CISO as a service – ממונה אבטחת מידע
השאירו פרטים כאן לקבלת מידע על שירותי CISO as a service אצלכם בארגון או התקשרו ל-03-7176020
מגבירים את הקצב בניהול אבטחת המידע
כדי לעמוד בקצב ולא להישאר מאחור בתחום אבטחת המידע, אנו ב-Nextep מובילים עבורכם את התחום במהירות ואיכות שטרם הכרתם.
המשיכו לקרוא על התחום שאנחנו הכי טובים בו – ניהול אבטחת מידע בארגון.
Beyond Security – מסלול 360°
באמצעות המודל המעגלי שלנו, יצרנו שירות מקיף 360°, בכדי להוביל את תחום אבטחת המידע מעבר לציפיות הארגון ולקוחותיו.
טכנולוגי – ביצוע סקר טכנולוגי וסקירת כלל המערכות ותשתיות הארגון. בדיקת חולשות האבטחה בכל הרבדים ואפיון הבקרות הנדרשות הן ברמת המוצר ותשתיות הארגון.
רגולטורי – סקירת החשיפה של הארגון לתקנות ודרישות חוק, מתן מענה לכל הרגולציות הנדרשות ודרישות הלקוח בתחום אבטחת המידע והגנת הפרטיות.
ארגון ושיטות עבודה – בדיקת כלל הנהלים ושיטות העבודה והתאמתם למערך ניהול אבטחת מידע בארגון (ISMS). בחינת חוזק המשאב האנושי בהגנה על מידע הארגון, בדיקות Phishing וסקרי סיכונים.
המומחיות הנדרשת לניהול אבטחת מידע בארגון
מומחיות טכנולוגית – מילוי כל דרישות אבטחת מידע שיישומן דורש ידע טכנולוגי (Hands On) כגון: התקנת אמצעי הגנה ותחזוקתם, ביקורות פיסיות ולוגיות, בקרות שוטפות ועוד.
מומחיות רגולטורית – הכרת הרגולציות ומנגנוני האכיפה בשווקים השונים, כגון: ISO 27001, 27799, 27017, 27701, הטמעת רגולציות כגון: GDPR ,HIPAA ,SOC2 ,TISAX, תקנות הגנת הפרטיות, עדכון ועמידה בקצב של התקנות המשתנות בהתאם לפרופיל הארגוני והעסקי.
ארגון ושיטות עבודה – קידום תחום אבטחת המידע בארגון, הדרכות, הנעת עובדים, כתיבת נהלים, עמידה במבדקים, תכלול כלל המערכות להשגת תוצאות מיטביות באבטחת מידע.
מתודולוגיית עבודה
Beyond Security מבית Nextep
שירותי ממונה אבטחת מידע (Ciso as a service) / אחראי אבטחת מידע במיקור חוץ – שירות הליווי השוטף שלנו נועד לתת מענה לדרישה למינוי ממונה/אחראי אבטחת מידע (היכן שקיימת חובה חוקית), שתפקידו לנהל את כל תחום אבטחת המידע והגנת הפרטיות בחברה.
כאמור הדבר מתאפשר בהתבסס על הידע המשולב של הגורמים השונים המלווים את התהליך בחברתנו, ובהתבסס על היכולת לרכוש את השירות בצורה מודולארית ובהתאם לצורכי הארגון שלכם, תוך ייעול וחיסכון בעלויות.
כתיבה והטמעת נהלים – לצורך הטמעת מערכות בקרה ושליטה פנים ארגוניות, אנו נכתוב עבורכם נהלי אבטחת מידע בכל התחומים הנדרשים, נתאים את הנהלים לאופן פעילות הארגון, ונלווה אתכם עד להטמעתם בשגרת הפעילות.
קביעת שגרת בקרות ארגונית – בנוסף להטמעת הנהלים, יש לוודא את יישומם והאפקטיביות שלהם בשטח בהתאם לאופי הארגון ומשאביו. מנהלי אבטחת המידע של נקסטפ יקבעו עבורכם שגרת בקרות שוטפות לצורך מתן מענה לדרישות אבטחת המידע הנהוגות בארגון.
מטרת הבקרות הללו, הנוגעות באבטחה פיזית כמו גם אבטחה לוגית, היא לוודא את שהפעילות השוטפת מתבצעת בצורה תקינה ומאובטחת, תוך שמירה על פרטיות הלקוחות שלכם.
ניהול של שגרת הבקרות – כחלק מהשרות, אנו נמנה מנהל אבטחת מידע ייעודי מטעמינו, אשר ישמש כגורם בקרה פנימי וינהל עבורכם את מערך אבטחת המידע וכלל תהליכי הבקרה השרתיים. תפקיד הממונה כולל ביצוע של בקרות ו/או פיקוח על גורמים בחברה האחראים לבצע את הבקרות. בנוסף, הממונה הייעודי אחראי לתיעוד כלל התהליכים וניהול של לוחות הזמנים, ומספק מעטפת ארגונית לכל הנושא מבלי לפגוע בשגרת הפעילות.
