אבטחת מידע בסביבת מחשוב ענן מביאה עמה אתגרים רבים והתמודדות עם מגוון סוגיות טכניות, משפטיות ורגולטוריות.

ארגון ISO הבינלאומי, הארגון הגדול בעולם של תקנים בינלאומיים, פרסם שני תקנים חדשים הנוגעים לשירותי הענן ISO 27017 – וISO 27018 -.

התקנים מספקים הנחיות התומכות ביישום בקרות אבטחת מידע הן עבור ספקי שירות הענן והן עבור לקוחות שירותי הענן.

ISO 27017הינו תקן בינלאומי המכסה את ניהול אבטחת המידע למערכות ענן. למעשה, הקריטריונים החדשים מתבססים על תקן ISO 27002 (תקן מנחה להטמעת תקני אבטחת מידע בארגון) ומהווים מעין הרחבה של התקן הכללי בתחום שירותי הענן, כאשר ייחודו של תקן ISO 27017 הינו בכך שהוא מספק הנחיות הטמעה לבקרות אבטחת מידע המתייחסות באופן ממוקד לשירותי ענן.

 ISO 27018הינו תקן בינלאומי אשר קובע עקרונות והנחיות לבקרה ויישום צעדים להגנה על מידע אישי מזהה Personally Identifiable Information- PII)) בהתאם לעקרונות הפרטיות בסביבת ענן ציבורי. התקן מגדיר הנחיות ממוקדות בהתחשב בדרישות הרגולטוריות להגנה על הפרטיות בנוגע למידע אישי מזהה אשר ניתנות ליישום בהקשר של אבטחת מידע וניהול סיכונים בקרב ספקי שירותי ענן ציבורי. התקן מיועד לכל סוגי החברות והארגונים המספקים שירותים הכוללים עיבוד מידע בסביבת ענן תחת חוזה לארגונים אחרים וקובע מסגרת כללים שבאמצעותם יוכל הארגון להבטיח עמידה בסטנדרטים הנקבעים על ידי מסגרות דין שונות, לרבות חוק הגנת הפרטיות הישראלי ודירקטיבת הגנת המידע האירופית. התקן קובע פעולות לשיפור נוהלי אחזקת המידע בעסק וגם מאפשר בקרה על יישום הכללים על ידי גורם שלישי מוסמך.

כדי להשיג אישור לעמידה בתקנים אלו, ספק שירותי הענן חייב לעבור ביקורת חיצונית על ידי גוף מוכר אשר יוודא כי ספק שירותי הענן עומד במחויבויות על פי דרישות התקן.

 

  • קבלת ההסמכה לתקן עבור ארגונכם מהווה התחייבות לאיכות השירות ולשמירה על ביטחון המידע של הלקוחות שלכם ובכך מהווה יתרון איכותי ותחרותי על פני המתחרים.
  • עמידה בתקן מבטיחה לארגון וללקוחותיו עמידה בדרישות אבטחת המידע המקיפות והעדכניות ביותר.
  • ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) בהתמודדות על מכרזים, בכניסה לשווקים חדשים ובינלאומיים ובהתמודדות עם דרישות רגולטוריות שונות.

רוצה להתייעץ על אתגרי אבטחת המידע בארגון שלך?