IT-uudised
Telli
IT-uudised
  • 28.01.25, 22:59

Kolm viisi, kuidas hinnata teenusepakkuja vastavust infoturbe nõuetele

Ettevõtted toetuvad üha enam tehnoloogiale ja e-teenustele, sageli ka märkamata, kuivõrd suurt osa neist teenustest väljastpoolt sisse ostetakse.
Nii õiguslik kui lepinguline vastutus teabe kaitsmise eest jääb teile, mitte teie teenusepakkujale, selgitab koolitaja Thea Sogenbits.
  • Nii õiguslik kui lepinguline vastutus teabe kaitsmise eest jääb teile, mitte teie teenusepakkujale, selgitab koolitaja Thea Sogenbits. Foto: Liina Notta
Samas avaldavad ettevõtte tegevusele suur mõju teenusekatkestused ja infolekked. Äriprotsesside kahjustada saamine ei pruugi siis piirduda tööseisakuga, vaid lekkida võib ka tundlik teave.
Paljud juhid usaldavad teenusepakkujate kinnitusi, et nende tehniline meeskond teab, mis nad teevad ja lepingu sõlmimine oleks justkui piisav turvameede. Teenusekatkestuse korral kahjusid kokku lugedes ei suudeta ära imestada, et kuidas küll nii läks.
Tegelikkuses peab teenusepakkuja olema valmis täitma kindlaid lepingulisi ja infoturbe alaseid nõudeid, kuid õiguslikku vastutust (näiteks tulenevalt küberturvalisuse seadusest (KüTS), hädaolukorra seadusest (HOS) või andmekaitse üldmäärusest (GDPR) ei saa delegeerida. Nii õiguslik kui lepinguline vastutus teabe kaitsmise eest jääb organisatsioonile endale.
Sõlmitavasse lepingusse on vaja lisada tarnija kohustus täita organisatsiooni turvanõudeid, kuid kuidas tagada hoolsuskohustuse täitmine ja veenduda, et tellitud teenus vastab kokkulepitud infoturbenõuetele?
Siin on kolm praktilist viisi, mis aitavad hinnata ja kindlustada teenusepakkujate vastavust infoturbenõuetele.
1. Enne lepingu sõlmimist kontrolli teenusepakkuja infoturbe sertifikaate ja lisa kohustus neid regulaarselt uuendada
Esimene samm tagamaks, et teenusepakkuja võtab infoturvet tõsiselt, on kontrollida, kas tal on asjakohased sertifikaadid ja auditite aruanded, mis tõendavad infoturbe süsteemi taset. Näiteks sertifitseerimine ISO/IEC 27001 või auditite läbimine (nagu E-ITS, SOC-2 või NIST) annab kindlust, et teenusepakkujal on paigas infoturbe protseduurid ja juhtimismeetmed.
Täpsema ülevaate saamiseks tasub lepingusse lisada nõue, et teenusepakkuja esitab sõltumatu auditi aruande infoturbe meetmete toimivuse kohta ning aitab läbi mõelda oma vastavuses veendumise nõuetest ja vajadustest tulenevat skoopi ning seireprotseduure.
Aruandes välja toodud vajakajäämised vajavad teenusepakkuja poolset õigeaegset parandamist. Oluline on lisada ka vastav punkt lepingusse, mis kohustab teenusepakkujat tõstatatud küsimuste õigeaegseks parandamiseks.
2. Lisa lepingusse õigus viia läbi auditeid teenusepakkuja protsesside ja turvameetmete hindamiseks
Täiendav võimalus kontrollida, kas lepingupartner täidab oma lepingulisi kohustusi turvanõuete täitmiseks, on viia läbi teise osapoole audit. Teise osapoole auditit on võimalik läbi viia enne lepingu sõlmimist kui ka lepingu kestel.
