המתודולוגיה של ISO 27001
הדרך אל התקן – ISO 27001
חברת Nextep הינה החברה הגדולה והמנוסה ביותר ליישום והטמעת תקני אבטחת מידע בחברות וארגונים.
בסיס הידע בחברתנו מבוסס על שילוב של מומחי אבטחת מידע הנותנים פיתרון קל ופשוט ליישום לצורך מתן מענה המותאם לצורכי הארגון, לצפייה בלקוחות החברה לחצו כאן.
תקן 2022:ISO 27001 הינו תקן בינלאומי המציין באופן פורמלי כיצד להקים מערכת לניהול אבטחת מידע – מנא"מ.
המשמעות הינה הקמת מערכת היררכית שמטרתה לנהל באופן אפקטיבי את מערכת האבטחה על נכסי המידע של הארגון תוך שמירה
על עקרון "השיפור המתמיד".
- אימוץ מערכת ניהול אבטחת מידע היא החלטה אסטרטגית לארגון.
- התמקדות בתהליכים ונכסים עסקיים.
- התמקדות בהפחתת הסיכונים של מידע בעל ערך עבור הארגון.
מטרתו של התקן היא להגן על שלושת העקרונות הבאים בהיבט של נכסי המידע:
סודיות – Confidentiality: נגישות אל המידע רק לבעלי הגישה שהגדיר בעל נכס המידע.
אמינות – Integrity: שמירת הדיוק והשלמות של המידע ושיטות העיבוד.
זמינות – Availability: שמירה על זמינות ויעילות הגישה אל המידע בכל זמן נתון.
ישנם מספר יתרונות ליישום תקן אבטחת המידע בארגון:
- יתרון תחרותי/שיווקי.
- הפחתת הוצאות (השקעה ללא רווח כספי ברור).
- בקרת סיכוני אבטחת מידע (תכנית לניהול סיכונים).
- אופטימיזציה בתהליכי הארגון "שיפור מתמיד".
תהליך השיפור המתמיד PDCA – Plan Do Check Act:
התרשים מדגים כיצד המנא"מ לוקחת כקלט את דרישות אבטחת המידע ואת הציפיות ודרך מחזור PDCA מייצרת תוצאות אבטחת מידע מנוהלות המספקות את הדרישות והציפיות.
תכנן –הקמת מנא"מ: קביעת מדיניות, הגדרת יעדים, תהליכים ונהלים הרלוונטיים לניהול סיכונים ושיפור אבטחת מידע על מנת לספק תוצאות בהתאם למדיניות הכללית של הארגון ולמטרותיו.
עשה– יישום המנא"מ: יישום מדיניות ,בקרות, תהליכים ונהלים.
בדוק –סקירה של המנא"מ: הערכה ומדידה של ביצועי התהליך מול מטרות המנא"מ. תרגול מקרה חירום ודיווח הממצאים להנהלה.
פעל –שימור ושיפור המנא"מ: ביצוע פעולות מתקנות בהתבסס על תוצאות הביקורת הפנימית של המנא"מ כדי להשיג שיפור מתמיד.
הדרך אל התקן:
תמיכת ההנהלה:
תמיכת ההנהלה הכרחית להצלחת הפרויקט
- קביעת מדיניות ומטרות המתאימות לאסטרטגית הארגון.
- שילוב מדיניות אבטחת מידע ומטרותיה בתהליכים העסקיים של הארגון.
- הקצאת משאבים – (תקציב, כוח אדם , זמן).
- הגדרת תפקידים (אחריות, סמכות וכישורים).
תמיכה ניהולית גלויה הופכת את אבטחת המידע ליעילה יותר בכל הארגון.
הגדרת תחום המנא"מ:
על ההנהלה להגדיר את תחום המנא"מ במונחים של אופי הארגון, מיקומו, נכסי המידע והטכנולוגיות.
- השמטות של דרישות התקן שאינן חלות על הארגון צריכות להיות מוצדקות ומתועדות בהצהרת הישימות (SOA)
חוסר הגדרת התחום בדרך כלל מקטין את היתרונות העסקיים של המנא"מ.
מיפוי וסיווג נכסי מידע – מיפוי נכסי המידע עוזר לארגון להבין על מה הם רוצים להגן.
המיפוי יכלול בד"כ את הפרטים הבאים:
- סוג הנכס (שרת, תוכנה, מערכת , מדפסות , מחשבים ניידים, תהליכים וכו').
