ISO 27001 icon
תקן אבטחת מידע ISO 27001

Governance Framework

 

תקן 27001 ISO הינו תקן בינלאומי לניהול אבטחת מידע, אשר מתווה כללים ברורים והנחיות מפורטות ליישום מוצלח של תהליכי אבטחת המידע בארגון. תקן ISO 27001 מספק ראייה רחבה על כלל הסיכונים הקיימים בארגון על היבטיו הטכניים, הפיזיים והארגוניים.

תקן  ISO 27001 מקיף מספר נושאים, אשר יחד מהווים בסיס יציב למערך אבטחת המידע הכולל של הארגון. הקו המנחה של התקן הוא יישום אבטחה מקסימאלית של המידע בארגון.

תקן 27001 ISO הופך למרכיב בסיסי והכרחי עבור יותר ויותר ארגונים, אשר נתקלים בדרישת הלקוחות ליישום התקן בארגון. הדרישה לתקן ISO 27001 נפוצה בעיקר בעסקאות בהן התקשורת כרוכה בהעברה ושימוש של מידע רגיש לצורך פרויקט זה או אחר. מכיוון שמידע הלקוחות מאוחסן במסגרת ההתקשרות על מחשבי הארגון, מידע רגיש זה חשוף לפגיעה חיצונית או פנימית אם לא יאובטח כראוי. כמובן שפגיעה מסוג זה עשויה לגרום נזק עסקי ותדמיתי רב לארגון. חששות מצד הלקוחות מגבירים את הדרישה ליישום תקן  ISO27001 המהווה התחייבות כלפי הלקוח המעוניין לדעת בוודאות כי המידע הרגיש והייחודי שלו אכן מאובטח היטב.

תקן ISO27001 מתבטא בפועל בהתנהלות הארגון, ע”י הקמה של תשתית אבטחת מידע ארגונית, אשר תומכת במכלול התהליכים הכרוכים באבטחת המידע בארגון. תשתית אבטחת המידע הארגונית מתבססת על נהלי אבטחת מידע אשר מהווים פועל יוצא של התקן ומכסים את כל היבטי האבטחה הרלוונטיים לארגון. בנוסף, השלכות יישום התקן ISO 27001 בארגון כוללות שימוש באמצעי הגנה לוגיים במערך המחשוב, כמו גם שימוש באמצעי הגנה פיזיים במיקומו של הארגון ובסניפיו.

סעיפיו של תקן ISO27001 כוללים:

  • מבדקים פנימיים רציפים
  • סקרי הנהלה למעקב, ייעול ושיפור
  • פעולות מנע וסיכול
  • בקרת רשומות וניירת ופעולות פנימיות

בנוסף, התקן מחייב גם:

  • ביצוע סקר סיכונים
  • ביצוע רישום של נכסי הארגון
  • זיהוי פוטנציאל לסיכון והפעלת מערך בקרה אשר יקטין משמעותית את הפוטנציאל לסיכון ולפריצת מערך אבטחת המידע של הארגון.

אם בעבר התקן היה חשוב במיוחד רק לגופים אשר ברשותם מידע סודי ורגיש, הרי שבעידן האינטרנט הנוכחי תקן בינלאומי זה חל על כל סוגי הארגונים. יישום התקן בארגון מגביר את אמינות הארגון והשירותים שהוא מספק ובנוסף מאפשר שיפור משמעותי באבטחת המידע .

הסמכה לתקן ISO 27001 כרוכה בתהליך עבודה הכולל מפגש ראשוני, לצורך עריכת סקר מקדים אשר בעזרתו יתבצע זיהוי, אפיון וניתוח ממשקי הארגון, הבנת אופן ניהול אבטחת המידע בחברה כמו גם את החוקים החלים על הארגון וקביעת תחום יישום התקן. בנוסף, תהליך העבודה כולל כתיבת נהלים, בניית תכנית עבודה, בניית תכנית להעלאת מודעות, ליווי והדרכה לקראת המבדק המקדים ומבדק ההסמכה לתקן ע”י גורם מוסמך כגון מכון התקנים הישראלי או המכון לבקרת איכות.

  • קבלת ההסמכה לתקן עבור ארגונכם מהווה התחייבות לאיכות השירות ולשמירה על ביטחון המידע של הלקוחות שלכם ובכך מהווה יתרון איכותי ותחרותי על פני המתחרים.
  • עמידה בתקן מבטיחה לארגון וללקוחותיו עמידה בדרישות אבטחת המידע המקיפות והעדכניות ביותר.
  • ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) בהתמודדות על מכרזים, בכניסה לשווקים חדשים ובינלאומיים ובהתמודדות עם דרישות רגולטוריות שונות.

רוצה להתייעץ על אתגרי אבטחת המידע בארגון שלך?