077-5509948 יצירת קשר שאלון מבדק חדירה תחת מתקפת סייבר?

תקן 27001 ISO הנו תקן בינלאומי העוסק בניהול אבטחת מידע ומשמש מודל להקמה, יישום, הפעלה, ניטור, סקירה, תחזוקה ושיפור של מערכת ניהול אבטחת מידע .

התקן נוגע בכל היבטי אבטחת המידע בארגון תוך כדי הבנה של הסיכון ובניית מדיניות מוגדרת ברמת ה-IT – המחשוב והתקשורת, אבטחה פיזית, אבטחת רשומות – מצעים פיזיים נושאי מידע, מהימנות עובדים ואבטחה בקרב ממשקים עסקיים.

על מנת ליישם את התקן על הארגון יהיה לאמץ מתודולוגיות מובנים של ניהול אבטחת מידע וניהול סיכוני אבטחת מידע, כאשר המטרה היא הגנה על כל סוגי המידע הנמצאים בתחומיו מפני כל האיומים הפוטנציאליים הניתנים לזיהוי. התקן הינו בינלאומי ומוכר בכל העולם.

תוכן עניינים

תעודת ISO27001

מהו תקן ISO 27001 ?

תקן ISO 27001 הינו כינוי מקוצר של ISO/IEC 27001. כאן מדובר על תקן בינלאומי שעיקרו ניהול כל הקשור אל אבטחת המידע בארגונים. בשנת 2005 תקן זה פורסם לראשונה וזאת על ידי הנציבות הבינלאומית לאלקטרו טכניקה וארגון התקינה הבינלאומי (ISO), ולאחר שבע שנים בשנת 2013 הוא עבר שדרוג לאותו תקן אשר מוכר לנו. עדכון אירופאי של תקן איזו 27001 פורסם ב- 2017.

מהי המטרה של תקן 27001 ISO?

המטרה של תקן זה היא לעזור לכל ארגון וארגון להפוך את המידע שברשותו לבטוח יותר. דבר אותו ניתן לעשות על ידי יישום כל הקשור לדרישות המפורטות בתקן: בניית מנגנון שמטרתו לזהות סיכונים באבטחת המידע של הארגון, כתיבת כל הנהלים הנדרשים על מנת להיות בטוחים שכל נתוני המידע בארגון אכן בטוחים וזמינים לשליפה מהירה בכל רגע נתון, גיבוי של כל הנתונים הללו, וכן תחזוקה ועדכונים קבועים של מערכת ניהול אבטחת המידע של אותו הארגון. נכון לשנת 2021, כל ארגון אשר עומד בכל אותן דרישות התקן הבינלאומי ISO 27001, יכול ליהנות מהסמכה של הארגון וזאת לאחר ביקורת מוצלחת של גוף ההסמכה.

הגנה על נכסי המידע של הארגון ועוד

יישום והטמעת תקן ISO 27001 יבטיחו לארגון שלכם הגנה מקסימאלית של נכסי המידע שלו. המטרה של תקן זה היא שארגונים יקימו מערכות שעיקרם ניהול אבטחת מידע. כלומר מערכת, שבאמצעותה ניתן יהיה לנהל ולשפר את כל הקשור אל מערכת האבטחה שאמורה למנוע פעולות פליליות של גניבת מידע ממערכת נכסי המידע של הארגון. יישום והטמעת תקן ISO 27001 יבטיחו לארגון שהנגישות למידע של הארגון תהיה אך ורק בידי אנשים מורשים שאותם החברה הגדירה מראש. ניהול מערכת אבטחת המידע תבטיח שמירה של המידע המצוי בארגון בפורמט הנוכחי שלו וגישה מיידית אל מאגרי המידע של הארגון בכל רגע נתון.

היתרונות של יישום והטמעת תקן ISO 27001 הם רבים, כאשר העיקרים שבהם באים לידי ביטוי בתכנית ניהול סיכונים בארגון, כלומר בקרה על כל אותם סיכוני אבטחה שיכולים להתרחש בהווה ובעתיד. הפחתה של הוצאות הארגון, אופטימיזציה בכל הקשור אל תהליכי הארגון וכמובן יתרון שיווקי על פני חברות מתחרות אחרות.

