1. ראשי
  3. BizPoint-Sponsored

תקן ISO 27001: בואו נכיר!

התקן הבינלאומי ISO 27001 נועד לעזור לארגונים להקים, ליישם, לתחזק ולשפר ללא הרף את מערכת ניהול אבטחת המידע שלהם. כל מה שצריך לדעת על איך הוא עובד
 | 
telegram

ISO 27001, התקן הבינלאומי לאבטחת מידע, מהווה ככלי מנחה, בו משתמשים ארגונים ברחבי העולם כדי להגן על הנתונים הרגישים שלהם ולהבטיח את שלמות מערכות המידע שלהם. מדובר על תקן ניהולי, אשר מסייע לארגונים לבסס תהליכים ארגוניים לניהול מוגדר של אבטחת מידע, הגנת פרטיות והגנת סייבר.
קרדיט: freepik
        קרדיט: freepik


מבוא ל-ISO 27001

ISO 27001  נועד לעזור לארגונים להקים, ליישם, לתחזק ולשפר ללא הרף מערכת ניהול אבטחת מידע (ISMS). זה חיוני לארגונים העוסקים במידע רגיש, כגון נתונים אישיים, רשומות פיננסיות, מידע עסקי וקניין רוחני, או לחילופין לארגונם אשר מספקים שירותים המבוססים על מערכות מידע, שאם ייפגעו ימנעו מהארגון לתת שירות ללקוחותיו (תכל'ס, יש ארגון בימינו שלא בהגדרה הזאת?)
התקן מחולק למספר סעיפים, אשר מגדירים כללים מנחים למסגרת ניהולית. חשוב להבין שלא מדובר על תקן טכני קונקרטי, כלומר הוא לא מגדיר שכל ארגון נדרש להטמיע אנטיוירוס, או כל כלי הגנה אחר. אלא, הוא מגדיר מתודולוגיה ארגונים לנהל סיכונים. על כן, כדי להתאים את דרישות התקן לצרכי הארגון, נדרשת מומחיות בתחום אבטחת מידע, להיכרות מעמיקה עם סיכוני הסייבר השונים.
כדי ליישם את התקן, נדרש להתמקד במספר תחומים עיקריים:

ההקשר של הארגון

ארגונים חייבים לזהות גורמים פנימיים וחיצוניים שעשויים להשפיע על ה-ISMS (Information security management system) שלהם. זה עוזר בהתאמת אמצעי אבטחה לסיכונים ולנסיבות ספציפיות. לדוגמא, יש לזהות האם יש דרישות רגולטוריות שחלות על הארגון, כדוגמת תקנות הגנת הפרטיות, או דרישות קונקרטיות לדוגמא מצד הלקוחות.

מנהיגות

מחויבות מנהיגותית היא חיונית. ההנהלה הבכירה חייבת לתמוך באופן אקטיבי ב-ISMS, לקבוע מדיניות אבטחת מידע ולהקצות תפקידים ואחריות. למשל מינוי ממונה אבטחת מידע הוא חיוני כדי לבסס תהליכים ארגוניים, עליו להיות כשיר ובעל היכרות עם תחומי הגנת המידע. אך מינוי לא מספיק, יש להטמיע שגרות ארגוניות כדוגמת ועדות היגוי כדי לנטר באופן רציף את ביצועי התחום.

תכנון

תחום זה עוסק בהערכת סיכונים ותכנון טיפול. ארגונים חייבים לזהות ולהעריך סיכונים לאבטחת מידע ולפתח תוכנית טיפול בסיכונים כדי להפחית אותם. ניתן לבצע סקר סיכונים כדי לאתר את נקודות התורפה בארגון, בשילוב כלים טכנולוגיים ובחינה מתודולוגית ע"י אנשי מקצוע. אחד הכלים הנפוצים לאיתור פרצות הוא מבדק חדירות ( Penetration test ), בו מבוצעת סימולציה של תקיפה של הארגון ע"י בודק מומחה.

תמיכה

סעיף זה מתאר את הדרישות למשאבים, כשירות, מודעות, תקשורת ומידע מתועד. משאבים מתאימים וכוח אדם מוכשר הם קריטיים לאבטחת מידע יעילה. לאחר זיהוי הסיכונים העיקריים, ונקודות תורפה, הארגון מגדיר את המעטפת הטכנולוגית להגנה על העסק- בתחום זה מגוון הפתרונות רחב וחשוב להבין מה כלי ההגנה האופטימליים בהתאמה לפעילות הארגון.

תפעול

הפעולות כוללות הערכת סיכונים וטיפול, כמו גם יישום בקרות להפחתת סיכונים שזוהו. ניטור ומדידה הם חיוניים כדי להבטיח שהבקרות יעילות. אין להניח שבכך שרכשנו כלי הגנה סיימנו את העבודה. מדובר על מערכות שנדרשות בבקרה, התאמה ותפעול שוטף, וחיוני להגדיר נהלים מסודרים בארגון לטובת הניהול השוטף של התחום.

הערכת ביצועים

ארגונים חייבים להגדיר תכנית בקרות שנתית, למדוד, לנתח ולהעריך את הביצועים של ה-ISMS שלהם. ביקורות וסקירות סדירות חיוניות לשיפור. הגדרת נוהל עבודה היא הבסיס, אך ללא בקרה מסודרת אין וודאות שאכן התהליך מתקיים בפועל.

שיפור

עולם אבטחת מידע מתעדכן ומתפתח ללא הרף- גם מצד התוקפים וגם מצד ההגנה. כלים וטכניקות תקיפה מפותחים כל העת, וארגון שאינו יודע לעדכן את מערך ההגנה שלו, נשאר חשוף ומיושן. לכן יש לשאוף לשיפור מתמיד. ארגונים צריכים לנקוט בפעולות מתקנות ומנעות כדי לטפל באי-התאמות ולשפר את ה-ISMS ללא הרף.
ISO 27001 הוא תקן בינלאומי, מקיף, המכסה את כל ההיבטים של ניהול אבטחת מידע. הוא מספק מסגרת מובנית לארגונים כדי להגן על המידע הרגיש שלהם ולהבטיח את הסודיות, היושרה והזמינות של הנתונים. על ידי הבנה ויישום של הדרישות המפורטות בתקן, ארגונים יכולים לבסס שיטות אבטחת מידע חזקות ולהשיג יתרון תחרותי בנוף הדיגיטלי של היום.

הירשם לסיכום היומי של שוק ההון ולמבזקים של
אני מאשר קבלת ניוזלטרים ודיוורים פרסומיים בדואר אלקטרוני ו/או באמצעות הסלולר בהתאם למפורט בסעיף 10בתנאי השימוש
הרשם התחבר

חיפוש ני"ע חיפוש כתבות