ISO 27001 icon
תקן ISO 27001

 

תקן 27001 ISO הינו תקן בינלאומי לניהול אבטחת מידע, אשר מתווה כללים ברורים והנחיות מפורטות ליישום מוצלח של תהליכי אבטחת המידע בארגון. התקן מספק ראייה רחבה על כלל הסיכונים הקיימים בארגון על היבטיו הטכניים, הפיזיים והארגוניים.

תקן אבטחת המידע ISO 27001 מקיף מספר נושאים, אשר יחד מהווים בסיס יציב למערך אבטחת המידע הכולל של הארגון. הקו המנחה של התקן הוא יישום אבטחה מקסימאלית של המידע בארגון.

תקן 27001 ISO הופך למרכיב בסיסי והכרחי עבור יותר ויותר ארגונים, אשר נתקלים בדרישת הלקוחות ליישום התקן בארגון. הדרישה לתקן נפוצה בעיקר בעסקאות בהן התקשורת כרוכה בהעברה ושימוש של מידע רגיש לצורך פרויקט זה או אחר. מכיוון שמידע הלקוחות מאוחסן במסגרת ההתקשרות על מחשבי הארגון, מידע רגיש זה חשוף לפגיעה חיצונית או פנימית אם לא יאובטח כראוי. כמובן שפגיעה מסוג זה עשויה לגרום נזק עסקי ותדמיתי רב לארגון. חששות מצד הלקוחות מגבירים את הדרישה ליישום התקן המהווה התחייבות כלפי הלקוח המעוניין לדעת בוודאות כי המידע הרגיש והייחודי שלו אכן מאובטח היטב.

התקן מתבטא בפועל בהתנהלות הארגון, ע"י הקמה של תשתית אבטחת מידע ארגונית, אשר תומכת במכלול התהליכים הכרוכים באבטחת המידע בארגון. תשתית אבטחת המידע הארגונית מתבססת על נהלי אבטחת מידע אשר מהווים פועל יוצא של התקן ומכסים את כל היבטי האבטחה הרלוונטיים לארגון. בנוסף, השלכות ישום התקן בארגון כוללות שימוש באמצעי הגנה לוגיים במערך המחשוב, כמו גם שימוש באמצעי הגנה פיזיים במיקומו של הארגון ובסניפיו.

סעיפיו של התקן כוללים:

  • מבדקים פנימיים רציפים
  • סקרי הנהלה למעקב, ייעול ושיפור
  • פעולות מנע וסיכול
  • בקרת רשומות וניירת ופעולות פנימיות

בנוסף, התקן מחייב גם:

  • ביצוע סקר סיכונים
  • ביצוע רישום של נכסי הארגון
  • זיהוי פוטנציאל לסיכון והפעלת מערך בקרה אשר יקטין משמעותית את הפוטנציאל לסיכון ולפריצת מערך אבטחת המידע של הארגון.

אם בעבר התקן היה חשוב במיוחד רק לגופים אשר ברשותם מידע סודי ורגיש, הרי שבעידן האינטרנט הנוכחי תקן בינלאומי זה חל על כל סוגי הארגונים. יישום התקן בארגון מגביר את אמינות הארגון והשירותים שהוא מספק ובנוסף מאפשר שיפור משמעותי באבטחת המידע .

הסמכה לתקן ISO 27001 כרוכה בתהליך עבודה הכולל מפגש ראשוני, לצורך עריכת סקר מקדים אשר בעזרתו יתבצע זיהוי, אפיון וניתוח ממשקי הארגון, הבנת אופן ניהול אבטחת המידע בחברה כמו גם את החוקים החלים על הארגון וקביעת תחום יישום התקן. בנוסף, תהליך העבודה כולל כתיבת נהלים, בניית תכנית עבודה, בניית תכנית להעלאת מודעות, ליווי והדרכה לקראת המבדק המקדים ומבדק ההסמכה לתקן ע"י גורם מוסמך כגון מכון התקנים הישראלי או המכון לבקרת איכות.

  • קבלת ההסמכה לתקן עבור ארגונכם מהווה התחייבות לאיכות השירות ולשמירה על ביטחון המידע של הלקוחות שלכם ובכך מהווה יתרון איכותי ותחרותי על פני המתחרים.
  • עמידה בתקן מבטיחה לארגון וללקוחותיו עמידה בדרישות אבטחת המידע המקיפות והעדכניות ביותר.
  • ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) בהתמודדות על מכרזים, בכניסה לשווקים חדשים ובינלאומיים ובהתמודדות עם דרישות רגולטוריות שונות.

רוצה להתייעץ על אתגרי אבטחת המידע בארגון שלך?