האם תקן ISO 27001 מיועד גם לארגון שלכם?

תקן לניהול אבטחת מידע, קרי,  תקן ISO 27001 מיועד לכל ארגון אשר מעוניין להגן על עצמו מפני אובדן של מידע, דליפת מידע וסיכונים נוספים הנוגעים אל מאגרי המידע בארגון. ארגונים אשר חייבים בתקן זה, דהיינו, חובה ולא רשות הם אלו שמוכרים שירותים ממוחשבים לממשלה, ארגונים אשר מספקים מערכות מחשוב אשר מקושרות או מוטמעות במשרדים ממשלתיים וארגונים וחברות אשר מעבירים מידע ממוחשב. הטמעה של תקן זה בארגון שלכם תאפשר לכם ליהנות לא רק מאותו ניהול אבטחת מידע מסודר, אלא גם משליטה אחד על אחד בזרימת המידע הקיים בארגון. נכון להיום יש חברות רבות אשר מפרסמות מכרזים ובו דרישה של תקן זה כתנאי סף להשתתפות במכרז זה או אחר.

תקן ISO 27001 – מה יאפשר יישום והטמעת תקן  ISO 27001 לארגון?

  • אפשרויות עבודה נרחבות יותר – פנייה אל שווקים בינלאומיים, עבודה עם משרדים ממשלתיים ועבודה אל מול החברות הגדולות ביותר במשק
  • התמודדות במכרזים ציבוריים – אבטחת מידע לעסקים בסטנדרטים הגבוהים ביותר מהווה יתרון.
  • התייעלות של הארגון – התקן מאפשר התייעלות חכמה של הארגון בכל הקשור אל תהליכי העבודה ושמירה על מאגרי המידע שלו.

יישום והטמעת תקן ISO 27001 או במילים אחרות הטמעת מערכת ניהול אבטחת מידע תצמצם את החשיפה של הארגון שלכם למצבים של תקיפות סייבר ופרצות אבטחה שונות. נכון להיום יש לכם אפשרות של קבלת תעודת הסמכה באם אתם מיישמים את כל הקשור אל תקן זה, דבר אשר יעיד שהארגון שלכם הוא אכן ארגון אמין ואיכותי. בנוסף, כל אחד שיהיה מעוניין להשתמש בשירותים של הארגון שלכם יהיה מודע לכך שגם במקרה וחלילה תהיה קריסה של העסק, כל המידע של ארגונכם מוגן ומגובה ולכן העסק יוכל להתאושש במהירות ולקוחותיו יוכלו כמובן ליהנות משירות איכותי ומהיר, כמצופה.  

יישום והטמעת תקן ISO 27001 – עצמאית או באמצעות מומחים?

כיוון שעל מנת ליישם ולהטמיע את התקן הארגון יצטרך להבין את הנדרש ממנו במסגרת התקן, ללמוד את כל הקשור אל ניהול אבטחת מידע, סיכונים הקשורים לאבטחת מידע ומושגים שונים מעולם זה, רוב הארגונים מעדיפים להיעזר בשירותיהם של מומחים בתחום ניהול אבטחת מידע אשר מנוסים בכל הקשור ליישום והטמעת תקן ISO 27001 , כמו למשל המומחים של חברת CyberSafe. חברת סייברסייף, בעלת ניסיון רב ביישום והטמעה של כל הקשור אל התקן הבינלאומי ISO 27001 תשמח לבצע עבור הארגון שלכם את העבודה הנדרשת, וללוות אתכם בדרך אל התקן.

דבר חשוב נוסף אותו יש לקחת בחשבון הוא שגם חברות גדולות שמעוניינות למנות מישהו מהחברה וליישם את הדברים בעצמן חייבות להבין שארגונים בעלי היקף פעילות גדול חייבים להיעזר בשירותיו של מומחה בתחום  אבטחת המידע וזאת על מנת ליהנות ממקצועיות ופרספקטיבה נכונה של הדברים. ביצוע הדברים מתוך הארגון הינה לעיתים תכנית לא מקצועית דיה, שכן עובד של החברה לא בהכרח יכול לבדוק את עצמו בכל הדקויות. לכן, רוב החברות מעדיפות לשכור שירותי מיקור חוץ בכל הקשור אל אבטחת מידע כאשר המטרה העיקרית היא פיקוח ובקרה על כל התהליכים מבחוץ.

