תקן ISO 27001  או התקן הישראלי המקביל ת״י 27001 הינו תקן אבטחת מידע אשר מפרט אוגדן בקרות מגוון אשר נועד להתוות ולספק את הדרישות ל-״מערכת ניהול אבטחת מידע״ בארגון ולהתייחס לשמירה על הסודיות, המהימנות והזמינות של המידע.

התהליך מתבצע תוך יישום תהליכי ניהול הסיכונים והבקרות של הארגון, ומבטיח כי הארגון מנהל כראוי את הסיכונים השונים.

מהן הבקרות ב ISO 27001:

מדיניות אבטחת מידע - מסמכי המדיניות של הארגון המתארות כיצד הארגון מטפל ומפקח על התהליכים והתחומים השונים

ארגון מוכוון אבטחת מידע - הבקרה מגדירה ומחלקת את תחומי האחריות והמעורבות של המחלקות השונות בארגון ומעורבות של ההנהלה הבכירה בארגון, ומבטיחה הגדרה ברורה של חלוקת תחומי אחריות וסמכות בתהליכים השונים.

אבטחת משאבי אנוש - הבקרות מתייחסות לאופן שבו עובדי הארגון לוקחים חלק באחריות הכוללת ובתהליכים השוטפים בתחום אבטחת המידע והגנת הסייבר - החל מתהליכי המיון והסינון, הכניסה לעבודה בארגון, לאורך כל משך העסקה ובגמר העסקה.

ניהול נכסים - הבקרה מתמקדת באופן ניהול ומיפוי שוטף ומעטפת האבטחה על הנכסים השונים בארגון, לרבות חומרה, תוכנה, מאגרי מידע, מסדי נתונים וקניין רוחני.

בקרת גישה - הבקרה דנה כיצד הארגון מנהל גישה לנתונים ולמערכות השונות בארגון בכדי להגן מפני גישה לא מורשית או לא נאותה לנתונים רגישים בארגון, והטמעת עקרון חשיפת מידע ומתן הרשאות באופן המזערי ביותר הנדרש לצורך מילוי התפקיד.

הצפנה - הצפנה היא אחת הדרכים המשמעותיות להגנה על נתונים. ארגונים נדרשים ליישם הצפנת נתונים בהתאם לדרישות הרגולציה שונות ובהתאם למאפייני הארגון והמידע. ההצפנה נדרשת לרוב להתבצע במספר תהליכים - במנוחה (אחסון המידע) , בעיבוד (כאשר נעשות פעולות של המשתמש או של מערכת במידע) ובתנועה של המידע (בין מערכות, מחשבים או משתמשים).

אבטחה פיזית וסביבתית - מתייחסת למכלול הבקרות שנדרשות להשלים את בקרות האבטחה הדיגיטליות. הבקרות מתייחסות על אבטחת המבנים, המשרדים והציוד בתוך הארגון.

תפעול - אבטחת התפעול מתמקדת באופן שבו הארגון מעבד ומנהל נתונים, ועל הבקרות שהוא מיישם על מנת לבקר, לפקח ולשלוט על הנתונים והגישה למערכות הארגון.

אבטחת תקשורת - האופן בו הארגון מיישם אבטחה על אמצעי התקשורת והרשת שלו (מערכות דוא״ל, אחסון מסמכים, מערכות מידע וכד׳) והאופן בו מיישם אמצעי ובקרות גישה חזקות.

רכישה, הטמעה, פיתוח ותחזוקה של מערכות - קבוצת בקרות שנועדה להבטיח כי מערכות חדשות המוכנסות לארגון אינן מסכנות את האבטחה הארגונית ושמוטמעות בקרות שונות כגון נהלי שימוש, מורשי גישה, אופן עיבוד המידע, מדיניות גיבויים, ניטור ובקרה, בחינת כשלים אפשריים וניהול סיכונים ובקרות מפצות נוספות.

שרשרת אספקה - מכלול בקרות אשר הארגון נדרש להתייחס אליהן הנוגעות לממשקי עבודה עם ספקים ונותני שירותים לארגון.

ניהול אירועי אבטחת מידע - הארגון נדרש להתייחס כיצד הוא מקיים תהליכים ואיתור וניהול אירועי אבטחת מידע וסייבר.

רציפות והמשכיות עסקית - הארגון נדרש להיערך לנהל אירועי סייבר ואירועים שונים אשר עשויים להשפיע על הרציפות העסקית, כגון - שריפות, הפסקת חשמל, מלחמה, מגיפה, רעידת אדמה ואירועים נוספים אשר עשויים להשפיע על הרציפות, הזמינות או המהימנות של המידע והמערכות השונות של הארגון.

תאימות וציות - הארגון נדרש להוכיח עמידה מלאה גם בתקנות מחייבות אחרות להן הארגון כפוף, לדוגמה תקנות הגנת הפרטיות-אבטחת מידע.

עמידה ותאימות לתקן ISO 27001 אינה אירועי חולף או חד-פעמי, אלא תהליך מתמשך שהארגון נדרש להתייחס אליו באופן שוטף - בהתאם למציאות המשתנה (בתוך הארגון או בסביבה החיצונית), ולהציג מגמות שוטפות של תהליכי שיפור מתמיד.

דרבי סייבר בע״מ מספקת לארגונים שירות ליווי שוטף לתאימות לתקן ISO 27001 / ת״י 27001, כך שגם אם אתם משרד קטן או חברה גדולה - תוכלו להבטיח כי אתם בתאימות שוטפת לדרישות התקינה.

#

ISO 27001

ת״י 27001

מהן הבקרות ב ISO 27001

מערכת ניהול אבטחת מידע

מדיניות אבטחת מידע

תקנות הגנת הפרטיות-אבטחת מידע

#