tutvuda parimate rahvusvaheliselt tunnustatud praktikatega, mille hea näide on ISO/IEC 27000 standardite sari. Standard ISO/IEC 27001 on raamistik, mis seab eesmärgid infoturbe halduse süsteemile. Standard ISO/IEC 27002 määrab, mida tuleb teha eesmärkide täitmiseks. Muud selle pere standardid aitavad lahti mõtestada, kuidas infoturbe eesmärke täita. Standardi ISO/IEC 27001 nõuete vastavusele kinnituseks on võimalik organisatsioonil taotleda sertifikaati, mis annab organisatsiooni töötajatele, klientidele ja kõigile teistele huvipooltele kinnituse, et organisatsioon väärtustab andmekaitse ja infoturbe parimaid tavasid.

Standardite ISO/IEC 27001:2005 ja ISO/IEC 27002:2005 uuendamise vajadus selgus standardite tavapärase elutsükli käigus. Peamised ajendid muudatusteks tulevad IT-standarditesse eelkõige ümbritsevast keskkonnast, milles organisatsioonid tegutsevad. Näiteks infoturbe raskuspunktid liiguvad majasiseselt pakutavatelt teenustelt väljastostetavatele teenustele ja nendega seotud riskidele.
 
Plaanitud on, et kõik ISO haldus-/juhtimissüsteemide standardid viiakse kooskõlla ISO/IEC direktiivi osa 1 lisas SL esitatuga (ISO/IEC Directives Part 1, Annex SL Proposals for management system standards). Nii tagatakse edasine koostoime kõigi haldus-/juhtimissüsteemi standarditega (nt EN ISO 9001, EN ISO 14001, EN ISO 22301, ISO 31000 jne), mis võimaldab neid standardeid lihtsalt ühildada ja dubleerimisi vähendada. Nii on ISO/IEC 27001:2013 saanud endale uue struktuuri ja seetõttu ei leia sealt enam lisasid C ja D, mis standardite omavahelisi kattuvusi kirjeldasid.
 
ISO/IEC 27001:2013 lisa A võtab lühidalt kokku standardi ISO/IEC 27002:2013. Olulised muudatused on toimunud ka ISO/IEC 27002:2013 sisus, mida on kaasajastatud, vähendatud on dubleerimisi. Rakendaja jaoks on oluline teada, et muutunud on numeratsioon, seetõttu tuleks vana kohaldusmäärang uue standardiga käsikäes ridahaaval läbi vaadata.
 
Valik sisulisi muudatusi standardis ISO/IEC 27001:2013:
• Loobutud on kohustusest rakendada mudelit Plan-Do-Check-Act.
• Senise juhtkonna kohustumuse juures on rõhuasetus juhtkonna kaasamisel, mitte juhtkonna määratud isiku kaasamisel.
• Termin „riskiosaline“ (stakeholder) on asendatud „huvipoolega“ (interested party).
• „Vara omaniku“ (asset owner) asemel on uue terminina kasutusel „riski omanik“ (risk owner).
• Uue kontseptsioonina ei nõuta esmalt varade inventuuri, vaid alustada võib kohe riski kaalutlemisega.
• Seniste „dokumentide ja andmike“ (records) asemel on uues versioonis kasutuses vaid „dokumenteeritud teave“ (documented information).
• Juhtkondlik läbivaatus on saanud endale varasema sisendi ja väljundi asemel käsitlusteemad.
• Juhtkondlikke läbivaatusi tuleb korraldada nüüd plaaniliste vaheaegade järel, varasem nõue oli teha juhtkondlikke läbivaatusi kord aastas.
 
Uuele standardile üleminek toimub kuni 1. oktoobrini 2015. Selleks ajaks peavad olema tehtud ka uuele versioonile vastavad sertifitseerimisauditid.

Standardid on saadaval meie e-poes

 
EVS-ISO/IEC 27001:2014  „Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid. Nõuded“  hinnaga 13,22 EUR
 
EVS-ISO/IEC 27002:2014  „Infotehnoloogia. Turbemeetodid. Infoturbemeetodite tavakoodeks“ hinnaga 22,15 EUR

Koolitus

 
20. novembril on hea võimalus osaleda Infoturbe meetodite alasel koolitusel, kus räägitakse uuendustest nendes standardites. Registreeri end juba täna!
 
Artikkel on valminud koostöös Cybernetica AS-ga. 
 
Info- ja turundusosakond
Print  
Komplekteeritav kogu2 AK portaal2