Kuidas valmistuda E-ITS auditiks ja palju see maksab?

Operatsiooniline vaade
Written By Roland Puiestik

E-ITS audit – sõnapaar mis on hirmutanud Eesti ettevõtteid juba päris mitu aastat. 2025 on saabunud ja kaualubatud apokalüpsis mis pidi seda saatma on aga tulemata. Selle asemel on tulnud palju küsimusi. Kuidas ma siis saan ikka aasta 2025 lõpuks auditeeritud? Mis ma selleks tegema pean ja palju see kõik maksma läheb?

Käesolevas artiklis üritan kokku võtta kõik selle ja vastata levinumatele küsimustele. Jah, luban ka hinnalipikut näidata!

 
E-ITS ja tema hinnalipik.
 

Mis on E-ITS audit ja kellele see vajalik on?

Mis on E-ITS? E-ITS (Eesti Infoturbe Standard) on Riigi Infosüsteemi Ameti (RIA) loodud infoturbe raamistik, mis aitab ettevõtetel hallata oma infoturbe riske. See annab selged juhised, kuidas oma andmeid ja süsteeme kaitsta.

Kellele see vajalik on? E-ITS auditi läbiviimine on seadusest tulenev kohustus järgmistele:

  • Riigiasutused: Peavad tagama infoturbe vastavalt E-ITS-i nõuetele.

  • Elutähtsa teenuse osutajad: (nt energiaettevõtted, haiglad) peavad tagama turvaauditi vähemalt iga kolme aasta järel.

  • Muud teenuse osutajad: Nimekiri kõigist kohuslastest on liiga pikk nii, et siin ära mainida aga rohkem infot leiab Küberturvalisuse seadusest.

Miks see oluline on (ka ilma kohustuseta)? Lisaks seadusest tulenevatele kohustustele on E-ITS audit üks võimalikest infoturbe mudelitest. See annab objektiivse pildi teie küberturvalisuse hetkeseisust, aitab tuvastada nõrkusi ja parandada äriprotsesse. See näitab klientidele ja partneritele, et suhtute turvalisusesse tõsiselt, parandades nii teie mainet kui ka vastupidavust rünnakutele. Standardi järgimine hõlmab nii organisatsioonilisi, tehnilisi kui ka inimfaktoreid, tagades tervikliku lähenemise.

 

E-ITS auditi tüübid

E-ITS auditit tellides räägime me tavapäraselt kolme aastasest lepingust mis hõlmab järgnevaid auditi tüüpe.

  • Eelaudit: Eesmärk on hinnata teie valmisolekut põhiauditiks ja tuvastada suuremad puudujäägid enne ametlikku auditit ja kindlustada, et vastavusauditi tegemiseks ollakse valmis. See aitab tagada sujuva vastavusauditi kulgemise ja kokku hoida rahalisi kulutusi.

  • Vastavusaudit: See on peamine audit, mis hindab teie süsteemide ja protsesside vastavust E-ITS standardile.

  • Vaheaudit: Teostatakse vastavuse hindamiseks vastavusauditite vahepealsetel aastatel.

  • Järelaudit : Kontrollitakse, kas varasemates auditites tuvastatud puudused on parandatud. See tagab meetmete tegeliku rakendamise ja efektiivsuse.

Kui olete esimest korda tellimas E-ITS auditit siis reeglina alustate just eelauditist. Iga kord kui vahetate auditeeriat siis ka uus auditeeria alustab eelauditist. See on formaalne ja võrdlemisi kiire protsess kus vaadatakse otsa peamistele dokumentidele ja protsessidele ning kindlustatakse, et üldse on mida auditeerida.

Vastavusaudit on peamine n.ö liha luudel. See moodustab kogu kolme aastasest lepingust suurusjärgus poole ning seetõttu on ka aega nõudvam ja põhjalikum.

Kui vastavusaudit sai ilma suuremate puudusteta läbitud siis edasi kohtute auditeeriatega aasta pärast kus tehakse vaheaudit. Vaheauditis pannakse tavapäraselt põhifookus asjadele mis on vahepeal muutunud. Kui mõni protsess toimib teistpidi või on mõni tarkvara ümber vahetatud siis auditeeritakse põhiliselt just seda protsessi ja sellega kaasnevat.

Järelauditisse te loodetavasti ei jõuagi. See tuleb kätte siis kui E-ITS auditis leiti suuri puudusi ning auditeerija annab auditeeritavale aega, et need puudused kõrvaldada. Peale aja möödumist tehakse järelaudit, et veenduda kas kõik rakendatud meetmed on korrektselt töös.

 

Kuidas E-ITS auditiks valmistuda?