השארת פרטים »

יישום תקן ISO 27001 בארגון שלכם – מהם השלבים אותם אנחנו מבצעים?

הכרת החברה ובניית מדיניות אבטחת מידע, הכרת החברה והתהליכים העסקיים שלה כתיבת מסמכי מדיניות / נהלים / הוראות עבודה בתחומי אבטחת מידע וסייבר. ביצוע מיפוי פערי אבטחת מידע וסייבר וגיבוש תוכנית עבודה לטיפול בפערים אלו.

1. תיעוד והקמת מערכת אבטחת מידע

במסגרת הפרויקט יוגדר סט נהלי אבטחת מידע התיעוד יכלול נהלים בהתאם לתהליכי הליבה של החברה ודרישות התקנים, וזאת תוך התייחסות להיבטי אבטחת מידע במערכות מידע, בטחון פיזי, משאבי אנוש, תהליכי רכש והתקשרות עם נותני שירות/גורמי צד ג' וכו'

2. אחריות הנהלה בכירה

הנהלה מיישמת מדיניות אבטחת מידע ומקצה את המשאבים הנדרשים לניהול החברה בהתאם למדיניות אבטחת המידע וזאת תוך קיום ישיבות סקרי הנהלה תקופתיים. כמו כן, ההנהלה תמנה מנהל אבטחת מידע, שיהיה אחראי על מערכת אבטחת מידע בחברה. באחריות הנציג להבטיח שמדיניות ההנהלה מתקיימת בצורה סדורה.

3. הגדרת מתודולוגיה לניהול סיכונים בתחומי אבטחת מידע

בחברה תוגדר מתודולוגיה ויבוצעו תהליך ניהול סיכונים, ביצוע סקרי סיכוני אבטחת מידע.

4. הגדרת תהליכי אבטחת מידע בחברה

יוגדרו תהליכים ייחודיים לניהול מערכת אבטחת מידע בחברה, כולל הגדרה ויישום תהליך תחקור אירועים, בקרות אבטחת מידע,  טיפול בהטמעת מערכות IT, סיוע בבחירת מוצרי אבטחת מידע, בניית תוכנית המשכיות עסקית שתכלול גם תוכנית התאוששות מאסון.

עריכת סקר סיכונים וטיפול בממצאים בשלב זה מוטמעת המתודולוגיה להערכת סיכונים. המטרה היא לקבל תמונת מצב אמיתית בנוגע לאיומים וסיכונים שחלים על הארגון (נכסים) .  המטרה של תהליך טיפול בסיכונים הינה למזער את הסיכונים אשר אינם מקובלים על הנהלת הארגון ביצוע סקר סיכונים, והגדרת מדדים לבחינת האפקטיביות של תוכנית אבטחת המידע בארגון.

5. הגברת מודעות העובדים לנושאי אבטחת מידע

שילוב דרישות אבטחת מידע בתהליכי קליטה של העובדים, הגברת מודעות העובדים לנושאי אבטחת מידע. ביצוע הדרכות לצוותים ואוכלוסיות שונות בארגון.

6. ביצוע סקר הנהלה

עדכון והצגת סיכוני אבטחת מידע להנהלה וקבלת החלטות בכל הנוגע לאישור תוכנית העבודה לאבטחת מידע

7. עריכת מבדק פנימי

תהליך המוודא שהפעילות בארגון מתנהלת על פי הנהלים שנקבעו ועוקב אחר הטיפול בממצאים עד לסגירתם. במסגרת המבדק הפנימי שיבוצע יבדקו תהליכי אבטחת מידע כפי שהוגדרו בנהלים. ביצוע מבדקים פנימיים לבחינת מצב אבטחת המידע ומימוש הנחיות ונהלים.

