Elektrooniline allkiri ja ISO 27001 standard: juhend 2026

Elektrooniline allkiri on muutunud B2B-lepingute protsesside selgrooks, kuid selle õigusväärtus ja kaubanduslik väärtus sõltuvad sageli alahinnatud eeltingimusest: teabetöötlusvõrgustiku vastupidavus, mis seda toetab. Just siin rakendub ISO/IEC 27001 standard – rahvusvaheline teabega seotud turvalisuse juhtimise võrdlusstandardid. 2026. aastal, kui allkirjaplatvormidele suunatud küberohtud kordunevad ja eIDAS 2.0 määrus teeb usaldusväärsete teenuste pakkujate nõudeid rangemaks, pole ISO 27001 sertifikatsiooni küsimus enam luksus suurettevõtete jaoks: sellest saab elektroonilistele allkirjadele ettevõtte rakendamise jaoks standardne valikukriteerium.

See artikkel analüüsib ISO 27001 ja elektroonilistele allkirjadele seotud sünergiad, konkreetseid nõudeid, mida see tekitab, mittevastuvõtmise riske ja etappe sertifikatsiooni saamiseks või hindamiseks oma SaaS-teenuse pakkujal.

Mis on ISO 27001 standard ja miks on see elektroonilistele allkirjadele keskne?

Rahvusvahelise Standardiseerimisorganisatsiooni (ISO) ja Rahvusvahelise Elektrotehnika Komisjoni (IEC) poolt avaldatud ISO/IEC 27001:2022 (redaktsioon muudetud oktoobris 2022) määratleb nõudeid Teabega Seotud Turvalisuse Juhtimissüsteemi (TSTS) kehtestamiseks, rakendamiseks, säilitamiseks ja pidevaks parandamiseks. See hõlmab 93 kontrolli, mis on jagatud neljaks teemaks: organisatsioonilist kontrolli, isikutega seotud kontrolli, füüsilist kontrolli ja tehnilist kontrolli.

Elektroonilistele allkirjadele on sellel standaridil eriline tähtsus, sest see käsitleb otse teabega seotud turvalisuse kolme samba:

• Konfidentsiaalsus: allkirjastatud dokumentide kaitse luvamatu juurdepääsu vastu
• Terviklus: garantii, et dokumentid ei muutu pärast allkirjastamist
• Saadavus: allkirjade tõendite juurdepääsetavus võimaliku vaidluse korral

ISO 27001 kontrolli, mis kehtivad otse elektrooniliste allkirjade jaoks

Standardi lisas A olevate 93 kontrolli hulgas rakenduvad mitmed otseselt allkirjastamise töövoogudele:

Kontroll 5.14 – Teabevahetus: määrab ametlikud reeglid dokumentide turvaliser edastamiseks allkirjastamiseks, eelkõige krüpteeritud protokollide (TLS 1.3 miinimum) kaudu.

Kontroll 8.24 – Krüptograafia kasutamine: nõuab dokumenteeritud krüpteerimispoliitikat, mis hõlmab algoritmeid, mida kasutatakse elektroonilistele allkirjadele. Praktikas tähendab see ANSSI soovitustele vastavate algoritmide kasutamist (RSA-3072 või ECDSA-256 miinimum 2026. aastal).

Kontroll 8.12 – Andmete lekitamise ennetamine (DLP): kaitseb allkirjastatud dokumentides sisalduvaid isikuandmeid, ühtsuses GDPR-i nõuetega.

Kontroll 5.18 – Juurdepääsuõigused: tagab, et ainult volitatud isikud saavad dokumendi algatada, allkirjastada või vaadata platvormil.

ISO 27001 vs muud turvalisuse sertifikatsioonid: milline täiendavus?

