ISO 27001

תקן בינלאומי לאבטחת מידע

מטרת התקן

תקן 27001 ISO הנו תקן לניהול אבטחת מידע, אשר על פיו נקבעת שיטת יצירת, ניהול ותחזוקת הבקרה על תהליך אבטחת המידע בארגון. התקן מספק ראייה רחבה על כל הסיכונים הקיימים בארגון על כל היבטיו הטכניים, הפיזיים והארגוניים. תקן זה מתווה שיטה להקמה, ניהול ותחזוקה שוטפת של הבקרות הנדרשות לשם קיום תהליך אבטחת המידע בארגון. התקן מספק ראייה כלל ארגונית לשם ניהול מושכל של סיכוני אבטחת המידע על מכלול היבטיו: היבטים טכניים, היבטים ארגוניים והיבטים פיזיים. תקן אבטחת מידע זה עוסק במגוון נושאים המהווים יחד בסיס למערך אבטחת המידע של הארגון. התקן בא לידי ביטוי באמצעות הקמה של תשתית אבטחת מידע ארגונית, המוכרת בשם מערכת לניהול אבטחת מידע (מנא"מ) אשר מעניקה תמיכה למכלול התהליכים הקשורים באבטחת המידע בארגון. תשתית זו מתבססת על נהלי אבטחת מידע הנובעים מהתקן ומכסים את כל היבטי האבטחה הרלוונטיים. בכפיפות לנהלי התקן יש ליישם אמצעי הגנה לוגיים מתאימים במערך המחשוב ואמצעי הגנה פיזיים באתר בו שוכן הארגון ובסניפים קיימים.

תרומת התקן לארגון

יישום התקן מהווה בקרה מקיפה ומיפוי של כלל היבטי אבטחת המידע בארגון, תוך שמירה על העקרונות החשובים והקריטיים ביותר בעולם אבטחת המידע – שלמות, אמינות וזמינות המידע.

התקן תורם מאוד להגדרה ואפיון של בעלי תפקידים שונים בארגון תוך התוויות והסדרת תהליכים קבועים בתחום אבטחת המידע בארגון לצורך ניהול מיטבי יותר של התחום.

יישום התקן מעניק מעטפת שלמה ורחבה לעולם אבטחת המידע בארגון וכך מהווה סרגל מדידה מול גופים אחרים, בארץ ובחו"ל.

בארגונים בהם מעובד מידע רגיש פנימי וחיצוני(של לקוחות) יישום התקן מקנה בין היתר, עיבוד מאובטח יותר של המידע, מודעות מוגברת יותר בקרב העובדים וכמובן הגנה מיטבית יותר מפני חשיפה של המידע בפני גורמים בלתי מורשים שעלולה לגרום לארגון נזק רב בהיבטים עסקיים ותדמיתיים.

מבנה התקן

התקן מורכב משני חלקים עיקריים:

 

  • Management Clauses (פרקים 4-10): דרישות התקן המופיעות בפרקים אלו, ייושמו באופן מלא בכל ארגון המטמיע את התקן.

  •  Annex A (פרקים A.5-A.18): נספח הרחבה לתקן המפרט את כלל הבקרות בעולם אבטחת המידע שיש ליישם בארגון. מידת הישימות של הבקרות בחלק זה, מותנית בהערכת הסיכונים שביצע הארגון טרם הטמעת התקן – לצורך הערכה וזיהוי הפערים והסיכונים הקיימים בארגון. החלטה של אי יישום של בקרה מנספח זה תצטרך להיות מוצדקת ומנומקת בהתאם לתחום פעילותו של הארגון.

הבקרות בתקן

התקן כולל התייחסות לרבדים רבים שונים מעולם אבטחת המידע, ולכן, הינו מהווה מסגרת מומלצת לכל ארגון לניהול תקין של היבטי אבטחת המידע. בשל כך, מומלץ לאמץ ולהטמיע את התקן לצורך מזעור סיכוני אבטחת מידע אל מול איומים עתידיים שעלולים לפקוד את הארגון.

בין סוגי הבקרות: מדיניות אבטחה, התארגנות לצורך אבטחת מידע, ניהול נכסים, אבטחת משאבי אנוש, אבטחה פיזית וסביבתית, ניהול תקשורת ותפעול, בקרת גישה, רכישה, פיתוח ותחזוקה של מערכות מידע, ניהול תקריות אבטחת מידע, ניהול המשכיות עסקית וכו'.

הסמכה לתקן

תעודת הסמכה לתקן ISO 27001 אותה יקבל ארגון (לאחר מבדק של גוף מסמיך חיצוני), תשמש כהוכחה חד משמעית כי רמת אבטחת המידע שלו אכן גבוהה ומתאימה להתקשרויות עסקיות עם לקוחות המקפידים על חיסיון המידע שלו. תהליך ההכנה המקדים להסמכה תורם להעלאת רמת אבטחת המידע של הארגון, והגנה על המידע שלו, ולכן, בהשפעה ישירה תמנע התממשות סיכונים פוטנציאליים לזליגת מידע, העלולים להסב לחברה נזקים עסקיים ניכרים.

הדרך הטובה ביותר לעמידה ביעדי אבטחת המידע הנה ביצוע פרויקט מקיף להכנת הארגון לתקן אבטחת המידע. הכנה לעמידה בתקן ISO 27001 כולל הגדרת תשתית אבטחתית ויישום של מגוון תהליכים ובקרות הנדרשים ע"פ התקן. מומלץ לבצע הכנה זו בהנחייתו של גורם חיצוני בעל ניסיון ומיומנות בתחום זה, לצורך קבלת הכוונה ממוקדת ועניינית בהתאם לתחום פעילות של ארגון, שכן יישום התקן משתנה ובאים לידי ביטוי בצורה שונה בין ארגונים שונים.

חברת Titans Security מלווה את לקוחותיה לאורך כל הדרך, משלב גיבוש החזון דרך הכנת תכנית אסטרטגית ליישום, תוך מתן הכוונה, סיוע וייעוץ מקצה לקצה.

חברת Titans Security מלווה את לקוחותיה לאורך כל הדרך, משלב גיבוש החזון דרך הכנת תכנית אסטרטגית ליישום, תוך מתן הכוונה, סיוע וייעוץ מקצה לקצה.

רוצים לשמוע עוד?

אל תהססו לפנות אלינו, הנציגים הרלוונטים יצרו עמכם קשר בהקדם האפשרי.