8. ליווי מבדק חיצוני

כאשר מגיע הסוקר החיצוני לבדוק ולראות את כל הפעילות שנעשתה יהיה על הארגון להציג ולספר על כל התהליך. במסגרת המבדק החיצוני יהיו שאלות ויהיה צורך להסביר לסוקר החיצוני על התהליכים שנעשו בצורה מתודית ופחות טכנית. אנחנו נדאג ללוות את הארגון בכל שלב ושלב עד לקבלת האישור הסופי.

הרחבות לתקן ISO 27001

ISO27017 אבטחת מידע בענן

ISO / IEC 27017 הוא הרחבה של תקן ISO 27001 שמתאים לארגון המנהל מערכות ומוצרי ענן. התקן נותן הנחיות לבקרות אבטחת מידע החלות על אספקה ושימוש בשירותי ענן.
תקן בינלאומי זה נותן הנחיות לבקרות אבטחת מידע החלות על אספקה ושימוש בשירותי ענן על ידי מתן:

  • הנחיות יישום נוספות לבקרות רלוונטיות המפורטות ב- ISO / IEC 27002;
  • בקרות נוספות עם הנחיות יישום המתייחסות ספציפית לשירותי ענן.
    התקן הבינלאומי מספק בקרות והנחיות יישום הן לספקי שירותי ענן והן ללקוחות שירותי ענן.

ISO 27799 ניהול אבטחת מידע רפואי

תקן בינלאומי זה מספק הנחיות לארגוני בריאות בנוגע למידע בריאותי אישי ומנחה כיצד להגן בצורה הטובה ביותר על סודיותם, שלמותם וזמינותם של מידע כזה.
התקן מבוסס ומרחיב את ההנחיות הכלליות הניתנות על ידי ISO / IEC 27002: 2013 ונותן מענה לצרכי ניהול אבטחת המידע המיוחדים של תחום הבריאות וסביבות התפעול הייחודיות לו.

מידע בריאותי נחשב בעיני רבים כסודי ביותר מכל סוגי המידע האישי. הגנה על סודיות זו חיונית ויש לשמור על פרטיותם של המטופלים.
יש להגן על שלמות המידע הבריאותי על מנת להבטיח את בטיחות המטופל, ורכיב חשוב בהגנה זו הוא הבטחת ביקורת מלאה על כל מחזור חיי המידע.
הגנה על סודיות, שלמות וזמינות מידע בריאותי מחייבת לפיכך מומחיות ספציפית בתחום הבריאות.
כתוצאה מהטמעת תקן בינלאומי זה, ארגוני הבריאות יכולים לצפות לראות את מספר וחומרת אירועי האבטחה שלהם מופחתים.

ISO 27032 אבטחת מידע בסביבות סייבר

ISO / IEC 27032: 2012 מספק הנחיות לשיפור מצב אבטחת הסייבר, תוך התבוננות בהיבטים הייחודיים של אותה פעילות בתחומי אבטחה אחרים, בפרט:
• אבטחת מידע
• אבטחת רשת
• אבטחת אינטרנט
• הגנה על תשתיות מידע קריטיות (CIIP)

מרחב הסייבר הוא סביבה מורכבת הנובעת מאינטראקציה של אנשים, תוכנה ושירותים באינטרנט, הנתמכת על ידי התקני מידע פיזיים,תקשורת פיזית (ICT) ורשתות מחוברות ברחבי העולם.
תחום המוקד הראשון של תקן בינלאומי זה הוא טיפול בבעיות אבטחה במרחב הקיברנטי. תקן בינלאומי זה מספק הנחיות טכניות לטיפול בסיכוני אבטחה נפוצים, כולל:

  • התקפות הנדסה חברתית
  • פריצה
  • ריבוי תוכנות זדוניות
  • תוכנות ריגול
  • תוכנות אחרות שעלולות להיות לא רצויות.

⭐⭐⭐⭐⭐

Iso 27001 CyberSafe

מחפשים שירות אבטחת מידע לארגון שלכם? צרו עמנו קשר, חברת Cybersafe כאן בשבילכם עם צוות מומחים. צרו איתנו קשר בטלפון 077-5509948

השארת פרטים »