Teksti suurus:

Sertifitseerimisteenuse ja ajatempliteenuse osutajate infosüsteemide auditeerimise kord

Väljaandja:Majandus- ja taristuminister
Akti liik:määrus
Teksti liik:algtekst-terviktekst
Redaktsiooni jõustumise kp:01.09.2014
Redaktsiooni kehtivuse lõpp:25.10.2016
Avaldamismärge:RT I, 29.08.2014, 3

Sertifitseerimisteenuse ja ajatempliteenuse osutajate infosüsteemide auditeerimise kord

Vastu võetud 26.08.2014 nr 68

Määrus kehtestatakse digitaalallkirja seaduse § 43 lõike 4 alusel.

§ 1.   Määruse reguleerimisala

  Käesolev määrus reguleerib sertifitseerimisteenuse osutaja ja ajatempliteenuse osutaja (edaspidi koos nimetatult teenuse osutaja) infosüsteemi auditeerimist, eesmärgiga määrata kindlaks infosüsteemi kasutuskõlblikkus ning vastavus õigusaktidega kehtestatud nõuetele ja normidele.

§ 2.   Audiitorile ja teenuse osutaja infosüsteemi auditeerimisele esitatavad nõuded

  (1) Audiitoriks võib olla füüsiline isik, kes omab auditi läbiviimise ajal kehtivat ISACA väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati või sertifitseerimise registri volitatud töötleja kirjalikul nõusolekul mõnda muud sellega võrdsustatavat audiitori sertifikaati.

  (2) Audiitor järgib tööde tegemisel Rahvusvahelise Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni kutse-eetika koodeksit, standardeid, suuniseid, protseduurireegleid ja häid tavasid.

  (3) Audiitor peab olema auditeeritavast sõltumatu. Audiitoriks ei tohi olla isik, kes on auditeerimisele eelnenud kahe aasta jooksul asutust konsulteerinud auditeeritavas valdkonnas. Audiitori allkirjastab kinnituse, et ta on oma tegevuses auditeeritavast sõltumatu. Audiitor peab tagama oma kohustuste täitmise käigus omandatud informatsiooni konfidentsiaalsuse.
27.01.2015 10:17
Veaparandus - Parandatud ilmne ebatäpsus sõnas "jooksul" Riigi Teataja seaduse § 10 lõike 3 alusel arvestades Majandus- ja Kommunikatsiooniministeeriumi 25.01.2015 taotlust nr 2-15/13-00569/015

§ 3.   Auditi läbiviimine

  (1) Auditi tellib audiitorilt teenuse osutaja.

  (2) Auditeeritakse teenuse osutaja infosüsteemi seda osa, mis on vajalik sertifitseerimis- ja ajatempliteenuse osutamiseks.

  (3) Sertifitseerimisteenuse osutaja esitab auditi läbiviimiseks dokumenteeritud sertifitseerimispõhimõtted.

  (4) Ajatempliteenuse osutaja esitab auditi läbiviimiseks dokumenteeritud ajatembelduspõhimõtted.

  (5) Auditi läbiviimiseks esitatakse materjalid ja dokumendid, mis tõendavad teenuse osutaja kohustuste täitmist vastavalt käesoleva paragrahvi lõikes 10 esitatud nõuetele ning teenuse osutaja infosüsteemi konfiguratsiooni halduse dokumentatsioonile.

  (6) Kui teenuse osutaja on pärast eelmise auditi toimumist teinud käesoleva paragrahvi lõigetes 3 ja 4 märgitud dokumentides muudatusi, on ta kohustatud esitama audiitorile kõikidest nendest dokumentidest kinnitatud versioonid koos nende kehtimise ajavahemikega.

  (7) Teenuse osutaja on kohustatud esitama audiitori nõudmisel täiendavaid dokumente ja andmeid, mis on vajalikud auditi läbiviimiseks.

  (8) Auditi teostamisel on teenuse osutaja kohustatud tagama audiitorile juurdepääsu oma infosüsteemile.

