הסמכה לתקן ISO 27001

חברת ELPC מציעה שירותי ייעוץ וליווי להטמעת תקן ISO 27001, התקן הבינלאומי לניהול אבטחת מידע. השירות כולל התאמה מלאה לדרישות התקן, תוך דגש על אבטחת מידע, ניהול סיכונים ועמידה בתקנות הגנת הפרטיות הישראליות.

מטרת תקן ISO 27001 היא להבטיח שארגונים מפעילים מערכות יעילות לניהול אבטחת מידע. זה כולל:

באופן כללי, המטרה העיקרית היא להבטיח שהארגון יכול לזהות, לנהל, ולמנוע סיכונים בתחום האבטחת מידע, מה שמגביר את הביטחון של לקוחות, צוות עובדים, ושותפים.

עו״ד ליאור חיים - ELPC
עו״ד ליאור חיים | CISO & DPO, GRC

תקן ISO 27001

תקן ISO 27001 הוא תקן בינלאומי לניהול אבטחת מידע בארגונים. התקן מתמקד בהקמת, יישום, ותחזוקת מערכת לניהול אבטחת מידע בארגון, תוך התבססות על הערכים של ניהול בטיחות מידע. תקן זה מציע גישה מערכתית ומבוססת תהליכים לניהול סיכוני אבטחת מידע, ומציב דרישות להגנת מידע בכלל האספקטים שלו במטרה לשמור על רמות בטיחות וסטנדרטים מקצועיים בטיחותיים. 

תקן ISO 27001 אינו חובה חוקית, אך הוא מומלץ ונדרש על ידי רבים כדי להבטיח תהליכי ניהול אבטחת מידע אפקטיביים בארגון. בדרך כלל, התקן מתאים לכל סוגי הארגונים ולמגוון גדלים, במיוחד לאלה שנמצאים בתחום הטכנולוגיה, השירותים הפיננסיים, הבריאות, והשירותים המקצועיים.

הערכת סיכונים

הטמעת מערכת ניהול אבטחת מידע (ISMS)

ביצוע מבדקים

תקן ISO 27001 מכסה מגוון רחב של דומיינים שמטרתם להבטיח אבטחת מידע בארגון. הדומיינים העיקריים שנבדקים כוללים:

 

  1. ניהול סיכונים: זיהוי, ניתוח וניהול סיכונים בתחום האבטחת מידע.

  2. גישה למידע וניהול זמינות: הבטחת שלמות וזמינות המידע בכל תנאי הפעולה של הארגון.

  3. ניהול שינויים: ניהול השינויים בסביבת המידע בארגון.

  4. אבטחת תקשורת ותקשורת טכנולוגית: הבטחת בטיחות התקשורת ושימור פרטיות המידע בתקשורת.

  5. ניהול גישה: שליטה בגישה למידע והבטחת סודיותו.

  6. פיתוח ותחזוקת מערכות: הבטחת שימור האבטחה במערכות חדשות וקיימות.

  7. ניהול ביטחון אדם: הבטחת שלמות הפעולות והאבטחה ביחס לעובדי הארגון.

  8. ניהול אספקת רכש וניהול ספקים: הבטחת אבטחת המידע בשלב האספקה והתחזוקה.

  9. ניהול תקינות: בדיקת והבטחת התקינות והתיקון המתקדם במידע.

  10. מדיניות אבטחת מידע והדרכה: הבטחת שלמות המידע באמצעות פוליסות והדרכות.

היכרות ומיפוי תהליכים
בתהליך זה, צוות המומחים של ELPC יערוך פגישות עם מנהלי הארגון והצוותים השונים כדי להבין את מבנה הארגון ותהליכי העבודה. נבצע מיפוי של כל התהליכים הקריטיים, נזהה את נכסי המידע ונבין את הדרישות העסקיות והרגולטוריות של הארגון. שלב זה הוא הבסיס להטמעת התקן ומאפשר זיהוי מדויק של הסיכונים והצרכים הייחודיים של הארגון. שירותי IT PS מאופיינים בעיקר באנשי מקצוע מהשורה הראשונה, בעלי ידע עשיר ומקצועי בשלל מערכות אשר ידעו להתמודד במקצועיות ומהירות עם כל אתגר או צורך שיעלה מהשטח וללא הכשרה נקודתית אשר תקח זמן ומשאבים. צוות ה-PS שלנו בעל הסמכות הרלוונטיות בתחום ודואגים להתעדכן בכל חידוש וטכנולוגיה, לבצע רענונים ולהשתתף בכל כנס מקצועי אשר יעשיר את סל השירותים והידע העובר ללקוחות החברה.

