מהו תקן ISO 27001:2022?
השאירו פרטים כאן לקבלת מידע טלפוני אודות ISO 27001:2022 או התקשרו ל- 03-7176020
בעידן בו נתונים הופכים למשאב יקר ערך, הטרנספורמציה הדיגיטלית אינה פוסחת עוד על אף ארגון במשק.
חברות גדולות, עסקים קטנים וארגונים ציבוריים וממשלתיים כאחד משקיעים כיום משאבים נרחבים על מנת ליישם פתרונות דיגיטליים חכמים בכלל היבטי הפעילות ולהתייעל.
לצד היתרונות הללו, ניצבים לא מעט אתגרים. ככל שהשנים חולפות, הופכים איומי הסייבר לגורם סיכון מרכזי בקרב ארגונים גדולים כקטנים.
יישום תקן איכות ראוי לניהול מערכות אבטחת מידע אינו רק מהותי לשמירה על משאבי הארגון ופרטיות הלקוחות שלך, אלא מהווה חובה חוקית ורגולטורית ראשונה במעלה.
במשך שנים, שימש תקן ISO 27001:2013 כסטנדרט הגבוה ביותר לדרישות מערכות ניהול אבטחת מידע.
כעת, גרסתו העדכנית ISO 27001:2022, מביאה עמה שלל עדכונים חדשים.
צוות המומחים של נקסטפ מובילים בתחום אבטחת המידע והסייבר, מסבירים כאן על התקן וסוקרים כמה מהחידושים בו.
מהו תקן ISO 27001?
תקן ISO 27001 הוא התקן העולמי המניח את התשתית לכלל הדרישות הרגולטוריות המחייבות עבור מערכות ניהול אבטחת מידע ומגבש את האסטרטגיות לניהול נתונים בעלי אופי רגיש. פרטי התקן מאפשרים כיום לארגונים לזהות מבעוד מועד איומי אבטחה פוטנציאליים, לצמצם סיכונים ובמידת הצורך, לנהל אירועים באופן יעיל.
כל אלו גם יחד, מאפשרים לארגונים להגן על הנתונים שלהם ושלמותם וכפועל יוצא מכך, על פרטיות המשתמשים במערכות הארגון.
מדוע נדרש עדכון בתקן?
בשנים האחרונות, חלו תהפוכות מרחיקות לכת בתחום טכנולוגיות התקשורת והדיגיטל.
התקן הישן, ISO 27001:2013, נוסח באופן כללי מאוד ולא העניק בהכרח מענה למגוון סוגיות עדכניות וצרכים של תחומי תעשייה שונים.
תקן ISO 27001:2022 נועד לכסות שלל תרחישים חדשים ולהעניק להם התייחסות ספציפית. התקן החדש מעניק מענה זה בארבעה היבטים מרכזיים: ניטור, הגנה שוטפת, תגובה לאירועים ותהליכי שחזור והתאוששות.
אז מה חדש בתקן?
הגרסה החדשה מרחיבה את טווח הכיסוי של התקן ומהיום הוא תקן לאבטחת מידע, פרטיות וסייבר במובן המקיף ביותר, בין אם מדובר בעותק דיגיטלי או קשיח, ובלבד שיהיה מדובר בנתונים רגישים. אלו כמה מהחידושים המשמעותיים ביותר שיושמו.
דגש מוגבר על ניהול סיכונים
הגרסה הקודמת של התקן אמנם חייבה ארגונים לזהות ולהעריך סיכונים, אך לא סיפקה הנחיות ספציפיות כיצד לערוך ניהול סיכונים זה.
הגרסה החדשה מתווה מסגרת ברורה לניהול הסיכונים, לרבות תהליך שיטתי לאבחון והערכת סיכונים והטיפול בהם. מסגרת ניהול הסיכונים החדשה מתבססת על תקן ISO 31000:2018 לניהול סיכונים ומספקת גישה רחבת היקף יותר מאשר בעבר.
שינויים בהצהרת הישימות
הצהרת הישימות (SOA) משנה את מבניה וחלוקת הסעיפים בה משנים את נקודת המבט על מנת להבטיח התאמה גבוהה של סעיפי התקן לרמת הבשלות של הארגון. מספר בקרות הושמטו מהתקן וסעיפים שונים אוחדו זה לזה.
