ISO 27018 | תקן לניהול אבטחת מידע בענן
יישום והטמעת תקן ISO 27018 - ניהול אבטחת מידע בענן
הצעד הראשון שלך באבטחת מידע בענן
השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27018 או התקשרו ל- 03-9550222
מהו תקן ISO 27018?
ISO 27018 הינו תקן המספק כללי יישום להגנה על מידע מזהה אישי (PII – Personally Identifiable Information) בעננים ציבוריים הפועלים כמעבדי מידע מזהה אישי.
התקן מבוסס על תקני אבטחת המידע ISO 27002 ו-ISO 27001 תוך התמקדות בחוקים, תקנות חובות וכללים להגנה ואבטחת PII בסביבות בעלות סיכוני אבטחת מידע של ספקי שירותי ענן ציבוריים.
כל מה שצריך לדעת על אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001
לכל המאמרים על ISO 27001
על מי חל תקן 27018 ISO?
התקן חל על ארגונים מכל הסוגים והגדלים, לרבות חברות פרטיות וציבוריות, ישויות ממשלתיות וארגונים ללא כוונת רווח, המספקים ללקוחותיהם שירותי עיבוד מידע מזהה אישי באמצעות שימוש במחשוב ענן. בנוסף, התקן מתאים גם לארגונים הפועלים כבקרי מידע מזהה אישי (בקר PII).
חשוב לדעת כי בקרי מידע מזהה אישי כפופים לתקנות וחובות נוספים שאינם חלים על מעבדי מידע מזהה אישי (מעבד PII). ייתכן כי לקוח שירות ענן שהוא גם בקר PII יהיה כפוף למערכת חובות ותקנות רחבה יותר המסדירה את הגנת מידע מזהה אישי.
מה ההבדל בין בקר PII למעבד PII?
מעבד (PII (Processor מעבד נתונים שהוגדרו על ידי לקוח שירות הענן בלבד (בקר PII).
בקר (PII (Controller קובע את אמצעי האיסוף והעיבוד של המידע ואת מטרת השימוש בו.
מהם היתרונות בהטמעת תקן 27018 ISO?
- הסמכה לתקן ISO 27018 מוכיחה שהארגון מאבטח ושומר על המידע המזהה האישי של הלקוח (PII) המאוחסן בשרתים הווירטואליים
- עמידה בתקן מאפשרת לפנות לשווקים בינלאומיים ולעבוד עם משרדי הממשלה והחברות הגדולות במשק
- עמידה בדרישות החוקים, תקנות הגנת הפרטיות ורגולציית הגנת הפרטיות GDPR בעיקר בנושאי ענן, מעמידה את הספק במיצוי יכולות אבטחת המידע שלו וגורמת לשינוי טכני חשוב שבא לידי ביטוי בשיחזור נתונים, גיבוי חכם והצפנה של ה-PII.
לכל המאמרים על תקנות הגנת הפרטיות
לכל המאמרים אודות רגולציית הגנת הפרטיות GDPR
- בקרה על אי זליגת המידע (DLP), מניעת שימוש במאגרי מידע לצורכי שיווק והקפדה על פרטיות מאגרי המידע המאוחסנים ב-Cloud מונעות זליגת מידע רגיש של הארגון ומצמצמות הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע וכו'.
בקרות חדשות לפרטיות בענן:
ISO 27018 מפרט את הבקרות הנוספות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים האישיים בענן:
- הגדרת גישה לנתונים ללקוחות ומחיקתם
- הגבלת האפשרות לעיבוד הנתונים רק למטרה שלשמם סיפק הלקוח
- איסור שימוש ואיסוף נתונים למטרות שיווק ופרסום
- מינוי POC (מעבד המידע האחראי) בארגון של הספק להתנהלות שוטפת מול הלקוח
- מתן הודעה מוקדמת ללקוח במקרה של בקשה לחשיפת נתונים
- ניהול מסמכים בהתאם למדיניות ונהלים בענן
- יצירת נהלים והסכמי סודיות מחמירים לעובדים בעלי גישה לנתונים אישיים בענן
- הגדרת נוהל לשחזור נתונים
- ניהול בקרת גישה קפדנית לנחשפים למידע האישי בענן
- הגדרת תאימות לרגולציה ודרישות חוזיות בין מעבד המידע ללקוחותיו
- ניהול ניוד המידע מאתרים גיאוגרפיים שונים בהם נמצא המידע
- הצפנת מידע אישי בענן
- ביצוע מספר גיבויים פיזיים/לוגיים
- הגדרת מדיניות למחיקת מידע אישי מהגיבויים
- הגדרת מנגנון תיעוד של הכנסה והוצאת מדיות פיזיות המכילות מידע אישי (תאריך, שעה, פרטי המשתמש שניגש למידע, סוג מדיה)
- נוהל למחיקת מידע והשמדת מדיה פיזית המכילים נתונים אישיים בהתאם לחוקי הפרטיות ועוד.
מהם היתרונות בהטמעת תקן ISO 27018 בנוסף לתקן ISO 27001?
