Käsitleme auditeerimist juhtimisvahendina, mitte pelgalt vastavusharjutusena. Meie auditite eesmärk on parendada otsustusvõimet, tugevdada turvapositsiooni ja tõsta organisatsiooni küpsustaset — mitte koostada aruandeid aruannete endi pärast.
Hindame turvameetmete kavandamist, rakendamist ja juhtimist organisatsiooni igapäevastes protsessides, lähtudes ISO/IEC 2700x standardist ja E-ITS raamistikust. Fookus on meetmete tegelikul tõhususel ja vastutuse selgusel – mis toimib, mis mitte ning millistes kohtades on riskid sisuliselt aktsepteeritud.
Tulemuseks on juhtkonnale selge ja rakendatav ülevaade – põhjendatud hinnang organisatsiooni hetkeolukorrale, prioriseeritud parendusmeetmed ning realistlik teekaart püsiva nõuetele vastavuse ja operatiivse vastupidavuse saavutamiseks.
Piiratud ulatusega hindamine (nt ISO27001 vastu) konkreetse süsteemi, teenuse või dokumentatsioonile. Siia alla kuulub ka kontrollaudit konkreetse valdkonna lõikes, näiteks riskihaldus, juurdepääsukontroll, füüsiline turve või tarnijate juhtimine.
Vastavalt sellele, nagu standard või auditeerimise raamistik ette näeb.
E-ITS eelaudit (vajadusel) – hinnang asutuse valmisolekule põhiauditi läbimiseks, sh esmased puudused ja parendusettepanekud.
E-ITS põhiaudit – põhjalik audit, mille käigus hinnatakse infoturbe korralduse vastavust E-ITS nõuetele. Põhiauditi tulemusel antakse hinnang vastavuse tasemele.
E-ITS järelaudit (vajadusel) – viiakse läbi, kui põhiauditil tuvastati puudusi ja organisatsioon soovib kinnitust nende kõrvaldamisest.
E-ITS vaheauditid – korduvad või perioodilised auditid vastavuse säilimise ja süsteemsete muudatuste hindamiseks.
ISO 27001 sisemine audit – iga-aastane audit vastavalt standardi punktile 9.2.
ISO 27001 eelaudit (valmidusaudit) – hinnang valmisolekule ametlikuks sertifitseerimiseks.
ISO 27001 järelaudit – kontroll tuvastatud kõrvalekallete kõrvaldamise ja parenduste rakendamise üle.
ISO 27005 riskihalduse audit – hindab, kas organisatsiooni riskihaldusprotsessid, metoodika ja riskiregister vastavad standardi ISO/IEC 27005 nõuetele. Sobib nii iseseisvaks auditiks kui ISO 27001 või E-ITS auditi osaks. Võimaldab hinnata riskihalduse protsessi küpsusastet ja vastavust parimatele tavadele.
ISMS küpsusaudit – hinnang infoturbejuhtimise süsteemi küpsusastmele (CMMI või E-ITS-põhise mudeli järgi).
Kombineeritud audit (E-ITS + ISO 27001) – mõlema standardi ühtne hindamine.
Koolitus või konsultatsioon – antud kontekstis auditi ja töötoa hübriid, kus tulemused esitatakse koos parendusettepanekutega.
ISO 27001 ametlik sertifitseerimisaudit (Sertifitseerimist teostavad vaid akrediteeritud asutused (nt Bureau Veritas, DNV, TÜV))
ISO 9001 / ISO 14001 / ISO 22301 auditid (Teeme ainult infoturbe ja ISMS-iga seotud auditid)
Penetration test või tehniline haavatavusuuring (Ainult partneri kaudu, eraldi lepinguga)
