מהו תקן ISO 27001?

Businessman holding a tablet and showing a symbol ISO 2700

 

תקן ISO 27001 הוא תקן בינלאומי לניהול אבטחת מידע (ISMS – Information Security Management System). התקן קובע מסגרת לניהול סיכונים בתחום אבטחת המידע ומסייע לארגונים להבטיח את שמירת המידע העסקי והרגיש שלהם מפני איומים חיצוניים ופנימיים.

למה כדאי ליישם את תקן ISO 27001 אצלכם בארגון?

  1. הגנה על מידע רגיש – התקן מבטיח שהמידע הארגוני יטופל בצורה נכונה ושמור מפני גניבה, אובדן או חדירה זדונית.

2.ניהול סיכונים – ISO 27001 מתמקד בזיהוי וניהול סיכוני אבטחה, כך שהארגון יכול להעריך את הסיכונים ולהגיב להם באופן מותאם.

  1. עמידה בתקנים ורגולציות – ארגונים הפועלים בתעשיות בהן יש רגולציה מחמירה (כגון פיננסים או בריאות) חייבים לעמוד בדרישות אבטחת מידע מחמירות. ISO 27001 מסייע לעמוד בדרישות אלה כמו גם רוב החברות הגלובליות. באירופה ובארה"ב זה תקן בסיס.
  2. שיפור המוניטין הארגוני – אישור לתקן ISO 27001 מעיד על רצינות הארגון בהגנה על מידע של לקוחותיו ועובדיו, מה שמשפר את האמינות והמוניטין של הארגון.

 

תקן ISO 27001 בישראל

הצורך בהגנה על מאגרי מידע ואבטחת מידע נהיה קריטי בישראל, במיוחד על רקע התקדמות הטכנולוגיה וריבוי האיומים (עליה חדה בכמות אירוע אבטחת המידע מאז תחילת המלחמה). עם זאת, החוק בישראל בנושא אבטחת מידע מפגר אחרי התקנים המקובלים באירופה ובארה"ב. בעוד שתקן ISO 27001 נחשב לסטנדרט הבינלאומי המוביל לניהול אבטחת מידע, בישראל אנחנו עוד לא שם.

האם אנחנו בישראל בדרך לשינוי? בהחלט כן. ישראל שמה לה למטרה לשפר את הרגולציה בתחום כדי לעמוד בסטנדרטים הבינלאומיים ולצמצם את הפער.

המצב החוקי בישראל ושינוי הרגולציה

עד לאחרונה, החוק בישראל היה מיושן בהשוואה לדרישות באירופה ובארה"ב. עם זאת, בשנת 2023, בוצעו תיקוני חקיקה שהקשיחו את הדרישות וניסו להדביק את הפער. השינוי מאפשר לרשויות רגולטוריות, כמו רשות הגנת הפרטיות, להטיל קנסות על ארגונים גם מבלי להוכיח כי נגרם נזק בפועל, אלא על סמך אי עמידה בתנאי החוק בלבד. זהו צעד חשוב, הממחיש את כובד האחריות המוטלת על ארגונים בישראל בניהול ואבטחת מאגרי המידע שלהם.

מהו התהליך לקבלת תקן ISO 27001?

המעבר לתקן ISO 27001 אינו פשוט ודורש מהארגון להיערך ולבצע שינויים בתהליכים ובטכנולוגיות. במסגרת תהליך זה, הארגון עובר מבדקים חיצוניים, וכאשר הוא עומד בכל הדרישות, הוא מקבל את האישור המיוחל. התקן דורש הטמעת תהליכים לניהול סיכונים, הגנה על נתונים רגישים, ובדיקות שוטפות כדי להבטיח עמידה מלאה בסטנדרטים.

הגרסא האחרונה של התקן, ISO 27001:2022, מציבה דרישות מחמירות יותר, כולל החובה להטמיע טכנולוגיות לניהול אובדן מידע (DLP) ולמנות ממונה הגנת פרטיות (DPO). הארגונים חייבים להטמיע נהלים מקיפים ולבצע בדיקות תקופתיות כדי לוודא עמידה בסטנדרטים החדשים.