Korrapärane auditite planeerimine ning skoobi läbimõtlemine aitab täpsustada, milliseid valdkondi seirata ja mis nõudeid jälgida. Auditit võib teostada ettevõtte oma küberturbe meeskond, ent seda võib tellida ka sertifitseeritud audiitorilt.
3. Lisa lepingusse teenusepakkuja kohustus esitada regulaarselt aruandeid teenusele teostatud turva-, taaste- ja talitluspidevustestide kohta
Sisseostetavatel teenustel on vaja planeerida turve kogu teenuse elutsükli jooksul, mistõttu on mõistlik lisada lepingusse teenusepakkuja kohustus regulaarselt teostada süsteemide turva-, taaste- ja talituspidevusteste ning esitada nende tulemuste aruanded.
Regulaarne testimine aitab parendada organisatsiooni võimet oma teenuseid kvaliteetselt osutada ning saavutada ärieesmärke. Lisaks saab nõuete kirjeldamisel koheselt mõelda läbi ka seireprotsessi ning selle, milline osa seirest vajab tellija aktiivset panust ning milles eeldatakse nõuete täitmise tõendamisel pigem teenuseosutaja initsiatiivi.
Talitluspidevuse planeerimisel on oluline koht töökatkestustega seotud kulutuste vähendamisel. Planeerimata katkestused põhjustavad ettevõtetele suuri kulusid, alates tööseisakutest kuni intsidentide lahendamiseni. Regulaarne süsteemi vastupidavuse ja toimivuse testimine aitab neid kulusid vähendada, võimaldades varakult tuvastada ja parandada võimalikke kitsaskohti.
Uuri lepingupartnerilt ka jätkutegevuste plaani – see aitab vähendada teie enda sõltuvust hilisematest audititest ning annab kindlust, et lepingupartner on valmis pakkuma katkestusteta teenust.
Boonussoovitus! Korraldage lepingupartneritega ühiseid talitluspidevuse harjutusi
Kui ettevõtte tegevus sõltub koostöövõimest teenusepakkujaga, tasub kaaluda regulaarseid ühiseid talituspidevuse harjutusi. Lepingus on võimalik kokku leppida ühistes harjutustes, et koos läbi mängida erinevaid protsesside või teenuste taastamise stsenaariume.
Sellised õppused tugevdavad koostööd ja suurendavad vastastikust usaldust, andes mõlemale poolele võimaluse realistlikult testida kriisiolukordade lahendamise valmisolekut. Dokumenteeri õppuse tulemused ja vii nende õppekohtadest oma tegevustesse sisse vajalikud muudatused.
Vastutust oma teenusepakkujate osutatavate teenuste eest tuletab meile kõige paremini meelde intsidentide kahjude tagajärgede likvideerimine. Kui juhtub suur andmeleke või teenused ei toimi, siis kliendid ja ajakirjanikud ei küsi, kes on ettevõtte teenusepakkujad, vaid miks lasi ettevõtja teenuse ja klientide andmetega sedasi minna.
Teenusepakkuja kvaliteet ja usaldusväärsus mängib ettevõtte küberturbe tagamisel keskset rolli. Korralikud ja läbi mõeldud turvanõuded, mis on sätestatud lepingutes ja mille täitmist järjekindlalt kontrollitakse, aitavad vähendada riske ja võimalikke kahjusid.
Tule küberturbejuhi kooli ja saa lisaks artiklis kirjutatule teada, milliste nippidega annab lihtsalt kontrollida tarneahela turvalisust, sealhulgas ka seda, kuidas omada kontrolli selle üle, et teenusepakkujad täidavad sinu seatud turvanõudeid. Loe kooli kohta lähemalt SIIT:
See teema pakub huvi? Hakka neid märksõnu jälgima ja saad alati teavituse, kui sel teemal ilmub midagi uut!