Edukas ettevalmistus on võti sujuvaks auditiks ja aitab vältida lisakulusid. Hoolikas planeerimine tagab, et te ei raiska oma aega ega raha.

  • 1. Auditi ulatuse ja eesmärkide määratlemine: Tehke selgeks, mida täpselt auditeeritakse ja miks. See aitab fookust hoida ja vältida asjatut tööd.

  • 2. Dokumentatsiooni korrastamine: Koguge kokku ja korrastage kõik infoturbega seotud dokumendid (poliitikad, protseduurid, juhendid). Audiitorid tutvuvad nendega esimesena.

  • 3. Vastutajate määramine ja rollide jagamine: Määrake kindlad isikud, kes vastutavad auditi eri etappides ja on audiitoritele kontaktpunktiks. See on sujuva infovahetuse alustalaks.

  • 4. Töötajate teadlikkuses veendumine: Tehke kindlaks, et kõik dokumendid ja protsessid mida teie töötajad peavad järgima neid ka tegelikult järgiksid. Kui te ei ole töötajaid koolitanud protsesside osas siis on palju oodata, et nad neist ka aru saaks. Emaili edastamine koos PDF-ga manustes ei ole tõhus meetod.

  • 5. Teostage siseaudit ja puuduste analüüs: Enne ametlikku auditit tehke ise (või kutsuge partner) ülevaade, et tuvastada ja likvideerida vüimalikud puudused. See säästab teid suuremast peavalust ja võimalikest hilisematest trahvidest.

 

E-ITS auditi protsess

Mida oodata, kui audiitor on kohal? E-ITS audit koosneb mitmest etapist, mis viiakse läbi süstemaatiliselt. Olenevalt auditeeritava suurusest (töötajate arv, infosüsteemide arv, äriprotsesside keerukus, andmete tundlikus) koosneb “audiitor” kas ainult ühest audiitorist või siis juba juhtaudiitorist ja auddiitoritest ning tehnilistest ekspertidest. Eks selleks ka olene auditi hind, mida rohkem tööd ja rohkem inimesi kes seda teeb seda suurem hind.

Üldiselt on üks E-ITS audit järgmine:

  • 1. Planeerimine: Audiitor ja teie lepite kokku auditi täpses ulatuses, ajakavas ja meetodites. Täpsustate skoobi ja muud kaasnevad detailid.

  • 2. Auditi läbiviimine: See hõlmab dokumentide läbivaatamist, intervjuusid võtmeisikutega, protsesside vaatlusi ja tõendusmaterjalide kogumist. Üldiselt kõike mida üks IT audit endas hõlmab.

  • 3. Leidude analüüs: Audiitor analüüsib kogutud infot ja tuvastab, kas teie süsteemid ja protsessid vastavad E-ITS nõuetele. Kõik puudused dokumenteeritakse. Selles etapis võib audiitor olla mõnda aega eemal ja analüüsida andmeid või hoopis pidevalt lähedal täpsustades kui midagi segaseks jääb. Kõik oleneb nii audiitorist kui auditeeritavast.

  • 4. Aruandlus: Audiitor koostab detailse auditiaruande, mis sisaldab leitud puudusi ja soovitusi nende parandamiseks. Aruanne esitatakse teile. Teie võite selle aruandega nõustuda või mitte aga edastama peate ka RIA-le kui olete auditi kohuslane. Võite julgelt edastada koos oma seisukohtadega kui soovite.

  • 5. Järeltegevused: Teie ettevõte rakendab parandusmeetmeid. Järelaudit kinnitab, et puudused on kõrvaldatud. Juhul kui suuri puudusi ei olnud siis väiksemad puudused tihti käiakse läbi vaheauditi raames.

Niimoodi kohtutegi oma audiitoriga kokku kolm aastat. Ühe korra teete kogu protsessi algusest lõpuni läbi ja teised kaks korda vaid vaheauditi. Peale kolme aastat võite juba rõõmsalt lahku minna ja uue audiitori leida. Sama audiitor ei tohi teil aga olla rohkem kui kahel järjestikusel perioodil ehk kokku kuus aastat.

 

Kui palju E-ITS audit maksab?

E-ITS auditi hind ei ole fikseeritud number, vaid sõltub mitmetest teguritest. Järnevalt üritangi panna kokku mida meie hinna vormistamise puhul vaatame ja siis näitan ka mis meie hind antud tegurite puhul kokku tulla võiks.

NB! See on kõik äärmiselt spekulatiivne ja indikatiivne aga kuna ma juba kohe alguses lubasin numbreid näidata siis kavatsen ka sellest kinni hoida!

