Pöördumine

Pärnu mnt 132 / 11317 Tallinn / 794 3900 / [email protected] / www.tehik.ee / registrikood 70009770

Riigi Infosüsteemi Amet [email protected] Sotsiaalministeerium [email protected]

Teie nr Meie 22.08.2025 nr 4-2/412-1

E-ITS auditi järeldusotsus

Tulenevalt Vabariigi Valitsuse 9.12.2022.a määruse nr 121 „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ § 4 lõikest 2 edastame Teile TEHIKus läbi viidud E-ITS auditi järeldusotsuse. Lugupidamisega (allkirjastatud digitaalselt) Anto Kallas osakonna juht Lisa: TEHIK E-ITS audit järeldusotsus.asice Tea Rea [email protected]

Tervise ja Heaolu Infosüsteemide Keskus

E-ITS audit

JÄRELDUSOTSUS

FocusIT OÜ

14. juuli 2025

1. Auditi eesmärk ja ulatus Vastavalt Tervise ja Heaolu Infosüsteemide Keskuse, (edaspidi TEHIK) ja FocusIT OÜ vahel 3. juunil 2024 sõlmitud hankelepingule Eesti infoturbe standardi auditi läbiviimiseks viis FocusIT OÜ jaanuarist juunini 2025 läbi Eesti Infoturbe standardi põhiauditi. Põhiauditi eesmärgiks oli hinnata, kas Tervise ja Heaolu Infosüsteemide Keskuses kavandatud infoturbe halduse süsteem ning selle raames juba rakendatud ning vastavalt tegevusplaanile, mis on juhtkonnas kinnitatud 26.03.2025, rakendatavad meetmed on piisavad organisatsiooni äriprotsesside kaitseks ja organisatsiooni eesmärkide täitmiseks. Auditi käsitlusalas on kolm TEHIKus on määratletud äriprotsessi, mis on kinnitatud direktori 4.4.2024 käskkirjaga nr 20: 1. E-teenuste arendus, mis hõlmab Sotsiaalministeeriumi valitsemisala ja lepinguliste koostööpartnerite (edaspidi: SoM) e-teenuste arendamise korraldamist, sh teenuste disain, konsultatsioon, arendamine, projektijuhtimine, arendushangete haldamine ja teenuste juurutamine ning koolituste korraldamine. Eeltoodu hulgas hõlmab äriprotsess ka andmeladude arendamist, haldamist ja nendega seotud korraldustegevusi. 2. IKT haldus, mis hõlmab SoM-le töökohateenuse halduse, klienditoe, teenuste halduse ja majutusteenuse pakkumist. 3. IKT tugiteenus, mis hõlmab IKT teenuse pakkumiseks toetavate teenuste kindlustamist ja TEHIK-u tegevuse korraldamist järgmistes teenusvaldkondades: IKT hangete haldus, finantsjuhtimine, õigusteenindus (sh andmekaitse), dokumendihaldus, strateegiline juhtimine, personalijuhtimine ja haldus, kommunikatsioonijuhtimine, büroohaldus, infoturbe haldus, kvaliteedijuhtimine ja riskijuhtimine. TEHIK on määranud turbeviisiks standardturbe.

2. Audiitor Auditi viis läbi FocusIT OÜ. Auditimeeskond: Jaan Oruaas, CISA sertifikaat 16127168, ISO 27001 juhtiv audiitor, SLA1022234-2023-08 Andres Anier, ISO 27001 juhtiv audiitor, sertifikaat ISLA1124400-2024-04; Valdo Praust, ISO 27001 juhtiv audiitor, SLA1124960-2024-05; Risto Bristol, audiitor.

3. Auditi ajavahemik Audit koos kõikide toimingutega viidi läbi vahemikus 6. jaanuarist 2025 – 10.juulini 2025.

4. Audiitori üldhinnang Eesti Infoturbe standard on TEHIKus rakendamisel - on olemas infoturbe halduse süsteem ja tegevuskava organisatsiooni äriprotsesside kaitseks ja organisatsiooni infoturbe eesmärkide saavutamiseks. TEHIKus on infoturve integreeritud põhi- ja tugitegevuste lahutamatuks osaks ning seni on saavutatud märgatavad tulemused, mis vastavad tegevuskavale. Auditi tulemusel on olemas kindlus, et TEHIKu infoturbe eesmärk kindlustada põhitegevuse toimimine ja tagada äriprotsessides töödeldava infovara terviklus, käideldavus ja konfidentsiaalsus ulatuses, mis võimaldab kõige tõenäolisemate ohtude realiseerumisel jätkata asutuse ülesannete häireteta täitmist, on saavutatav. Kõrge riskitasemega lahknevusi ei tuvastatud. Audiitor Jaan Oruaas