ISO 27001 ei ole ainus asjakohane standard, kuid see moodustab aluse. Seda täiendavad:

• SOC 2 Type II (USA standard, mida nõuavad sageli NYSE-sse noteeritud ettevõtted)
• ISO/IEC 27017 ja 27018: pilve- ja isikuandmete kaitse pilveteenustes spetsiifilised laiendused
• eIDAS kvaIifikatsioon akrediteeritud organisatsioonide poolt (LSTI Prantsusmaal): kohustuslik Kvalifitseeritud Usaldusväärsete Teenuste Pakkujate (KÜTP) jaoks

SaaS-elektroonilistele allkirjadele pakkuja, kes on sertifitseeritud ISO 27001-le JA eIDAS-ile kvalifitseeritud, pakub seega maksimaalse garantii taset, mis on joondatud toodud eIDAS 2.0 määruse tervikliku juhendig.

SaaS-elektrooniliste allkirjade teenuse pakkujate spetsiifilised nõudmised

SaaS-elektroonilistele allkirjadele pakkuja valimine, kes on sertifitseeritud ISO 27001-le, ei tähenda, et teie enda organisatsioon on kaetud – kuid see tingib tugevalt jääkhäire taseme, mida te võtate.

Sertifikatsiooni ulatuse määratlus: mida kontrollida

Tarnija hindamisel on kolm määravat küsimust:

1. Kas sertifikatsiooni ulatus hõlmab allkirjateenust? Redaktor võib olla sertifitseeritud ISO 27001-le oma tarkvaraehituse tegevuste jaoks ilma, et allkirjaplatform oleks sertifikatsiooni ulatuses. Nõudke ametlikku sertifikaati ja kontrollige deklareerimisteade (Statement of Applicability).

1. Kas sertifikatsiooni on tärnitud? ISO 27001 nõuab iga-aastaseid jälgimisaudit ja uuendamise auditi kõik kolm aastat. Aegunud sertifikaat muudab igasugused garantiid kehtetuks.

1. Milline sertifikaatide andja? Prantsusmaal annavad COFRAC-i (Bureau Veritas, SGS, BSI Group, LRQA…) akrediteeritud organisatsioonid tunnustatud sertifikaate. Iseseisev vastavusdeklaratsioon ei oma õiguslikku väärtust.

Juhtumite valitsemine ja teenuse järjepidevus

ISO 27001 nõuab dokumenteeritud ja testitud Äritegevuse Järjepidevuse Plaani (ÄJP) ja Äritegevuse Taastamise Plaani (ATP). Elektroonilistele allkirjadele platvormile tähendab see praktikas:

• RTO (Taastamise Aja Eesmärk) alla 4 tunni tootmiskeskkondade jaoks
• RPO (Taastamise Punkti Eesmärk) alla 1 tunni, vältimine iga andmete kaotuse taastamise allkirjadest
• Taastamise testid dokumenteeritud vähemalt poolaastas
• Turvalisuse intsidentide teatamise protseduur vastavalt GDPR-i artiklile 33 (maksimaalselt 72 tundi)

Need nõudmised ühtivad direktiivi NIS2 nõuetega, mis on transponeeritud Prantsusmaa õigusesse seaduse n°2024-449 (21. mai 2024) kaudu, mis nõuab oluliste ja tähtsate üksuste kohustuslikke intsidentide teatamise ja tugevdatud küberjulgeolekumeetmeid.

Kuidas ISO 27001 sertifikatsiooni tugevdab elektroonilistele allkirjadele tõendamise väärtust

Sageli alahinnatud punkt juristide ja ostjate seas: elektroonilistele allkirjadele tõendamise väärtus sõltub osaliselt tehnilistest usalduse ahelatest, mis seda toetavad. Dokument, mis on allkirjastatud platvormil, mille turvalisus on kompromiteeritud, võib näha tema tõendamise väärtuse kohtu ees vaidlustamist.

Andmete terviklus kui õigusväärtuse alus

Tsiviilseadustiku artikkel 1366 sätestab, et elektrooniline allkiri on kirjalikule allkirjale samaväärne "tingimusel, et selle teostaja saab käsitatava tuvastada ja ta on kehtestatud ja säilitatud viisil, mis tagab tema tervikluse". See tervikluse tingimus on täpselt ISO 27001 keskkeskne aine.

