RITi infoturbeosakonna juhataja Andri Rebane selgitab: „Meie teenused on riigi IT vundament, mistõttu on küberturvalisuse kõrgetele nõudmistele vastamine ülioluline. Väljakutse seisneb aga selles, et infoturve peab toetama teenuste arengut ja usaldusväärsust, mitte seadma sellele piiranguid.“ Rebane rõhutab, et riik peab kaasas käima infotehnoloogia kiire arenguga, kuid seda enam tuleb rõhku panna digiriigi julgeolekule ning turbenõuete täitmisele: „IT-teenuste lihtsustamine ja turvalisuse tagamine on meie prioriteet, et teenuse tänased ja tulevased kasutajad saaksid oma tööd teha kaasaegselt, olles samas kindlad oma andmete kaitse ja süsteemide usaldusväärsuses.“
Kõrgeid riske ei tuvastatud
Auditi käigus ei tuvastatud kõrgeid riske, sealhulgas ka osaliselt rakendatud või auditeerimise ajal veel rakendamata turvameetmetest tulenevaid riske. Auditi koondhinnangust selgub, et RITis on E-ITSi järgimine korraldatud nii põhiteenuste struktuuris kui ka kogu organisatsioonis tervikuna.
Rebane tõi välja, et auditi kinnitusel on RITi infoturbe halduse süsteem üles ehitatud viisil, mis tagab jätkusuutliku ja tõhusa infoturbe juhtimise kogu organisatsioonis, kuid lisas, et auditist ilmnes üldisemaid parandamisvõimalusi. „Näiteks saame äriprotsesse ja organisatsiooni struktuuri paremini kooskõlla viia ning terminoloogiat partneritega ühtlustada – need pealtnäha vormilised sammud aitavad lihtsustada protsesse ja parandada juhtimist, vähendades samal ajal bürokraatiat,“ selgitas ta.
Oluline verstapost
RITi jaoks on E-ITSiga seotud nõuete edukas rakendamine oluline verstapost, mis kinnitab organisatsiooni võimekust tagada riigi IT-teenuste turvalisus ja töökindlus. „Pikk ja põhjalik koostöö audiitoritega oli mõlemapoolselt positiivne – konstruktiivne dialoog ja vastastikune mõistmine aitasid tagada põhjaliku ja asjakohase auditi,“ võtab Rebane auditeerimisprotsessi kokku.
Vastavalt küberturvalisuse seadusele ja “Võrgu- ja infosüsteemide küberturvalisuse nõuded” määrusele on E-ITSi järgimine ja perioodiline auditeerimine teenuse osutajatele kohustuslik. Põhiaudit viiakse läbi iga kolme aasta järel, vahepeal teostatakse vaheauditeid. Auditi tulemuste põhjal ei ole RITil järelauditit vaja, kuna kõrgeid riske ei tuvastatud.
2024. aastal toimunud auditi viis läbi FocusIT OÜ.
