ISO 27001- תקן לניהול אבטחת מידע
ה- ISO 27001 הוא תקן בינלאומי שמפרט ניהול אבטחת מידע בארגונים. התקן נוסח על ידי ארגון התקינה הבינלאומי (ISO), בשיתוף פעולה עם הנציבות הבינלאומית לאלקטרו טכניקה. מאז שנת פרסומה ב-2005, הוא עבר עדכונים רבים ביניהם האחרון שבנת 2017.
מהו תקן ISO 27001?
תקינת ה-ISO 27001, או בשמה העברי- תקן לניהול אבטחת המידע בארגון, מספקת מסגרת עבודה שעוזרת לארגונים בכל הגדלים והתעשיות להגן על המידע שלהם בצורה שיטתית, ושאינה בזבזנית מבחינה כלכלית, דרך אימוץ של מערכות לניהול אבטחת מידע, או בקיצור ISMS.
מה זה ISMS?
מדובר בנהלים ומדיניות שמטרתם ניהול אבטחת מידע בארגון. מסגרת עבודה זו כוללת את מערכות השליטה והבקרה באספקטים משפטיים, פיזיים וטכניים.
על החברה ליישם נהלים אלה על מנת להבין כמה דברים:
- מהם ציפיות הלקוחות מבחינת אבטחת מידע?
- מהם הסיכונים על המידע?
- מהם בקרות הגנה שייסיעו לארגון לענות על ציפיות הלקוחות ולהגן מפני האיומים?
- מהם המטרות הברורות של הארגון מבחינת אבטחת מידע?
לאחר המענה המפורט על שאלות אלה, על הארגון לבצע פעולות להשגת היעדים הבאים:
- יישום והטמעה של בקרות ההגנה
- מדידה רציפה וחוזרת של יעילות בקרות ההגנה
- שיפור תמידי של מערכות ה-ISMS
מטרת ה-ISMS
מטרתן של מערכות ה-ISMS להגן על 3 אספקטים של אבטחת מידע:
- חשאיות- רק יוזרים מורשים יש יכולת לגשת למידע
- יושרה- רק יוזרים מורשים יכולים לשנות את המידע
- זמינות- על המידע להיות נגיש וזמין לבעלי הרשאה בצורה שוטפת
המטרה של תקן 27001 ISO
המטרה של תקן זה היא לעזור לכל ארגון וארגון להפוך את המידע שברשותו לבטוח יותר. דבר אותו ניתן לעשות על ידי יישום כל הקשור לדרישות המפורטות בתקן: בניית מנגנון שמטרתו לזהות סיכונים באבטחת המידע של הארגון, כתיבת כל הנהלים הנדרשים על מנת להיות בטוחים שכל נתוני המידע בארגון אכן בטוחים וזמינים לשליפה מהירה בכל רגע נתון, גיבוי של כל הנתונים הללו, וכן תחזוקה ועדכונים קבועים של מערכת ניהול אבטחת המידע של אותו הארגון. נכון לשנת 2021, כל ארגון אשר עומד בכל אותן דרישות התקן הבינלאומי ISO 27001, יכול ליהנות מהסמכה של הארגון וזאת לאחר ביקורת מוצלחת של גוף ההסמכה.
מי צריך לעמוד בתקן ה-ISO 27001
חברות IT- חברות לפיתוח תוכנה, אחסון בענן וספקי תמיכה טכנית לרוב מבצעים סקירה לעמידה בתקן זה על מנת להוכיח ללקוחות פוטנציאליים שהם בעלי יכולות הגנה על המידע הארגוני שלהם.
ארגונים פיננסים- רגולציית אבטחת המידע במגזר הפיננסי היא מהמחמירים ביותר. לכן בנקים, חברות ביטוח והשקעות שוק ההון, וחברות פיננסיות אחרות מעוניינות לעמוד ב-ISO 27001 כדי לעמוד בתקני אבטחת מידע אחרים, המבוססים ברובם על ה-ISO 27001.
עמידה ברוב רגולציות אבטחת המידע- ישנן אינספור רגולציות ותקנים בודדים שדרושים לקבלת גושפנקה רשמית המאפשרת המשך עבודה. עמידה בתקן ה-ISO 27001 מאפשר לארגון לתפוס שני ציפורים במכה אחת, מפני שרוב התקנים הבודדים נכללים תחת ה-ISO 27001.
חברות תקשורת- ארגונים אלה, ביניהם ספקי אינטרנט, מעוניינים להגן על המידע הרב העובר בשירותים החיוניים שלהם. הם פונים לתקן ה-ISO 27001 שעיקרו למנוע שיבוש והפסקת פעילות הנובע מאירועי סייבר, תקריות שיכולות לגרום לנזק רב בארגונים חיוניים.
מוסדות ממשלתיים- העובדה שתקן זה נוצר כדי לשמור על שלושת המרכיבים החשובים ביותר באבטחת מידע- חשאיות, יושרה וזמינות- הופך את ה-ISO 27001 למפתה במיוחד עבור גורמי ממשל המחזיקים בידיהם מידע רגיש מאוד.
איך לעמוד ב-ISO 27001 יעזור לארגון שלכם?