Seotud lood

  • ST
Sisuturundus
  • 27.01.25, 09:00
Alustava ettevõtja A ja O: mida tasub teada domeenidest aastal 2025?
Uut äri alustades keskendutakse sageli tootele, teenusele või turundusplaanile, kuid üha enam digitaliseeruvas maailmas on üheks kõige olulisemaks väärtuseks sinu brändi identiteedis kujunemas domeen. Miks on seda vaja, kuidas seda valida ja millistele trendidele peaksid aastal 2025 tähelepanu pöörama? Tuginedes nii Eestist kui ka raja tagant saadud kogemustele panime sulle kokku ülevaate, mis peaks aitama sul domeenidega seotud maailmas hõlpsamini orienteeruda.

Enimloetud

1
Uudised
  • 28.01.25, 12:42
Andrei Korobeiniku loodud AI-lahendus lihtsustab riiklike ja ELi toetuste taotlemist
2
  • ST
Sisuturundus
  • 27.01.25, 15:30
Harukordne võimalus: Tallinnas toimub uusimaid tehnoloogiaid tutvustav konverents
3
Uudised
  • 27.01.25, 13:42
Advokaat GDPRist: lähiaastail näeme trahvide märgatavat kasvu, sest riigil on väga raha vaja
4
  • ST
Sisuturundus
  • 27.01.25, 09:00
Alustava ettevõtja A ja O: mida tasub teada domeenidest aastal 2025?
5
Uudised
  • 27.01.25, 20:52
Kristian Sägi lahkus Dynatrace´i juhi kohalt. “Tundsin, et midagi on puudu”
6
Uudised
  • 27.01.25, 12:16
AI NÄDAL 30 | Hiinas arendatud mudel ületab OpenAI võimekust

Viimased uudised

Uudised
  • 29.01.25, 12:28
Tele2 Eesti kasum vähenes. Firma juht: peame tegema raskeid otsuseid
Arvamused
  • 28.01.25, 22:59
Kolm viisi, kuidas hinnata teenusepakkuja vastavust infoturbe nõuetele
Uudised
  • 28.01.25, 16:37
ON24 pani AI kliente nõustama. “Testperiood live-keskkonnas on seljataga”
Uudised
  • 28.01.25, 15:47
Helmes, Nortal jt. Hulk Eesti ettevõtteid läks Dubai tervisemessile
Uudised
  • 28.01.25, 14:12
Eestisse jõudis Leedus arendatud arvutimäng, mis õpetab tuvastama AI loodud materjale
Uudised
  • 28.01.25, 12:42
Andrei Korobeiniku loodud AI-lahendus lihtsustab riiklike ja ELi toetuste taotlemist
Uudised
  • 27.01.25, 20:52
Kristian Sägi lahkus Dynatrace´i juhi kohalt. “Tundsin, et midagi on puudu”
  • ST
Sisuturundus
  • 27.01.25, 15:30
Harukordne võimalus: Tallinnas toimub uusimaid tehnoloogiaid tutvustav konverents

Hetkel kuum

Cybernetica laiendab oma koostööd Kariibi saareriikidega (pilt on illustratiivne).
Uudised
  • 24.01.25, 13:18
AS Cybernetica sõlmis lepingud kahe Kariibi mere saareriigiga
Jelena Laudver
Uudised
  • 22.01.25, 14:35
Eesti personalifirma asutas küberturbele ja IT-le keskenduva värbamisagentuuri
Tehisintellektil on tohutu potentsiaal muuta avalike teenuste toimimist efektiivsemaks, kinnitas Andrei Korobeinik.
Uudised
  • 28.01.25, 12:42
Andrei Korobeiniku loodud AI-lahendus lihtsustab riiklike ja ELi toetuste taotlemist
Arrow Enterprise Computing Solutionsi Baltikumi ärijuht Raido Orumets.
  • ST
Sisuturundus
  • 27.01.25, 15:30
Harukordne võimalus: Tallinnas toimub uusimaid tehnoloogiaid tutvustav konverents
Viimane aeg on kaardistada veebikeskkonna hetkeseis ja lahendamist vajavad kitsaskohad, kinnitas Finesti valdkonnajuht Rauno Raid.
Uudised
  • 23.01.25, 14:01
IT-firma Finest hakkas pakkuma e-kaubanduse sektorile auditi teenust
Põhiküsimus on Eesti suurima telekomi käitumine oma soovitud hinnatõusu kommunikeerimisel, leiab ITuudiste juht Indrek Kald.
Arvamused
  • 21.01.25, 23:50
Hinnatõusu peale suruva Telia sõnum klientidele: vaikimine on seekord nõusolek
Paljud on küsinud, mis saab edasi ja ma “ausalt öeldes ei tea”, kinnitas Kristian Sägi. Fotol avamas Dynatrace´i tegevust mullu IKT aastakonverentsil.
Uudised
  • 27.01.25, 20:52
Kristian Sägi lahkus Dynatrace´i juhi kohalt. “Tundsin, et midagi on puudu”
Kaarel Moppel on mitmekülgse IT-kogemusega andmebaaside professionaal, kel on üle kümne aasta kogemusi Euroopa suurfirmades. Ta on osalenud suuremahulistes PostgreSQL projektides andmebaasiinseneri, arhitekti ja konsultandina.
  • ST
Sisuturundus
  • 27.01.25, 10:49
Mis on PostgreSQL ja miks seda kasutada?

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi ITuudised esilehele

IT-uudised

Vana-Lõuna 39/1, 19094 Tallinn

(+372) 667 0111

[email protected]

ITuudised – juhtiv Eesti IKT-sektorit kajastav uudisteportaal.

© AS Äripäev 2000-2025