עריכת סקרי סיכונים ובקרת אבטחת מידע – ממוני אבטחת מידע וסייבר ויועצים משפטיים יזהו עבורכם את הפערים הקיימים אל מול דרישות החוק והרגולציה. אנו נבחן את כלל נכסי המידע הארגוניים, את המערכות השונות ואת תשתית המחשוב.
התאמת פתרונות והשלמת כלל הפערים – על בסיס ממצאי הבדיקה והבחינה שאנו מבצעים, אנו נתאים לכם כלקוחותינו את הפתרונות הנכונים והמתאימים לארגונכם, ונלווה אתכם להשלמה מלאה של כלל הפערים.
קביעת תכנית הדרכות, וביצוע של הדרכות בפועל – מערך ההדרכה שלנו מתמחה בעריכת הדרכות בשלל תחומים בהתאם לרוחב פעילותינו בתחומי התקינה והרגולציה הפנימית.
אנו נתאים עבורכם תכנית הדרכות מדורגת ונתעד את ההדרכה והמעקב אחר השלמת הפערים. תכנית זו תבטיח, כי כל עובדי הארגון יתודרכו בזמן ובצורה מסודרת אודות כלל חובותיהם.
ניהול רכש וספקים בתחום מערכות המידע – כחלק מהרגולציה בתחום, ארגונים צריכים לעמוד בשורת חובות בעבודה מול ספקים חיצוניים. בהתחשב בנדרש לפי תקנה 15 לתקנות אבטחת מידע ו/או הוראות תקנה 28 ל- GDPR; מתוך הבנתינו העמוקה של ההקשר הארגוני טכנולוגי, נאפיין עבורכם את סוג ההתקשרות, נסייע לכם לנהל הליך מסודר ומתועד של בדיקת נאותות טרם ההתקשרות ונתאים לספק "נספח עיבוד מידע" המעגן את חובותיו כלפי הארגון שלכם בכל הנוגע לעיבוד מידע.
ביצוע ביקורת ספקים שנתית / תקופתית – כיוון שהחובה כוללת פיקוח שוטף על פעילותם של הספקים החיצוניים, אנו נערוך ביקורת ספקים שנתית שבמסגרתה יבחנו כלל הספקים החיצוניים המקבלים גישה למידע הארגוני שלכם והאופן בו הם עומדים בחובותיהם על פי ההסכמים והקבוע בחוק.
ניהול אירועי אבטחת מידע – הרגולציה הנוכחית כוללת חובות כיצד לנהל אירוע אבטחת מידע, החל משלב הזיהוי, דרך אופן ניהול האירוע ועד לסיכום, תיעוד, הפקת הלקחים והדיווח לגורמים הרלוונטיים.
ניהול אירועים מסוג זה מחייב התייחסות מלאה מבחינה טכנולוגית, משפטית וארגונית, מה שהתשתית המקצועית שלנו יכולה לספק, תוך עמידה בדרישות הדין.
תחזוקה של מסמכי ומערכי הגנת הפרטיות בארגון – חובה נוספת של הרגולציה היא עדכון תקופתי של מסמכי אבטחת המידע של הארגון. בכלל זה הנהלים, מסמכי הגדרת המאגרים, מיפוי מערכות המאגר ועוד.
המנהל הייעודי מטעמינו יוודא שארגונכם עומד בדרישות הללו וכן יבצע בעצמו את בחינת המסמכים הקיימים ויגיש המלצה פשוטה ופרקטית על הפעולות הנדרשות לצורך תחזוקתם.
דיון שנתי בנושאי אבטחה – פעם בשנה (או רבעון במקרים מסוימים) נדרשים ארגונים המחויבים לעמידה בתקנות הגנת הפרטיות לנהל דיון שנתי בנושאי אבטחת מידע. במהלך הדיון יש לבחון את כל הנושאים העקרוניים לעמידה בתקנות ובהוראות הדין.
המנהל הייעודי מטעמינו יוודא את קיום הדיונים ותיעודם וכן יכין את הנושאים שיש לדון בהם.
ניהול הליכי תחזוקה ובקרה של תקינה בינלאומית – כחברה שליבת עיסוקה הוא תקינה פנים ארגונית, וכמי שמלווה בעצמה לקוחות לתקני אבטחת מידע השונים (ISO 27001,ISO 27799, ISO 27107, ISO 27018 וכו') תכנית הליווי השוטף שלנו יכולה לשלב גם הליכי בקרה שוטפים שתכליתם תחזוקה של התקנים הקיימים בארגון, על מנת להקל על הלקוח (ולחסוך בעלויות) לקראת המבדק השנתי, הכול בהתאמה אישית לצרכים שלכם כלקוחותינו.