earth-grid-select-language-button

תקן ISO 27001-המדריך המלא ליישום והטמעת תקן אבטחת מידע בארגון

תקן ISO27001

המדריך המלא לעמידה בתקן ה-ISO 27001

תקינת ה-ISO 27001, או בשמה העברי- תקן לניהול אבטחת המידע בארגון, מספקת מסגרת עבודה שעוזרת לארגונים בכל הגדלים והתעשיות להגן על המידע שלהם בצורה שיטתית, ושאינה בזבזנית מבחינה כלכלית, דרך אימוץ של מערכות לניהול אבטחת מידע, או בקיצור ISMS.

מה זה ISMS?

מדובר בנהלים ומדיניות שמטרתם ניהול אבטחת מידע בארגון. מסגרת עבודה זו כוללת את מערכות השליטה והבקרה באספקטים משפטיים, פיזיים וטכניים.

על החברה ליישם נהלים אלה על מנת להבין כמה דברים:

  • מהם ציפיות הלקוחות מבחינת אבטחת מידע?
  • מהם הסיכונים על המידע?
  • מהם בקרות הגנה שייסיעו לארגון לענות על ציפיות הלקוחות ולהגן מפני האיומים?
  • מהם המטרות הברורות של הארגון מבחינת אבטחת מידע?

לאחר המענה המפורט על שאלות אלה, על הארגון לבצע פעולות להשגת היעדים הבאים:

  • יישום והטמעה של בקרות ההגנה
  • מדידה רציפה וחוזרת של יעילות בקרות ההגנה
  • שיפור תמידי של מערכות ה-ISMS
ISO-27001-ISMS

מטרת ה-ISMS

מטרתן של מערכות ה-ISMS להגן על 3 אספקטים של אבטחת מידע:

  • חשאיות- רק יוזרים מורשים יש יכולת לגשת למידע
  • יושרה- רק יוזרים מורשים יכולים לשנות את המידע
  • זמינות- על המידע להיות נגיש וזמין לבעלי הרשאה בצורה שוטפת

מי צריך לעמוד בתקן ה-ISO 27001

חברות IT- חברות לפיתוח תוכנה, אחסון בענן וספקי תמיכה טכנית לרוב מבצעים סקירה לעמידה בתקן זה על מנת להוכיח ללקוחות פוטנציאליים שהם בעלי יכולות הגנה על המידע הארגוני שלהם.

ארגונים פיננסים- רגולציית אבטחת המידע במגזר הפיננסי היא מהמחמירים ביותר. לכן בנקים, חברות ביטוח והשקעות שוק ההון, וחברות פיננסיות אחרות מעוניינות לעמוד ב-ISO 27001 כדי לעמוד בתקני אבטחת מידע אחרים, המבוססים ברובם על ה-ISO 27001.

עמידה ברוב רגולציות אבטחת המידע- ישנן אינספור רגולציות ותקנים בודדים שדרושים לקבלת גושפנקה רשמית המאפשרת המשך עבודה. עמידה בתקן ה-ISO 27001 מאפשר לארגון לתפוס שני ציפורים במכה אחת, מפני שרוב התקנים הבודדים נכללים תחת ה-ISO 27001.

חברות תקשורת- ארגונים אלה, ביניהם ספקי אינטרנט, מעוניינים להגן על המידע הרב העובר בשירותים החיוניים שלהם. הם פונים לתקן ה-ISO 27001 שעיקרו למנוע שיבוש והפסקת פעילות הנובע מאירועי סייבר, תקריות שיכולות לגרום לנזק רב בארגונים חיוניים.

מוסדות ממשלתיים- העובדה שתקן זה נוצר כדי לשמור על שלושת המרכיבים החשובים ביותר באבטחת מידע- חשאיות, יושרה וזמינות- הופך את ה-ISO 27001 למפתה במיוחד עבור גורמי ממשל המחזיקים בידיהם מידע רגיש מאוד.

למה לעמוד בתקינת ה-ISO 27001?

יתרון תחרותי- כאשר הארגון שלך עומד בתקן הגלובלי והמקיף של ה-ISO 27001, והמתחרים שלך אינם, יש לארגונכם יתרון תחרותי משמעותי הן בשוק המקומי והן בשוק הגלובלי.

חיסכון בעלויות- אירועי אבטחת מידע, קטנים וגדולים כאחד, סוחבים איתם עלויות גדולות, לא רק מבחינה כספית אלא גם מחיר תדמיתי. תקן ה-ISO נועד בעיקרו למנוע אירועי אבטחת מידע, מה שמונע הוצאה כספית גדולה של ארגונים על טיפול במשברים.