  • Peamised hinda mõjutavad tegurid:

    • Ettevõtte suurus ja keerukus: Mida suurem ja keerulisem on organisatsioon, seda rohkem audit aega võtab ja suuremaks ka hind läheb.

    • IT-süsteemide hulk ja keerukus: Süsteemide ja rakenduste arv ja keerukus samuti teeb töö suuremaks ja tihti nõuab eriala spetsialistide kaasamist.

    • Andmete hulk ja tundlikkus: Isikuandmete või veelgi enam eriliigiliste isikuandmete suur maht eeldab väga põhjalikku kontrolli.

    • Ettevalmistuse tase: Hoolikas ettevalmistus ja dokumentatsiooni korrastamine säästavad oluliselt audiitori aega ja seega teie raha.

    • Audiitori valik: Erinevatel audiitoritel ja ettevõtetel on erinevad meetodid kuidas töötada. Vahest on vaja mitut audiitorit ja mitut tehnilist eksperti ja mõningal juhul võib mõni tehniline ekspert või lisa audiitor tulla kolmandast ettevõttest mis muudab hinnaarvutused veelgi keerulisemaks.

Trummipõrina saatel, võtame ette numbrid. Kujutame ette, et meil on 150 töötajaga organisatsioon mis rakendab enamuse E-ITS etalonturbe kataloogist (tarkvara arendusega ei tegele näiteks) ja tegemist on äriprotsessidega kus on liikvel omajagu isikuandmeid. Infosüsteemid liialt keerulised ei ole aga seadmeid on ikkagi 250 kanti ja majas on ka IT juht ja üks IT töötaja kes on ühtlasi ka auditimeeskonna kontaktisik. Kõik ettevalmistused on korrektselt tehtud ja isegi siseauditid on tehtud. Küll aga asukohti on 2, üks Tartus ja üks Tallinnas.

  • Auditeeriaid 2

  • Tehnilisi spetsialiste vaja ei ole või kui on siis minimaalselt

  • Ühe audiitori töötund 90€ kaugtöö puhul ja 110€ kohapeal töötades

  • Lepingu kestvus 3 aastat ja hõlmab endas 1 x eelaudit, 1 x vastavusaudit, 2 x vaheaudit. Järelauditid hinnakirja kohaselt.

Hinnapakkumine:

  • E-ITS auditi ettevalmistamine - 8 tundi x 90€ = 720€

  • E-ITS eelaudit - 24 tundi x 90€ = 2160€

  • E-ITS põhiaudit:

    • Dokumentatsiooniga tutvumine ja analüüs - 48 tundi x 70€ = 3360€

    • Kohapealsete auditiprotseduuride läbiviimine - 32 tundi x 110€ = 3520€

    • Tõendusmaterjalide analüüsimine - 56 tundi x 70€ = 3920€

    • Aruannete koostamine - 24 tundi x 90€ = 2160€

    • KOKKU - 12 960€

  • E-ITS järelaudit - Vastavalt vajadusele 90€ tund

  • E-ITS vaheaudit 1 - 32 tundi x 90€ (+5% hinnakasv aasta jooksul) = 3024€

  • E-ITS vaheaudit 2 - 32 tundi x 90€ (+10% hinnakasv kahe aasta jooksul) = 3168€

  • KÕIK KOKKU: 22 032€ + KM

Kas ma juba ütlesin, et see kõik on indikatiivne ja spekulatiivne? Eks see päriselu täpselt nii olegi, muutujaid on lihtsalt liiga palju. Ent üks mis kindel, mida aasta edasi seda kõrgemale need hinnad ronivad. Auditeerimiskohuslasi on endiselt oluliselt rohkem kui neid kes on auditi juba läbinud ja audiitoreid on Eestis ikkagi võrdlemisi vähe. Eriti E-ITS teemadel kus neid on vast 20-30.

Seega mida varem ette võtta seda lihtsam on leida audiitorit ja seda rohkem on võimalusi läbirääkimiseks.

 

Loodan, et see artikkel aitas kergitada natukene kardinaid selle hirmsa kolli eest nimega E-ITS ja ka võimaliku hinnalipiku teha selgeks. Summast ma kinni ei hoiaks aga kalkulatsioonid umbes sellised olla ju võiksid.

Kui tunned nüüd hirmsat tuhinat kohe otsast pihta hakata aga tekkis veel paar küsimust siis küsi julgelt, oleme alati olemas.

Sellega lõpetangi oma viimase tööpäeva enne 2025 jaanipäeva. Head jaani!

 
Roland Puiestik
Next

Kuidas juurutada AI rakendust turvaliselt?