0
sync logo
SYNCבלוג אבטחת מידע

תקן ISO 27001 - תקן אבטחת מידע

אוגוסט 2016

כאשר אומרים תקן ניהול אבטחת מידע (מוכר גם כמערכת ניהול הגנה על המידע) מתכוונים לרוב לתקן ISO 27001. הסמכה לתקן זה משמעותה הגדרת שיטה ותהליכים לפיהם נוהג הארגון לנהל את המידע שלו (ושל עובדיו, לקוחותיו וכו') ואת האופן שמגן על מידע זה.
מטרת בלוג זה היא להכיר "מלמעלה" את התקן ואופן היישום שלו.
בהצלחה! וקריאה מהנה.

זה לא סוד שבעולם בו אנו חיים, לא ניתן להגן באופן מוחלט על הכל ובסופו של דברמי שירצה, יוכל להגיע לכל פיסת מידע... אז מה עושים בכל זאת? מתכוננים למקרה כזה! תקן ISO 27001 לא ימנע באופן מוחלט זליגת מידע החוצה, אבל יאפשר לארגון לנהלאת המידע, לנטר מה שחשוב ובכלל זה גם זליגת מידע מהארגון החוצה, וכך למזער נזקים ויותר חשוב מזה, שזה יקרה ככל הניתן קרוב לזמן אמת. כיצד קוראים לזה? מערכת ניהול אבטחת מידע או בשמו המקצועי (והנכון יותר) מערכת ניהול הגנה על המידע. מטרת מערכת ניהול כזו היא להנחות את הארגון להבין מה הצרכים שלו ובהתאם לבחון אילו כלים מאפשרים לארגון הגנה מיטבית על המידע של הארגון (כולל לקוחותיו, עובדיו וכל מה שחשוב לו...).

תקן אבטחת מידע

התקן מפרט רשימת נושאים המתייחסים לתהליכים שכל ארגון חווה במסגרת העבודה היומיומית שלו, ולפי נושאים אלו הארגון נדרש להגדיר תהליכי עבודה, עבורם ניתן באופן מובנה לייחס מהו המידע הזמין בכל שלב בתהליכים אלו, מה הסיכונים הכרוכים במידע ובתהליך, כיצד ניתן להגן על המידע, כיצד ניתן לזהות זליגה שלו ומה עושים במקרה כזה. התקן מסייע לתכנן באופן יעיל ואפקטיבי מערכת (= שיטה) לניהול אבטחת מידע באופן מותאם לצורכי הארגון, וזאת באמצעות הגדרת עקרונות פשוטים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע.

הסמכה לתקן ISO 27001 מוכיחה כי הארגון מנהל את מערך המידע שאליו נחשף וכמובן המידע שברשותו, ושנקט באמצעים המתאימים לשמירה על המידע.

יישום תקן ISO 27001 לניהול אבטחת מידע מתאימה לכל סוג ארגון, ומתבצעת באמצעות שיטה מובנית ומבוססת כללים ועקרונות.

מה תורם תקן ISO 27001 לארגון?

  • זיהוי המידע וניהול סיכונים.
  • ניהול (עד כדי מניעה) וטיפול במקרים של זליגת מידעמחוץ לארגון.
  • הגדרת בקרות נכונות ומתאימות לארגון.
  • הגדרת מטרות ויעדים לשיפור ניהול אבטחת המידע, תכנון והנעת הדרך להשגתם.
  • סקירה, הכרה והתאמה לדרישות חוק, תקינה ורגולציה הנוגעת למידע ורלוונטיות לארגון בתחום עיסוקו.
  • ייזום פעילות מונעת לאירועי אבטחת מידע והוצאות כספיות שעשויות להיגרם מזליגה / אבדן / הונאה / גנבת מידע מהארגון.
  • היערכות להתאוששות מאסון ויכולת המשכיות עסקית.
  • יישום תהליכי עבודה ובקרה למיקסום הגנה על המידע בארגון.

הדרך להתעדה (= הסמכה)

  • סקר פערים בין הקיים לרצוי, סקירת התהליכים והמידע הקיים בארגון.
  • סיווג המידע ואופן התגובה לכל מידע כזה (כולל התייחסות לרמת הגישה לבעלי עניין הבאים עם כל סוג מידע כזה, כולל החתמת הסכמי סודיות לנוגעים במידע כזה).
  • כתיבת נהלי אבטחת מידע אשר יתאימו לדרישות התקן ולארגון.
  • סקר סיכונים וניהול נכסי המידע בארגון.
  • הכנת מסמך התאוששות מאסון והמשכיות עסקית, כולל ביצוע תרגול כזה.
  • מבדק פנימי ובקרת ישימות לפי כלל סעיפי התקן.
  • הדרכת עובדים לניהולאבטחת מידע.
  • סקר הנהלה ועדכון כלל פעילות ההגנה על המידע בארגון.
  • קיום מבדק לתקן ISO 27001 ע"י מכון התעדה.

השאר פרטיך לשיחת ייעוץ ולמידע נוסףבנוגע לאבטחת המידע בארגון שלך.

 

cross
0
    עגלה ריקהחזרה לחנות