ספקים אשר מספקים ללקוחותיהם שירותי ענן, נשאלים רבות כיצד המידע האישי של לקוחותיהם מוגן מפני פרצות אבטחה?
הטמעת תקן ISO 27001 לאבטחת המידע הינו פתרון נכון לשמירת אבטחת המידע בארגון.
למרות זאת, כיום עמידה בתקן ISO 27001 בלבד אינו מספיק, וספקים רבים בתחום שירותי הענן, המשמשים כמעבדי PII מחויבים לעמוד גם בתקן ISO 27018 בכדי לוודא כי המידע האישי מאוחסן בענן מוגן בצורה אופטימלית.
בסוף התהליך תקבלו גם:
- סקר סיכונים מקיף לאבטחת המידע שלכם
- נוהל חירום המטפל באירועי אבטחת מידע בענן
- מנגנון בקרה מובנה ומסודר לניהול אבטחת המידע ב-CLOUD
- נהלי שמירה על פרטיות המידע בארגון
היתרונות שלנו
הטמעת תקן קלה ופשוטה
אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.
ליווי מקצועי עם יועץ מנוסה
מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.
100% הצלחה במבדק ההתעדה
במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.
מעל 15 שנות נסיון בתקני אבטחת מידע
לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.
טופס תחתון
מעוניינים לקבל ייעוץ להטמעת תקן
מעוניינים לקבל ייעוץ להטמעת תקן
ISO 27018 - תקן לניהול אבטחת מידע בענן?
מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
תהליך הטמעת תקן ISO 27018
-
1
פגישת היכרות והבנת התהליכים
אבחון החברה, היכרות, מיפוי תשתיות פיזיות ולוגיות ואפיון תכנית עבודה ולוחות זמנים לפרויקט. -
2
כתיבת נהלים והוראות עבודה מקצועיות (SOA)
במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב, לדוגמה: כתיבת נהלי הרשאות, עדכון וכתיבת אחריות וסמכות. כתיבת נהלי רשומות כוח אדם וקליטת כוח אדם ונהלי רשומות עסקיות. כתיבת הוראות עבודה לאבטחה פיזית (נעילת משרד, שולחן נקי, נעילת מחשבים אוטומטית) ולאחזקת תשתיות (שרתים, מצלמות מעגל סגור ועוד). כתיבת הוראות עבודה לאבטחה מקוונת (סיסמאות Wifi, ניהול סיסמאות ורענון). -
3
הטמעת דרישות התקן
נקסטפ מבצעת עבורכם סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת עובדים בנושאי אבטחת מידע, כתיבת מדיניות והצהרת ישימות, בקרת איכות לספקים, תיעוד ובקרות ועוד. -
4
סקר הנהלה ומבדק פנימי
ההכנה כוללת ביצוע והכנת סקר הנהלה וביצוע מבדקים פנימיים בכל הארגון, מיפוי הפערים החסרים ותיקונים לפני המבדק. -
5
מבדק חיצוני ע"י מכון ההתעדה
המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27018, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומתן מענה לאי התאמות שעלו ממבדק ההסמכה וביצוע פעולות מתקנות. -
6
קבלת תעודות ISO 27018
הנפקת תעודות הסמכה ע"י מכון ההתעדה הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).
נושאים נוספים שיעניינו אותך
אבטחת מידע והגנת הפרטיות
חטיבת אבטחת המידע והגנת הפרטיות בחברת Nextep הוקמה בשנת 2013,...
האם ניתן לקבל הסמכת GDPR?
החובות שנקבעו במסגרת ה - GDPR
GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת
המתודולוגיה של ISO 27001
מבדק חדירה – PT) Penetration Test)
CISO as a service - ממונה אבטחת מידע
DPR – Data Protection Representative - נציג אירופאי
DPO – Data Protection Officer - קצין אבטחת מידע
אבטחת מידע בארגון - כל מה שצריך לדעת
CCPA חוק הגנת פרטיות הצרכן בקליפורניה
ההבדל בין Data Processor ו-Data Controller
הרשות להגנת הפרטיות | מחלקת אכיפה
החובות החלות על בעל מאגר מידע
SOC 2
ניהול אבטחת שרשרת האספקה
הרשות לניירות ערך: גילוי בנושא סייבר
סקר תהליך
סקר ספק
לקוחות מספרים
חברת Nextep ביצעה עבודה מקצועית ויעילה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.
טופס תחתון
מעוניינים לקבל ייעוץ להטמעת תקן
מעוניינים לקבל ייעוץ להטמעת תקן
ISO 27018 - תקן לניהול אבטחת מידע בענן?
מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
תקנים נוספים בתחום
ISO 27001
ניהול אבטחת מידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.
ISO 27799
תקן לניהול אבטחת מידע רפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.
HIPAA
רגולציה אמריקאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.
GDPR
רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.
תקנות הגנת הפרטיות
תקנות ישראליות לאבטחת המידע
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.
ISO 27017
תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.
ISO 27032
תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר – Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.
2019:ISO 27701
תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.