בשירות זה ניתן להפעיל את כלל סוגי החוזים: שעתי, ריטיינר, בנק שעות.
כתיבת ויצירת נהלים והנחות עבודה
ELPC תסייע בכתיבת נהלים והנחות עבודה שיבטיחו עמידה מלאה בדרישות התקן, תוך התאמה לצרכים הספציפיים של הארגון. נהלים אלה כוללים מדיניות אבטחת מידע, ניהול סיכונים, בקרות גישה, ניהול אירועים, ועוד. יצירת הנהלים נעשית בשיתוף פעולה עם מחלקות הארגון השונות, כדי להבטיח הטמעה חלקה ויעילה.
הטמעת התקן ומבדק פנימי
בשלב זה, ELPC תיישם את דרישות תקן ISO 27001 בכל רחבי הארגון, תוך כתיבת נהלים והוראות עבודה מותאמות. נבצע מבדקים פנימיים כדי לוודא שכל התהליכים עומדים בדרישות התקן ושיש שיפור מתמיד. המבדקים כוללים סקירה של בקרות אבטחת מידע ובחינת אפקטיביות התהליכים והנהלים.
מבדק חיצוני ע"י מכון ההתעדה
לאחר השלמת ההכנות והביצוע של המבדקים הפנימיים, יבוצע מבדק חיצוני על ידי מכון ההתעדה המוסמך. צוות ELPC יהיה נוכח במהלך המבדק כדי לסייע בתהליך ולספק מענה לכל שאלה או בקשה של הבודקים. המבדק החיצוני הוא שלב הכרחי בקבלת ההסמכה ומבטיח שהארגון עומד בכל הדרישות של תקן ISO 27001.
קבלת תקן ISO27001:2022 ויציאה לתחזוקה
לאחר עמידה בהצלחה במבדק החיצוני, הארגון יקבל את תעודת ההסמכה לתקן ISO 27001:2022. בשלב זה, ELPC תספק הנחיות לתחזוקה שוטפת של המערכת המוסמכת, כולל ביצוע מבדקים פנימיים תקופתיים והמשך שיפור מתמיד של תהליכי אבטחת המידע בארגון.

הבקרות הנבדקות בתקן ISO 27001:2022 כוללות:

אבטחת מידע בענן: בקרות מותאמות לניהול אבטחת מידע בשירותי ענן.

  1. ניהול זהויות וגישה: שיפורים בניהול גישות והרשאות למערכות ולמידע.
  2. הגנה על נתונים אישיים: בקרות חדשות להבטחת פרטיות והגנת מידע אישי.
  3. הגנה מפני התקפות סייבר: בקרות מתקדמות לזיהוי ומניעת איומים סייבר.
  4. ניהול סיכונים מתקדם: גישה מעודכנת לזיהוי, הערכה וטיפול בסיכונים.
  5. שיפור בתהליכי עבודה: דגש על ייעול תהליכי עבודה ושיפור מתמיד.

הבקרות מותאמות לאתגרים המודרניים בתחום אבטחת המידע ומטרתן לשפר את ההגנה על המידע הארגוני.

סודיות (Confidentiality)

סודיות מתייחסת להגנה על המידע כך שרק אנשים מורשים יוכלו לגשת אליו.

    • משמעות: שמירה על סודיות מבטיחה שהמידע הרגיש של הארגון והלקוחות יישאר מוגן מפני גישה לא מורשית, דבר החיוני למניעת גניבת מידע והפרות פרטיות.
שלמות (Integrity)

שלמות מתייחסת לשמירה על דיוק ושלמות המידע, כולל הגנה מפני שינוי או מחיקה בלתי מורשים.

  • משמעות: שלמות המידע מבטיחה שהנתונים יהיו מדויקים ומהימנים, דבר קריטי לקבלת החלטות ולשמירה על אמון הלקוחות.
זמינות (Availability)

זמינות מתייחסת להבטחת גישה למידע ולאמצעי המחשוב כאשר יש בהם צורך.

  • משמעות: זמינות המידע מאפשרת לארגון לתפקד בצורה תקינה ולספק שירותים ללקוחות בזמן הנכון, דבר חיוני להמשכיות עסקית ותפעולית.