ייעוץ וליווי לעמידה בתקני איזו (ISO)
אם הגעתם לכאן, אתם וודאי נמצאים בשלב שבו החלטתם לוודא שניהול המידע של הארגון שלכם מתבצע באופן תקין על בסיס התקנים הבינלאומיים לניהול אבטחת המידע בארגונים.
אז על מה בעצם מדובר ואיזה תקנים בינלאומיים קיימים ורלוונטים לניהול אבטחת מידע תקין בארגונים:
תקן ISO 27001
מדובר בתקן בינלאומי שפותח ע”י ארגון התקינה הבינלאומי (ISO) המייצג מתווה לניהול אבטחת מידע בארגונים . מטרתו לוודא את שמירתו וניהולו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע”י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת. בנוסף התקן מאפשר לארגון לעמוד בדרישות חוק הגנת הפרטיות הישראלי.
בתחילת מאי 2018 נכנס לתוקפו חוק הגנת הפרטיות הישראלי. החוק דורש מהארגונים המחזיקים מאגרי מידע רגישים לעמוד בדרישות הגנה, גיבוי, שיחזור ומידור המידע. אחת הדרכים היעילות לעמידה בדרישות החוק היא להטמיע את תקן ISO 27001 אשר המחוקק הצהיר שעמידה בתקן מאפשרת עמידה בדרישות החוק.
התקן מתווה עקרונות לניהול אבטחת מידע המבוססים על:
- ניהול סיכונים.
- התאמת אמצעי אבטחה לפי האיום האפשרי.
- הגדרה ויישום “תורת אבטחה ארגונית” המתאימה לאיומים ומתייחסת לכל ההיבטים:
- ההיבט הטכנולוגי.
- ההיבט הניהולי.
- בקרה ושיפור מתמיד.
- התקן מגדיר דרישות ולא פתרונות.
במהלך השנים עודכן התקן מספר פעמים עד שבשנת 2007 התייצב על הגרסה הנקראת ISO 27002. תקן זה מספק את הכללים הברורים ביותר לניהול אבטחת מידע בארגון, ומטרתו לספק הגדרה למימוש בקרות אבטחת מידע שונות לכלל הארגון. הוא כולל הנחיות בנושאים הבאים:
- קביעת מדיניות האבטחה, וניהול נכסי המידע.
- היבטי אבטחה לעובדים קיימים וקבלת עובדים חדשים.
- הגנה על סביבת ומתקני המיחשוב.
- הקמת מערכות בקרה וניהולן הטכני.
- הגבלת זכויות גישה לרשתות, מערכות, ישומים, ונתונים.
- צפיית אירועי פריצה, וניהול תגובה הולמת.
- אמצעי הגנה, שמירה וניהול שחזור בעת קריסה של המידע.
תקן ISO27799
היוזמה לניסוחו של תקן ISO 27799 הינה ישראלית, הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי – ISO. התקן מתבסס על התקן הכללי לאבטחת מידע ISO 27002, ומטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי שברשותם. כמו כן, מיועד התקן, לישויות אחרות המחזיקות בקרבן מידע בריאותי, ומבקשות לפעול על פי כללים בינלאומיים לרבות יועצי ביטחון מידע, אנשי ביקורת וספקים.
ISO/IEC 27032 אבטחת סייבר
תקן זה מהווה השלמה לתקן ISO27001, נועד לאבטחת את המרחב הקיברנטי. התקן מתמקד בשמירת המידע תוך דגש על אמינות, איכות ושלמות המידע הקיים ברשת. מנחה לשיפור מצב אבטחת הסייבר בדגש על הגנת המידע, מערכות מידע ושיפורן, בחינת בקרות קיימות בתחום הסייבר. התקן עוזר לארגון בהתמודדות עם ספאם, דיוג, האקינג ועוד.
ISO/IEC 27017 – שירותי ענן
תקן זה הוא מבוסס על ISO/IEC 27002 וכהרחבה לתקן ISO 27001 לאבטחת מידע. התקן מיועד לספקים המספקים שירותי ענן ללקוחותיהם.
התקן מתמקד בהנחיות לבקרות ספציפיות, מנחה איך לטפל בסיכוני ובאיומי אבטחת מידע לשירותי ענן.
התקן מגן לוגית ופיזית על הארגון בכך שמונע פרצות באמצעות הקשחת מערכות, מונע חשיפה להונאות, מצמצם אובן מידע, מגביר מודעות לאבטחת מידע ופרטיות ומהווה יתרון עסקי למול לקוחות.
ISO/IEC 27018 מזהה אישי בענן
תקן ISO2 7018 זה מהווה השלמה לתקן ISO 27001, נועד לאבטחת את המידע האישי בענן. בתקופה האחרונה ארגונים רבים עוברים למערכות ענן ונעזרים בספקי שירות. הענן, סביבה חדשה יחסית, בה קיימים איומים חדשים הדורשים התייחסות שונה ממה שהכרנו עד היום.
תקן ה-ISO 27018 מפרט בקרות נדרשות לטובת הגנה על המידע הרגיש האישי, מיועד לגופים המספקים שירותים בענן וללקוחותיהם.
ISO/IEC 9001 תקן ניהול איכות
תקן ה-ISO 9001 מספק שיטה לניהול תהליכים עסקיים הכוללת נהלים והנחיות להבטחת מערכות ניהול איכות בארגון לטובת המשך שיפור המוצרים ולשביעות רצון לקוח, בתחומים רבים כגון: היי-טק, תעשיה, שירותים, תשתיות, מזון, חינוך ועוד. התקן מגדיר דרישות למערכות ניהול איכות בהן הארגון צריך לעמוד. בתהליך ההסמכה לתקן ISO 9001 הארגון צריך להוכיח כי החברה ומוצריה עומדים בדרישות לקוח ובדרישות החוק.
לתקן ISO 9001:2015 עקרונות של ניהול האיכות: מיקוד בלקוח, גישה תהליכית, שיפור, מנהיגות, מעורבות, מחויבות ועוד.
חברת InfoGuard פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים. חברתנו מעמידה לרשותכם מומחים ויועצים בתחומי אבטחת מידע וניהול סיכונים בעלי הכרות מעמיקה עם תקני אבטחת המידע ISO 27001/27799.
הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה הנ”ל ועל Good Practices מקובלים בעולם הגנת המידע כגון ISO 27001.
אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויישומה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של הרשת הגלובלית ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן התמודדותם. הצוות המקצועי שיוקם לצורך ביצוע הפרויקט, יאפשר ביצועו תוך פגיעה מינימאלית במהלך העבודה השוטף של הארגון במסגרת הליווי לתקנים תינתן התייחסות לנושאים הבאים:
- הקמת תשתית נוהלית ו/או עדכון נהלי החברה.
- סיוע והובלה במיפוי תהליכים עיסקיים.
- השתתפות והקמת וועדת היגוי.
- ביצוע מיפוי מידע לארגון בדגש על מידע רגיש.
- ביצוע ביקורות מנא"מ פנימיות.
- הובלת ימי המבדק על ידי הגורם המסמיך.
- ליווי וייעוץ ראשוני לתיקון ליקויים.
דברו עם המומחים שלנו עוד היום וקבלו את כל המידע הדרוש בכדי לעבור את ההסמכה בהצלחה!