  (9) Auditi käigusteostatakse normidele ja nõuetele vastavuse kontroll audiitori määratud kontrollsisendites ja -väljundites.

  (10) Auditi käigus kontrollitakse:
  1) kas teenuse osutaja on rakendanud asjakohast professionaalset hoolikust kvaliteetse ja turvalise teenuse tagamiseks;
  2) teenuse osutaja infosüsteemi vastavust digitaalallkirja seadusele, isikuandmete kaitse seadusele ja teiste õigusaktidega kehtestatud nõuetele;
  3) teenuse osutaja infosüsteemi, sealhulgas organisatsiooni ja töökorralduse vastavust dokumenteeritud sertifitseerimis- või ajatembelduspõhimõtetele;
  4) teenuse osutaja kohustuste täitmist vastavalt digitaalallkirja seadusele;
  5) sertifitseerimisteenuse osutaja ja tema infosüsteemi sertifitseerimispõhimõtete ja turvalisuse nõuetekohasust, mida eeldatakse vastavusega standarditele EN 319 401, EN 319 411-2 ja EN 319 411-3 või muudele samaväärsetele avalikult heakskiidetud ja kättesaadavatele spetsifikatsioonidele;
  6) ajatempliteenuse osutaja ja tema infosüsteemi vastavust ETSI TS 102 023 või muule samaväärsele avalikult heakskiidetud ja kättesaadavale spetsifikatsioonile;
  7) teenuse osutaja infosüsteemi turbe vastavust standardile ISO/IEC 27001 või muule samaväärsele avalikult heakskiidetud ja kättesaadavale spetsifikatsioonile;
  8) teenuse osutaja infosüsteemi vastavust muudele teenuse osutamise seisukohast olulistele õigusaktidega kehtestatud tehnilistele normidele ja nõuetele.

  (11) Mittevastavusi käesoleva paragrahvi lõikes 10 esitatud nõuetele tuleb põhjendada auditi raportis.

  (12) Käesoleva paragrahvi lõikes 10 nimetatud nõuetele vastavus või mittevastavus peab olema audiitori poolt tõendatav kogutud tõendusmaterjali alusel, mis on piisav kinnitamaks ja toetamaks audiitori järeldusi.

§ 4.   Auditi tulemused ja nende esitamine

  (1) Audit loetakse läbituks, kui auditi tulemusena leitakse, et teenuse osutaja infosüsteem vastab kehtestatud nõuetele.

  (2) Auditi koondtulemused esitatakse teenuse osutajale auditi raportis, millele audiitor on andnud oma allkirja. Raportis esitatakse muuhulgas:
  1) teenuse osutaja kinnitus auditi toimumise kohta antud ajavahemikul;
  2) audiitori andmed, sealhulgas kinnitus kehtiva CISA või mõne muu sertifikaadi omamise kohta;
  3) auditi teostamise ajavahemik;
  4) auditi teostamise käik, leiud, hinnangud ja järeldused vastavuse kohta käesoleva määruse paragrahvi 3 lõikes 10 sätestatud nõuetele;
  5) auditi järeldusotsus teenuse osutaja infosüsteemi vastavuse kohta käesolevas määruses esitatud nõuetele.

  (3) Audiitor säilitab auditi raportit ja muid sellega seonduvaid dokumente vähemalt kolm aastat pärast auditi toimumist.

  (4) Teenuse osutaja esitab auditi järeldusotsuse sertifitseerimise registri volitatud töötlejale.

  (5) Audiitor on kohustatud sertifitseerimise registri volitatud töötleja nõudmisel esitama täiendavaid andmeid auditi tulemuste kohta.

§ 5.   Määruse kehtetuks tunnistamine

  Teede- ja sideministri 3. oktoobri 2000. a määrus nr 83 „Teenuse osutajate infosüsteemide auditeerimise kord” tunnistatakse kehtetuks.

Urve Palo
Minister

Merike Saks
Kantsler

https://www.riigiteataja.ee/otsingu_soovitused.json