Vaidluse korral võib teenuse pakkuja, kes on sertifitseeritud ISO 27001-le, esitada:

• Muutumatud auditilogi, mis tõendab juurdepääsu ajalugu
• Sertifitseerimise auditiaruanded, mis kinnitavad kontrollimeedet koht
• Krüptograafilise võtmete valitsemispoliitika, mis vastab lisale A

Need elemendid moodustavad tõendusühenduse, mis tugevdab märkimisväärselt positsiooni osapoolel, kes esitab allkirja kehtivuse. Elektroonilistele allkirjadele väärtuse tuntuks tegemise kohta külastage meie elektroonilistele allkirjadele lahenduste võrdlus.

Tõendamisvõimelised arhiveerimised ja säilitamise kestus

ISO 27001, kombineerituna standardiga NF Z42-020 (digitaalne seif) ja ETSI EN 319 162 soovitustega (kvalifitseeritud elektronse arhiveerimise teenus), võimaldab määratleda arhiveerimispoliitikat, mis tagab allkirjade tõendamise väärtuse pikemaajaliselt – kuni 30 aastat teatud äriliste lepingute jaoks.

ISO 27001 kontrolli 8.10 – Teabe kustutamine nõuab samuti dokumenteeritud protseduure andmete ohutuks hävitamiseks elutsükli lõpus, kooskõlas GDPR-i õigusega kustutamisele (artikkel 17).

Kuidas hinnata ja nõuda oma elektroonilistele allkirjadele teenuse pakkuja ISO 27001 vastavust

Ostuprotsesside või SaaS-lepingu uuendamise raamistikus siin on nelja etapi hindamise protokoll.

Etapp 1: Taotlege ja kontrollige ametlikku sertifikaati

Nõudke ISO/IEC 27001:2022 sertifikaati (mitte versioon 2013, mis on nüüdseks aegunud oktoobrist 2025) koos kõige uuemate jälgimisauditiaruannetega. Kontrollige kehtivuse kuupäeva sertifikaadi andja registril.

Etapp 2: Analüüsige rakendatavuse teate (SoA)

Statement of Applicability loetleb valitud ja välistatud kontrolli koos põhjendustega. Kõik kontrollid, mis on välistatud ilma dokumenteeritud põhjuseta, tähendavad jääkhäire taset, mida tuleb hinnata oma tarnija riskianalüüsides.

Etapp 3: Liituge nõudmistega lepingus

Teie leping teenuse pakkujaga peab sisaldama:

• Sertifikatsiooni säilitamise klauslit kohusega teatada peatamise korral
• Õigust auditile või juurdepääs aastaste auditiaruannete jaoks
• Turvalisuse SLA-d, mis on joondatud teenuse pakkuja ÄJP/ATP-ga
• Vastutuse klauslit juhtumi korral, mis mõjutab allkirjade terviklust

Etapp 4: Tehke oma riskianalüüs

Isegi sertifitseeritud teenuse pakkuja ei kata teie sisemisi riske. ISO 27001 nõuab teie enda organisatsioonilt riskianalüüsi (klausel 6.1.2) hõlmata eelkõige:

• Töötajate juurdepääsu valitsemine allkirjaplatvormile
• Teadlikkus elektroonilistele allkirjadele töövoogudele suunatud phishingu rünnakutest
• Allkirja delegeerimise valitsemispoliitika

See lähenemine integreerib loomulikult elektroonilistele allkirjadele valitsemise globaalses poliitikale inimressursside ja juriidiliste meeskondade jaoks, kus töödeldavate dokumentide mahud paljastuvad märkimisväärsetele operatiivsetele riskidele.

Elektroonilistele allkirjadele ja ISO 27001-le kohaldatav õiguslik raamistik

Elektroonilistele allkirjadele süsteemi vastavus sõltub normatiivne kuhjamisest, mida iga B2B-ettevõte peab omama.