- מיקום.
- לו"ז גיבוי.
- מידע הרישיון.
- ערך עסקי (תהליכים תומכים).
- בעלים/אחראי.
- רמת סיווג ע"פ אמינות, זמינות וסודיות.
הערכת סיכונים – Risk assessment:
ניהול סיכוני אבטחת מידע הוא פתרון המקטין את הסיכון בפגיעה של אבטחת מידע בארגון.
הצהרת ישימות SOA – Statement Of Applicability:
הצהרת הישימות כוללת תקציר של החלטות הנוגעות לטיפול בסיכונים, הנמקה של ויתור על מטרת בקרה או על אמצעי בקרה.
תכנית טיפול בסיכונים RTP – Risk Treatment Plan:
RTP הוא מסמך המפתח המקשר את כל ארבעת השלבים של מחזור PDCA
- גיבוש תוכנית טיפול בסיכונים המזהה את פעולות הניהול, המשאבים, האחריות וסדרי העדיפויות המתאימים לטיפול בסיכוני אבטחת המידע.
- הגדרת תוכנית טיפול בסיכונים בהקשר של מדיניות אבטחת המידע של הארגון.
- התוכנית תגדיר בבירור את הגישה לסיכון ואת הקריטריונים לקבלת הסיכון.
מנא"מ – מערכת ניהול אבטחת מידע ISMS – Information Security Management System:
תוכנית יישום המנא"מ:
- יישום תוכנית הטיפול בסיכונים תוך השגת מטרות הבקרה שזוהו, הכוללת התייחסות להגדרת תקציב , הקצאת תפקידים ואחריות.
- יישום בקרות שהוגדרו בהקמת המנא"מ ועמידה ביעדי הבקרה.
- הגדרת מדדי אפקטיביות הבקרות.
- יישום תוכניות הדרכה ומודעות.
תיעוד המנא"מ צריך לכלול:
- הצהרות מתועדות של מדיניות ויעדי המנא"מ.
- היקף המנא"מ.
- נהלים ובקרות התומכים במנא"מ.
- תיאור המתודולוגיה של הערכת הסיכונים.
- דוח הערכת סיכונים ותכנית טיפול סיכונים – RTP.
- נהלים לתכנון יעיל, תפעול ובקרה של תהליכי אבטחת המידע, המתארים כיצד למדוד את אפקטיביות הבקרות.
- הצהרת ישימות – SOA.
מבדק פנימי ופעולות מתקנות:
- הארגון יבצע מבדק פנימי לפחות פעם בשנה כדי להבטיח את התאמתו והאפקטיביות של המנא"מ.
- ממצאי המבדק חייבים להיות מתועדים.
- פעולות מתקנות הנובעות בהתאם לממצאי המבדק.
ביקורות הן חלק משלב הבדיקה של מחזור PDCA.
שלב א' (מקדים) – בדיקת תיעוד:
סקירה מקיפה של מערכת המנא"מ והצהרת הישימות. תאימות לדרישת התקן לשיפור מתמיד:
- הערכות סיכונים.
- דו"חות תקריות.
- פעולות מתקנות וכו'.
אורך המבדק יקבע ע"פ גודל הארגון (עובדים, מערכות מידע, שרתים וכו').
שלב ב' – מבדק הסמכה:
- בדיקה של ניתוח וטיפול בסיכוני אבטחת מידע.
- תאימות תהליכי עבודה לנהלים.
- מודעות עובדים.
- סקירה תהליכית.
- סיכום וממצאים.
- קבלת תעודת ISO 27001.
אורך המבדק יקבע ע"פ גודל ואופי הארגון (עובדים, מערכות מידע, שרתים, תהליכים וכו').
ממשיכים הלאה – "שיפור מתמיד":
הארגון ימשיך לשפר את אפקטיביות המנא"מ באמצעות:
- מדיניות אבטחת המידע.
- מטרות אבטחת מידע.
- תוצאות הביקורת.
- ניתוח אירועים מבוקרים.
- פעולות מתקנות ומניעתיות.
- סקרי הנהלה.
אורך המבדק יקבע ע"פ גודל ואופי הארגון (עובדים, מערכות מידע, שרתים, תהליכים וכו').
צוות היועצים של נקסטפ ישמח לענות לשאלותיכם ולייעץ לכם בכל עניין הקשור לתקן.
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.