הנה כמה שלבים מרכזיים ליישום התקן:

  1. הבנת הצרכים והקשר הארגוני: כל ארגון נדרש לבצע ניתוח מקיף של הסביבה העסקית והרגולטורית שלו כדי להגדיר מהם האיומים הספציפיים על המידע ומהם הסיכונים שעליהם להגן.
  1. יצירת מדיניות אבטחת מידע: הגדרת מדיניות אבטחה המותאמת לצרכים הארגוניים, שמטרתה להנחות את כלל העובדים והמנהלים בהתנהלות השוטפת.
  1. הטמעת תהליכי ניהול סיכונים: במסגרת תקן ISO 27001, יש להקים מערך מובנה לניהול סיכונים, הכולל זיהוי סיכונים, הערכתם, וקביעת אמצעי טיפול.
  1. הגדרת תפקידים ואחריות: יש למנות מנהל אבטחת מידע או צוות אחראי לנושא ולוודא שכל העובדים בארגון מבינים את תפקידם בשמירה על אבטחת המידע.
  1. הטמעת אמצעים טכניים ונהלים: יישום כלי אבטחה כמו הצפנות, פתרונות אנטי-וירוס, מערכות זיהוי חדירה ועוד. כמו כן, יש להגדיר נהלים ברורים לשימוש בטכנולוגיות, לגישה למידע ולניהול אירועים.
  1. ביצוע ביקורות שוטפות: יש לבצע ביקורות תקופתיות כדי לוודא שהמערכות והנהלים אכן מתפקדים כראוי ושארגון נשאר מעודכן לסיכונים ולחידושים בתחום.

 

מאגרי מידע והקשר לתקן ISO 27001

כמעט כל ארגון בישראל מחזיק במאגרי מידע, בין אם מדובר במידע על עובדים, לקוחות, תשתיות, או אפילו מידע שנאסף דרך מצלמות אבטחה. מאגרי מידע אלו כוללים מידע רגיש שיכול לנוע ממידע אישי ועד למידע ביומטרי ורפואי. החוק בישראל אמנם אינו דורש יותר רישום של מאגרי המידע, אך הוא מחייב כל ארגון לנהל ולתחזק את המידע שברשותו בצורה מסודרת.

הדרישות כוללות לא רק את ההגנה על המידע, אלא גם מיפוי מדויק של המידע שנאסף, ניהול סיכונים, ותכנון אסטרטגי כדי להבטיח עמידה בסטנדרטים של אבטחת מידע.

בקצרה על הפרדה בין סוגי מאגרי המידע

כאשר מדברים על מאגרי מידע, ישנם מספר קריטריונים מרכזיים שמבדילים בין מאגרים ברמות שונות:

  1. סוג המידע – לדוגמה, מידע ביומטרי, רפואי או פיננסי נחשב לרגיש במיוחד ודורש הגנה מוגברת.
  2. כמות הרשומות – מאגרי מידע המכילים יותר מ-100,000 רשומות נחשבים למאגרים בינוניים או גדולים, ובהתאם לכך רמת האבטחה הנדרשת מהם גבוהה יותר.

 

ניהול מאגרי מידע ברשויות המקומיות

רשויות מקומיות בישראל, כשלוחה של המדינה, מנהלות מאגרי מידע עצומים הנוגעים לתושבים. מדובר במידע מגוון הנוגע לארנונה, שירותי חינוך, איסוף אשפה ועוד. עם זאת, חלק גדול מהמידע הזה אינו ממופה כראוי, והתקנות החדשות מחייבות את הרשויות לבצע מיפוי מלא ולעמוד ברגולציה מחמירה יותר של אבטחת מידע.

בשנים הקרובות, במיוחד ברשויות גדולות, יוטלו דרישות מחמירות יותר בתחום אבטחת המידע, והן ידרשו לאמץ פרקטיקות עדכניות יותר, כגון התקן ISO 27001.

תקן ISO 27001 הופך להיות גורם מרכזי במערכת הרגולטורית הישראלית, במיוחד לאור השינויים בחקיקה. כל ארגון שמחזיק במאגרי מידע, בין אם הוא קטן או גדול, חייב לוודא שהמידע שהוא אוסף מנוהל בצורה אחראית ומאובטחת. ההקפדה על עמידה בסטנדרטים הבינלאומיים יכולה להגן על הארגון מפני קנסות ובעיות משפטיות, ולהבטיח את שמירת המידע הרגיש שנמצא בידיו.

הארגון שלכם רוצה להתקדם לתקן ISO 27001? דברו איתנו

אנא דרגו את המידע

שתפו פוסט זה

ELPC דואגים לנגישות