Tsiviilseadus, artiklid 1366 ja 1367: Artikkel 1366 sätestab elektroonilistele allkirjadele ja kirjalikele allkirjadele samaväärsuse tingimusel selle teostaja tuvastamise ja tervikluse garantii. Artikkel 1367 määratleb elektroonilistele allkirjadele kui "usaldusväärsete identifitseerimismeetodi kasutamist, mis garanteerib selle seotuse akti, millele see on lisatud".

Määrus eIDAS n°910/2014 ja eIDAS 2.0 (Määrus EL 2024/1183): Kohaldatav kõikides EL-i liikmesriikides, see eristab kolme taset allkirjast (lihtne, arenenud, kvalifitseeritud) ja nõuab Kvalifitseeritud Usaldusväärsete Teenuste Pakkujate (KÜTP) auditeid akrediteeritud organisatsioonide poolt. Muudatus eIDAS 2.0, mis jõustati järk-järgult alates maist 2024, tugevdab järelevalve nõudeid ja tutvustab Euroopa digitaalse identiteedi rahakotti (EUDIW).

Määrus GDPR n°2016/679: Isikuandmed, mis sisalduvad allkirjastatud dokumentides (allkirjastaja identiteet, IP-aadress, ajatempel) moodustavad isikuandmeid. Vastutav töötleja peab tagama nende kaitse (artikkel 5), teatama rikkumistest 72 tunni jooksul (artikkel 33) ja rakendama kaitse disaini järgi (artikkel 25). ISO 27001 esitab tehniline raamistik mittevastavuse leevendamiseks.

Direktiiv NIS2 (Direktiiv EL 2022/2555), transponeeritud Prantsusmaa õigusesse seadusega n°2024-449 (21. mai 2024): Olulised ja tähtsad üksused – sealhulgas paljud B2B-osalejad – peavad rakendama proportsionaalseid küberjulgeolekumeetmeid, sealhulgas tarnijatest tuleneva riskihaldust (artikkel 21). Sertifikaadita elektroonilistele allkirjadele teenuse pakkuja võib moodustada riski NIS2 tähenduses.

Standardi ETSI: Seeria ETSI EN 319 100 määratleb elektroonilistele allkirjadele kvalifitseeritud nõudeid (EN 319 132 XAdES jaoks, EN 319 122 CAdES jaoks, EN 319 142 PAdES jaoks). Need tehniline standardid eeldavad turvalisuse taristut, mis vastab ISO 27001 standarditele.

Võrdlusaalne ANSSI: Prantsusmaal avaldab Rahvuslik Teabesüsteemide Turvalisuse Agentuur soovitusi krüptograafiliste algoritmide kohta (võrdlusaalne RGS – Üldsustuur Turvalisuse Võrdlusaalne), mille rakendamine on hõlbustatud ISO 27001-le sertifitseeritud TSTS-iga. Prantsusmaa teenuse pakkujate eIDAS-kvaIifikatsioon on juhitud ANSSI poolt kui rahvusvahelisele järelevalveasutusele.

ISO 27001 sertifikatsiooni puudumine elektroonilistele allkirjadele teenuse pakkujal eksponerib kliendi ettevõtet dokumentide allkirjade tõendamise väärtuse vaidlustamise riskide, GDPR-i sanktsioonide (kuni 4% maailmalaupest või 20 M€) ja NIS2 mittevastavuse kaebused.

Kasutusuuringud: ISO 27001 ja elektroonilistele allkirjadele praktikas

Stsenaariumid 1 – Äriühingu juriskontsultorite nõukogu 25 töötajaga

Ühenduse spetsialiseerumine fusion-aktsiiside lepingutesse töödelda aastas rohkem 600 asjad, nõudmata elektroonilistele allkirjadele täiendavat või kvalifitseeritud tasemetele (NDA, protokollid kokku leppe, cessiooni konventsioonid). Peale siseauditi, mis paljastab juurdepääsu jälgitavuse lünk allkirjaplatvormile, otsustab büroo aktsepteerida ainult prestaatörid sertifitseeritud ISO/IEC 27001:2022 eksplitsiitselt allkirjateenust hõlmavas ulatuses.

