ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem. ISKE väljatöötamisel ja arendamisel on aluseks võetud Saksamaa BSI (saksa k. Bundesamt für Sicherheit in der Informationstechnik, inglise k. Federal Office for Information Security) poolt arendatavad infoturbe standardid (algselt IT Baseline Protection Manual (saksa k. IT-Grundschutz)) ning mille rakendamist reguleerib Vabariigi Valitsuse 20. detsembri 2007. a  määrus nr 252 „Infosüsteemide turvameetmete süsteem”.

ISKE rakendamise eesmärgiks on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus ning selle turvalisuse auditeeritavus. Süsteem on loodud eelkõige riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavatele infosüsteemidele ning nendega seotud infovaradele turvalisuse tagamiseks. Samas saavad ISKEt kasutada ka äriettevõtted oma IT varadele turvalisuse tagamiseks. ISKE rakendusjuhendi esimene versioon valmis 2003. aasta oktoobrikuus. ISKE rakendusjuhendi kehtiv versioon on 5.0 ning on allalaetav RIA kodulehelt.

ISKEs on kirjeldatud kolm turbe taset – madal (L), keskmine (M) ja kõrge (H). Vastav turbetase määratakse andmetele turvaklasside (turvaosaklasside) määramise kaudu. Turvaklasside määramisel lähtutakse teabe konfidentsiaalsusest, teabe terviklikkusest ning teabe käideldavusest.

ISKE on kohustuslik riigi ja kohaliku omavalitsuse andmekogude pidamisel kasutatavate infosüsteemide ning nendega seotud infovaradele turvalisuse tagamiseks. ISKE rakendamine ei ole kohustuslik (kuid on soovitatav) kohalike omavalitsuste hallatavatele asutustele.

ISKE rakendamise auditeerimine
ISKE auditeerimisega seonduvad asjaolud reguleeritakse määruses nr 252 „Infosüsteemide turvameetmete süsteem“. Auditi käigus kontrollitakse:
1) teostatud infovarade inventuuri vastavust nõuetele;
2) turvaklasside ja turbeastmete määramist;
3) rakendamisele kuuluvate turvameetmete valimist;
4) kõigi rakendamisele kuuluvate turvameetmete rakendamist.
 
Auditite sagedus
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „H”, on kohustatud üks kord kahe aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „M” on kohustatud üks kord kolme aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.
Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse „L” on kohustatud üks kord nelja aasta jooksul tellima oma infosüsteemide auditeerimiseks välise auditi.
 
Nõuded audiitoritele
Audiitoriks peab olema isik, kes omab auditi läbiviimise ajal kehtivat rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati.
Auditeerimisel võib kasutada mitte CISA sertifikaati omavaid audiitoreid. Auditi raporti kvaliteedi, asjakohasuse, õigsuse, korrektsuse, sõltumatuse jmt. osas aga vastutab CISA sertifitseeritud audiitor, kes ka allkirjastab lõppraporti.
NB! Audiitoriks ei tohi olla isik, kes on auditeerimisele eelnenud kahe aasta jooksul asutust konsulteerinud auditeeritavas valdkonnas.
 
Esmakordse auditeerimise tähtajad
Ettevalmistatavas „Infosüsteemide turvameetmete süsteemi“ määruse muudatuses on hetkel kirjas kuupäevad, mis saavad tõenäoliselt olema järgmised:
Turbeastmele „H” on esmakordne auditeerimise kohustuslik hiljemalt 2010. aasta 1. märtsiks
Turbeastmele „M”on esmakordne auditeerimine kohustuslik hiljemalt 2010. aasta 1. detsembriks
Turbeastmele „L” on esmakordne auditeerimine kohustuslik hiljemalt 2011. aasta 1. märtsiks.
 
Vaata ka meie poolseid võimalusi ISKE rakendamisele kaasaaitamisel