יתרון תחרותי- כאשר הארגון שלך עומד בתקן הגלובלי והמקיף של ה-ISO 27001, והמתחרים שלך אינם, יש לארגונכם יתרון תחרותי משמעותי הן בשוק המקומי והן בשוק הגלובלי.
חיסכון בעלויות- אירועי אבטחת מידע, קטנים וגדולים כאחד, סוחבים איתם עלויות גדולות, לא רק מבחינה כספית אלא גם מחיר תדמיתי. תקן ה-ISO נועד בעיקרו למנוע אירועי אבטחת מידע, מה שמונע הוצאה כספית גדולה של ארגונים על טיפול במשברים.
ניהול מסודר- ארגונים הגדלים בקצב מהיר לרוב לא עוצרים לקביעת מדיניות ברורה בכל הנוגע לאבטחת מידע, מה שיכול לגרור בעיות רבות בהמשך הדרך וכאוס בעבודה. הטמעת תקן ה-ISO פותר מצב זה ומייצר סדר מאוד ברור באחד האספקטים החשובים ביותר של הארגון.
עמידה בדרישות חקיקה מקומיות- עמידה בתקינת ה-ISO27001 מאפשר עמידה בחקיקה מקומית ובן לאומית כמו ה-GDPR ו-HIPPA. בנוסף, הוא מאפשר שמירה על פרטיות המידע בהתאם לדרישות חוק הפרטיות הישראלי.
תהליך העמידה ב-ISO 27001
דרך הפעולה העיקרי לעמידה בתקן ה-ISO הוא ניהול סיכונים- לזהות מהם הסיכונים ואז לטפל בהם באופן שיטתי על ידי הטמעה של מערכות בקרה.
תקן ה-ISO 27001 דורש מארגונים למנות את כל הבקרות שהן עתידות ליישם במסמך ששמו Statement of Applicability.
מבנה ה-ISO 27001
ה-ISO מחולק ל- 2 חלקים עיקריים
סעיפים 0-10:
0-3- סעיפים אלה הם ההקדמה, תנאי התקן ומילון מושגים, מהווים הקדמה אדמיחנסטרטיבית.
4-10- סעיפים אלה מפרטים את דירושת החובה של ה-ISO:
סעיף 4- הבנה מלאה של הקונטקס הארגוני- מהם האיומים הפנימיים והחיצוניים, מיהם הצדדים המעוניינים הרלוונטים לתקן. לאחר רישום מסודר של כל המידע, על הארגון לקבוע מה גודל הפרויקט- באיזו מידה ולאילו מחלקות הארגון מעוניין להטמיע את תקן ה-ISO.
סעיף 5- התחייבות של ההנהלה הבכירה לתהליך העמידה בתקינת ה-ISO היא דרישה בחלק מהתליך, והתקן מגדיר שעל ההנהלה להציב יעדים, להגדיר תקציבים ולייצר נהלים ארגוניים שמטרתם עמידה בדרישות התקן.
סעיף 6- סקר סיכונים מקיף שהופך להיות הבסיס לתכנון סביבת העבודה של ה-ISMS
סעיף 7- גיוס משאבי החברה והעובדים לשם עמידה בתקינה. המידע צריך להאיסף ולהירשם, ולהעדכן בהתאם.
סעיף 8- תכנון, יישום ובקרה של נהלים ומדיניות שנקבע בסעיפים הקודמים.
סעיף 9- הערכת ביצועים. על הארגון לנטר, לעקוב, לנתח ולהעריך את הביצוע של בקרות אבטחת המידע שהושמו.
סעיף 10- שיפור ביצועים על פי הערכות קודמות.
החלק השני של תקן ה-ISO ששמו Annex A, מספק רשימה של 114 בקרות אבטחת מידע שאינן חובה אבל נבחרות כחלק מתהליך סקר הסיכונים. הרשימה מציגה אפשרויות של מנגנונים ובקרות המסייעות לעמידה בתקן, ועל הארגון לברור ולהחליט מהם המערכות המתאימות ביותר.
כמה זמן לוקח לעמוד בתקן ה-ISO 27001?
התשובה המהירה, והברורה מאליו, היא שזה משתנה.
התשובה המעט יותר מפורטת- חצי שנה עד שנה.
התהליך משתנה בכל ארגון ותלוי באופי הארגון, מורכבותו, תהליכיו והטכנולוגיות הנוספות שצריכות להירכש ולהיטמע בארגון.
מעורבות הארגון בתהליך חשובה – עד כמה הארגון מוכן להשקיע ולהטמיע תהליכים, משאבים, זמן ולשתף פעולה בתהליך. עם ההכנה הנכונה, מרבית הארגונים הקטנים עד הבינוניים יכולים לצפות להשיג תעודת הסמכה תוך 6-12 חודשים, תלוי בגודל ובמורכבות היקף מערכת הניהול.
מומחי הסייבר של חברת אבטחת המידע רדאנטרי בעלי ניסיון רב בליווי ארגונים מכל התעשיות לעמידה בתקינת סייבר בין לאומית, ביניהם בתקן ה-ISO 27001.
להמשך קריאה על תקני אבטחת מידע