Tulemus: pärast migreerimist sertifitseeritud platvormile märkab büroo 40% vähenemist ajakuluga turvalisuse täiendava kontrollimise erinevate klientide jaoks ja võib esitada sertifikatsiooni auditiaruandeid 48 tunnis, kui suurte klientide taotlused seda nõuavad. Lepingu valideerimise keskmine kestus väheneb 3,2 päevast 1,4 päevani.

Stsenaariumid 2 – Tööstusettevõte, mis haldab 1 500 tarnijate lepingud aastas

Väikeettevõte tööstuse alamtöövõtja Tier-1 autotööstuse ehitajale peab oma kogu elektroonilistele allkirjadele ahel turvalisuse (ostutellimuseid, raamilepingud, muudatused) vastama ISO 27001 nõuetele, mille määratlenud käivad ostjate viitel rühma. Väikeettevõte teostab tarnija riskide kartograafia vastavalt normi klauslile 6.1.2 ja tuvastab, et tema vanem SaaS-teenuse pakkuja ei ole kehtval sertifikaadil.

Pärast migreerimist sertifitseeritud lahendusele ja sisemise TSTS kehtestamist saab väikeettevõte nõutava tarnija kvalifikatsiooni ja tagab raamilepingu 4 aastaks. Sertifikatsiooni kulu (umbes 15 000-25 000 eurot selletüübilisele väikeettevõttele vastavalt spetsialiseeritud nõuannete andmite) tasutakse enne kuud kuust lepingumahu turvalisuse perspektiivist.

Stsenaariumid 3 – Haiglate rühm umbes 1 200 voodiga

Tervishoiusektoris on raviasutusel tugevdatud nõudmised: terviseandmete töötlemine (kategooria erikoht GDPR-i artiklis 9), HDS sertifikatsioon (Health Data Hoster) ja praegu NIS2 kvalifikatsiooni, kuna olulisi üksuseid. Haiglate rühm juurutab elektroonilistele allkirjadele oma töölepingute, kliinikaarengu kokkulepete ja avalike hankide jaoks (umbes 900 dokumenti kuus).

Valides teenuse pakkuja, kes kombineerib ISO 27001 sertifikatsiooni, HDS sertifikatsiooni ja eIDAS-i KÜTP kvalifikatsiooni, vähendab asutus oma GDPR-i mittevastuvõtmise riskidele kuni 60%, vastavalt tema DPO-le, ja kasutab tõendamise arhiveerimist garanteeritud 30 aastat seadusandlikele meditsiinidokumentidele. Kliinikaarengu lepingute allkirjastamise periood väheneb keskmiselt 12 päevast 3,5 päevani, vabastades märkimisväärset ressursse hallus meeskondadele.

Kokkuvõte

1. aastal ei ole ISO/IEC 27001:2022 sertifikatsiooni lihtne turundusargument elektroonilistele allkirjadele teenuse pakkujatele: see on asendamatu tehniline ja õigusväärtuse alus dokumentide tervikluse tagamiseks allkirjade abil, GDPR-i ja NIS2 vastavuseks ning lepingute kohustused käsitatavaks väärtuseks. B2B-ettevõtetele on selle sertifikatsiooni nõudmine oma SaaS-teenuse pakkujalt muutunud õiguslikust delikaatsuse kohustuslikkust, analoogiliselt eIDAS kvaIifikatsiooni kontrollimisele.

Certyneo on sertifitseeritud ISO/IEC 27001:2022 oma kogu elektroonilistele allkirjadele platvormiga. Meie meeskonnad saavad teid aidata oma praeguse vastavuse hindamisel ja turvalise elektroonilistele allkirjadele töövoo rakendamisel, mis on kohandatud teie mahuga ja sektoriga. Taotlege tasuta demonstratsiooni Certyneo-l või uurige meie hinnakirja sobiva valemiga oma organisatsiooni jaoks.