ניהול מסודר- ארגונים הגדלים בקצב מהיר לרוב לא עוצרים לקביעת מדיניות ברורה בכל הנוגע לאבטחת מידע, מה שיכול לגרור בעיות רבות בהמשך הדרך וכאוס בעבודה. הטמעת תקן ה-ISO פותר מצב זה ומייצר סדר מאוד ברור באחד האספקטים החשובים ביותר של הארגון.

עמידה בדרישות חקיקה מקומיות- עמידה בתקינת ה-ISO27001 מאפשר עמידה בחקיקה מקומית ובן לאומית כמו ה-GDPR ו-HIPPA. בנוסף, הוא מאפשר שמירה על פרטיות המידע בהתאם לדרישות חוק הפרטיות הישראלי.

איך עומדים ב-ISO 27001

דרך הפעולה העיקרי לעמידה בתקן ה-ISO הוא ניהול סיכונים- לזהות מהם הסיכונים ואז לטפל בהם באופן שיטתי על ידי הטמעה של מערכות בקרה.

תקן ה-ISO 27001 דורש  מארגונים למנות את כל הבקרות שהן עתידות ליישם במסמך ששמו  Statement of Applicability.

ISO-27001-תעודת הסמכה
תעודת הסמכה ISO 27001

מבנה ה-ISO 27001

ה-ISO מחולק ל- 2 חלקים עיקריים

סעיפים 0-10:

0-3- סעיפים אלה הם ההקדמה, תנאי התקן ומילון מושגים, מהווים הקדמה אדמיחנסטרטיבית.

4-10- סעיפים אלה מפרטים את דירושת החובה של ה-ISO:

סעיף 4- הבנה מלאה של הקונטקס הארגוני- מהם האיומים הפנימיים והחיצוניים, מיהם הצדדים המעוניינים הרלוונטים לתקן. לאחר רישום מסודר של כל המידע, על הארגון לקבוע מה גודל הפרויקט- באיזו מידה ולאילו מחלקות הארגון מעוניין להטמיע את תקן ה-ISO.

סעיף 5- התחייבות של ההנהלה הבכירה לתהליך העמידה בתקינת ה-ISO היא דרישה בחלק מהתליך, והתקן מגדיר שעל ההנהלה להציב יעדים, להגדיר תקציבים ולייצר נהלים ארגוניים שמטרתם עמידה בדרישות התקן.

סעיף 6- סקר סיכונים מקיף שהופך להיות הבסיס לתכנון סביבת העבודה של ה-ISMS

סעיף 7- גיוס משאבי החברה והעובדים לשם עמידה בתקינה. המידע צריך להאיסף ולהירשם, ולהעדכן בהתאם. 

סעיף 8- תכנון, יישום ובקרה של נהלים ומדיניות שנקבע בסעיפים הקודמים. 

סעיף 9- הערכת ביצועים. על הארגון לנטר, לעקוב, לנתח  ולהעריך את הביצוע של בקרות אבטחת המידע שהושמו.

סעיף 10- שיפור ביצועים על פי הערכות קודמות.

החלק השני של תקן ה-ISO ששמו Annex A, מספק רשימה של 114 בקרות אבטחת מידע שאינן חובה אבל נבחרות כחלק מתהליך סקר הסיכונים. הרשימה מציגה אפשרויות של מנגנונים ובקרות המסייעות לעמידה בתקן, ועל הארגון לברור ולהחליט מהם המערכות המתאימות ביותר.

כמה זמן לוקח לעמוד בתקן ה-ISO 27001?

התשובה המהירה, והברורה מאליו, היא שזה משתנה.

התשובה המעט יותר מפורטת- חצי שנה עד שנה.

התהליך משתנה בכל ארגון ותלוי באופי הארגון, מורכבותו, תהליכיו והטכנולוגיות הנוספות שצריכות להירכש ולהיטמע בארגון.

מעורבות הארגון בתהליך חשובה – עד כמה הארגון מוכן להשקיע ולהטמיע תהליכים, משאבים, זמן ולשתף פעולה בתהליך. עם ההכנה הנכונה, מרבית הארגונים הקטנים עד הבינוניים יכולים לצפות להשיג תעודת הסמכה תוך 6-12 חודשים, תלוי בגודל ובמורכבות היקף מערכת הניהול.

מומחי הסייבר של חברת אבטחת המידע רדאנטרי בעלי ניסיון רב בליווי ארגונים מכל התעשיות לעמידה בתקינת סייבר בין לאומית, ביניהם בתקן ה-ISO 27001.


להמשך קריאה על תקני אבטחת מידע



שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 02/10/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 18/9/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 02/10/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 18/9/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.