ISO 27001/27799 – אבטחת מידע

ארגונים רבים רואים בתחומי התקשוב והבריאות כחלק הולך ומתפתח מתהליכי החברה הרגילים. הצורך בשמירת מידע הופך קריטי.
על צורך זה עונים תקני ISO 27001; ISO 27799 .
עמידה בדרישות תקנים אלו מוכיחה שהארגון מחזיק ושומר על מידע הארגון לרבות מידע לקוחותיו בצורה נאותה ומוגנת.

לחברת נקסטפ קיים ניסיון רב בליווי תהליכי הסמכה לתקני:

תקן 27001 – מערכת ניהול אבטחת מידע.

תקן 27799 – מערכת ניהול אבטחת מידע בתחום הבריאות.

התקן מפרט דרישות ל:
• זיהוי וניהול הסיכונים .
• צמצום הוצאות במקרה של אובדן מידע.
• הגדרת שיטות מניעה.
• התאמה לדרישות חוק לרבות כאלו שלא הוגדרו ע"י הלקוח.
• תהליכים אפקטיביים לשחזור המידע.
• שיפור מתמיד לתהליך הגנת המידע ושחזורו.
יועצי נקסטפ תקינה ישירה הינם בעלי ידע והניסיון להטמעת דרישות התקן. יועצי החברה עושים שימוש בכלים טכנולוגיים, חלקם פרי פיתוח של חברת נקסטפ תקינה ישירה, תחת מעטפת של ניהול פרויקט לשביעות רצון הלקוח לכל אורך התהליך.

שלבי התהליך-
התהליך מחולק למספר שלבים אשר חלקם מיושמים במקביל ע"י היועצים המלווים ומערך השירות בחברת נקסטפ תקינה ישירה.

– כתיבת פרוגראמה מתאימה, שתהווה פלטפורמה לכתיבת נהלי הארגון – כתיבת תשתית נהלים המתאימה לאופי הארגון והתהליכים.

– כתיבת נהלים, הוראות עבודה וסקר סיכונים על בסיס היכרות מעמיקה עם תהליכי הארגון. לימוד מעמיק של הארגון, והתהליכים בו לשם כתיבת תיק נהלים המשקף את פעילות הארגון בהתאמה לדרישות התקן.

– כתיבת סקר סיכונים בהתאם לדרישות תקן אבטחת מידע.
– כתיבת מדיניות והצהרת ישימות.
– כתיבת נהלי הרשאות, עדכון וכתיבת אחריות וסמכות.
– כתיבת נהלי רשומות כוח אדם וקליטת כוח אדם ונהלי רשומות עסקיות (חוזים, הסכמים, אפיונים וכדומה).
– הוראות עבודה לאבטחה פיזית (נעילת משרד, שולחן נקי, נעילת מחשבים אוטומטית) ולאחזקת תשתיות (שרתים, מצלמות מעגל סגור וכדומה).
– הוראות עבודה לאבטחה מקוונת (סיסמאות Wifi, ניהול סיסמאות ורענון).
– כתיבת תכנית המשכיות עסקית בסיסית ותרגולה.

 

– ביצוע התקשרות עם מכון ההסמכה ופתיחת מספר לקוח – חשוב מאוד לנהל את לוח הזמנים באופן המתחשב בלוחות זמנים מצד המכון המסמיך, לשם כך יש להתחיל בהתקשרות כבר בתחילת התהליך כדי למנוע עיכובים בהמשך.
ההתקשרות עם מכון ההסמכה כוללת מילוי שאלונים המאבחנים את פעילות הארגון וחתימה על הסכם התקשרות בסופו מתקבל מספר לקוח.

– הדרכת עובדי החברה בנושא דרישות התקן – כתיבה וביצוע מצגת לעובדי החברה לצורך הפחתת התנגדויות, הרחבה והעמקת שתוף הפעולה מצד עובדי ומנהלי החברה.

– ביצוע מבדק פנימי כהכנה לביקורת מכון ההסמכה – בד"כ מבוצע לקראת סיום הפרויקט. נועד לבחון פערים אחרונים בין פעילות הארגון לדרישות התקן. בסיום המבדק מופק דו"ח אחרון המרכז את המתקנות לפני הגשה למבדק מטעם הגוף המסמיך.

– ביצוע סקר הנהלה – ישיבה בפורום ההנהלה הבכירה בחברה, לצורך בחינת תוצרי מערכת האיכות.

– קביעת מועד מבדק וקבלת אישור לתוצרי מערכת האיכות – שליחה של מבדק פנימי, סקר הנהלה ותיק הנהלים למכון הסמכה, קבלת הערות ותיקונם עד לאישור וקבלת מועד למבדק.

– ביצוע מבדק מכון ההסמכה – מבדק התעדה אורך בד"כ יום שלם (תלוי בגודל הארגון ומורכבותו). היועץ המלווה נוכח לאורך כל המבדק, עד לנעילתו בישיבת סיכום.

– עריכת פעולות מתקנות בהתאם להערות הבודק – היועץ המלווה, מסייע בכתיבת מענה להערות הבודק, עד לאישור ביצוע התיקונים והתאמת הארגון לדרישות התקן.

– קבלת תעודה.