לכל בקרה מיועדת כעת מפת מאפיינים
כחלק מהמגמה החדשה להתוות מדיניות ברורה לכל הליך, מצורפת כעת לכל בקרה של התקן מפת מאפיינים. המפה מעניקה למנהלי אבטחת מידע כלים ברורים כיצד להעריך סיכונים בהתאם לוורטיקלים מוגדים מראש בהתאם לחמישה מאפיינים: מאפיין CIA, מאפיין תפעולי, סוג הבקרה, מאפיין אבטחת מידע ומאפיין תפעולי.
בנוסף, המודל מחולק לארבעה תחומים שונים בהתאם להיקף בו נבחן הסיכון: ברמת הארגון, ברמת הטכנולוגיה, ברמת האבטחה הפיזית וברמת הגורם האנושי.
כך, מונח כעת מודל עבודה ברור המייעל את אופן יישום התקן כחלק בלתי נפרד מהקמת מערך אבטחת המידע ומסייע בגיבוש אסטרטגיות אפקטיביות.
התייחסות להיבטים שלא נכללו בתקן הישן
כפי שציינו בהתחלה, טווח הכיסוי של התקן רחב היקף כיום בהרבה ומספק בקרות והליכי תפעול מפורטים עבור שלל תחומי פעילות והיבטים באבטחת המידע והסייבר שהגרסה הקודמת לא התייחסה אליהם.
אלו רק כמה מהם:
- הגנה על אמצעים פיזיים – מתווה מדיניות להגנה על תשתיות מידע פיזיות כמו שרתים, מרכזי נתונים או מבנים בהם מרוכז חומר רגיש.
- שירותי ענן – כיום, כשארגונים רבים מתמיד עוברים לענן, מדובר במענה קריטי. בקרה זו מעניקה מענה מותאם אישית לאבטחת נתונים בסביבות ענן.
- המשכיות עסקית – התקן מתווה מדיניות סדורה לשמירה על זמינות והמשכיות עסקית, לרבות תהליכי התאוששות מאסון.
- מודיעין סייבר – פירוט כלל התהליכים לאיסוף וניתוח נתונים המצביעים על סיכוני אבטחה וניהול סיכונים יזום בהקשר אבטחת הסייבר.
- מחיקת מידע – התקן מגדיר כיצד יש למחוק נתונים רגישים באופן מאובטח ולמנוע גישה של מידע זה על ידי גורמים בלתי רצויים.
- ניהול הגדרות ותצורות בתהליכי פיתוח – כלל הצעדים הננקטים על מנת לנהל ולתחזק כראוי הגדרות ולמנוע מחיקה או אובדן של הגדרות מערכת.
- אבטחת קוד – מכלול הפרקטיקות המשמשות על מנת לכתוב קוד באופן מאובטח ולהבטיח קידוד מלא של נתונים רגישים המופיעים בו.
- ניטור וסינון – כלל הכלים המשמשים למעקב אחר מערכות המידע, לרבות ניהול גישה והרשאות וכמו כן, מכלול המאמצים המיושמים על מנת לסנן גורמים לא מורשים ממערכות ייעודיות ולמנוע זליגות מידע.
התאמה אישית גבוהה מתמיד
טווח הנושאים הרחב שמכסה תקן ISO 27001:2022 החדש מאפשר לארגונים יותר מתמיד לקבל מענה רב תחומי בתחום אבטחת המידע והסייבר ולשפר את אסטרטגיות ניהול אבטחת הנתונים באופן חסר תקדים. על אף שלא כל הבקרות יידרשו לכל ארגון, ההיקף הנרחב מעניק מענה שלא יתאים לארגון רק היום, אלא מבטיח שאל מול כל תהליך שינוי, התרחבות או Scaling בארגון, התקן יספק כיסוי מלא.
כתובת מקצועית מובילה ליישום תקן ISO 27001:2022
אנו בנקסטפ מביאים עמנו עשורים של ידע מקצועי מהשורה הראשונה בתחום אבטחת המידע. עם ניסיון רב שנים, צוות מוביל בתחומו והיכרות מעמיקה עם צרכי ארגונים מכל תחומי התעשייה, אנו מסייעים לארגונים ליישם את תקני אבטחת המידע שלהם באופן שתואם במדויק את הדרישות הרגולטוריות ושמשרת את הצרכים שלהם על הצד הטוב ביותר.
נשמח לסייע ולהתחיל ליישם את התקן בכלל היבטי הפעילות בארגון שלך. למידע נוסף ולתיאום שיחת ייעוץ, אנו מזמינים אותך לפנות אלינו עוד היום.