מהו תקן ISO 27001 לאבטחת מידע
תקן ISO 27001 לאבטחת מידע הינו תקן בינלאומי המיועד לכל ארגון ובית עסק וחשיבותו גבוהה במיוחד לארגונים שמחזיקים במידע רגיש או סודי.
תקן ISO 27001 לאבטחת מידע נקבע על ידי הארגון הבינלאומי לתקינה. מטרתו להבטיח את שמירתו וניהולו התקין של המידע בארגון ולשפר באופן מתמיד את מערך אבטחת המידע ללא תלות בגודלם או בתחום עיסוקם. המטרה, להתמודד עם איומי אבטחת מידע נוכחיים ועתידיים בכל הנוגע לניהול המידע בארגון, ומזעור הסיכונים לדליפת מידע החוצה באופן בלתי מבוקר.
תקן ISO 27001 מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת ומסייע להתאוששות עסקית מהירה.
* תקן ISO 27001 מחליף את תקן ISO 17799. זהו התקן המעודכן הינו המחייב כרגע.
מטרתו העיקרית של תקן ISO 27001 לאבטחת מידע:
להתמודד עם איומים נוכחיים ועתידיים בכל הנוגע לניהול המידע בארגון, ומזעור הסיכונים לדליפת מידע החוצה באופן בלתי מבוקר.
אילו חברות נדרשות לתקן ISO 27001?
תקן 27001 ISO הופך לשלב בסיסי והכרחי עבור יותר ויותר ארגונים, אשר נתקלים בדרישת הלקוחות, שיתופי פעולה עם חברות וארגונים ברחבי העולם לצורך ביצוע פרויקטים משותפי
תקן ISO 27001 נפוץ בעיקר בעסקאות בהן התקשורת כרוכה בהעברה ושימוש של מידע רגיש לצורך פרויקט זה או אחר. מכיוון שמידע הלקוחות מאוחסן במסגרת ההתקשרות על מחשבי הארגון, מידע רגיש זה חשוף לפגיעה חיצונית או פנימית אם לא יאובטח כראוי. כמובן שפגיעה מסוג זה עשויה לגרום נזק עסקי ותדמיתי רב לארגון.
חששות ודרישות רגולטוריות בינלאומיות מצד הלקוחות מחייבים הערכות ליישום תקן ISO 27001 המהווה התחייבות כלפי הלקוח המעוניין לוודא כי המידע הרגיש והייחודי שלו אכן מאובטח היטב ועומד בנהלי אבטחת מידע בינלאומיים.
בנוסף, ארגון שהרגולטור מחייב אותו להיות מוסמך לתקן אבטחת מידע חייב לציית לחוק ולדאוג לעמידה בתקינה של תקן ISO 27001 לאבטחת מידע.
כיצד קבלת התקן תסייע לחברתך?
עמידה בתקן איזו 27001 (ISO 27001) מגדירה את הארגון כארגון אחראי השומר על המידע שלו ומגן עליו.
כמובן שתדמיתית התקן מסייע בפני לקוחות קיימים ופוטנציאליים שהמידע שלהם מוגן ומאובטח.
ישנם מכרזים שבהם הדרישה לעמוד בתקן ISO 27001 הינה חובה.
תקן איזו 27001 (ISO 27001), היא שלב הכרחי גם עבור שיתופי פעולה עם חברות וארגונים ברחבי העולם, שמציבים אותו כדרישת סף לפני התקשרות עסקית במיזמים שונים.
ומעל לכל, ביטחון מידע פנים ארגוני. עמידה בתקן מחזקת יכולות פנים ארגוניות של ניטור ובקרה על תעבורת המידע הרגישה שקיימת בארגון , לרבות טיפול מיידי באיומים נוכחיים ואיומים עתידיים.
תקן ISO 27001 מתווה את הדרך שבה יש לנהל ולטפל באבטחת המידע בכל שכבות הארגון, והוא מציג תוכניות, פתרונות ושיטות פעולה הנוגעות לגורם האנושי, למערכות המחשוב, בסיסי הנתונים והבקרה בארגון.
- מגביר את מודעות העובדים לאבטחת מידע, לשמירה על נכסי הארגון ופרטיות המידע
- מאפשר עמידה בדרישות חקיקה מקומיות וחיצוניות (GDPR, HIPAA)
- מונע חשיפה להונאות רשת שונות
- מאפשר שמירה על פרטיות המידע בהתאם לדרישות חוק הפרטיות הישראלי
- מצמצם נזקים הקשורים באובדן מידע או חוסר יכולת לשחזר את המידע
- מאפשר המשכיות עסקית מהירה בעקבות פגיעה או נזק רציני לארגון
תקן ISO 27001 וחוק הפרטיות הישראלי:
בתאריך 05.2018 הרשות להגנת הפרטיות פרסמה את הנחיות רשם מאגרי מידע בעניין תחולת תקנות הגנת הפרטיות הישראליות (אבטחת מידע) התשע"ז – 2017.
הרשות להגנת הפרטיות מבהירה, כי רק ארגון אשר מחזיק בתעודת הסמכה לתקן ומקיים בפועל את הוראות תקן ISO 27001 – ייחשב כמי שעומד גם בתקנות הגנת הפרטיות. ההנחיה והפטור החלקי מהוראות התקנות לא יחולו על ארגון אשר הרשות תמצא שאינו מקיים בפועל את הוראות התקן, גם אם הוא מחזיק בתעודת ההסמכה.
לפי תחולת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז על ארגונים המוסמכים לתקן ISO/IEC 27001
הודעה מאתר הרשות להגנת הפרטיות
בנוסף, מידע נוסף ודיווח על אירועי אבטחת מידע ניתן למצוא ב- אתר הרשות להגנת הפרטיות (אבטחת מידע) של משרד המשפטים
את המדריך המלא לתקנות הגנת הפרטיות (אבטחת מידע) ניתן למצוא בקובץ PDF של הרשות להגנת הפרטיות
תהליך עבודה בדרך להסמכת תקן ISO 27001
ביצוע סקר פערים. המומחים שלנו יסקרו וימפו את התהליכים ואמצעי אבטחת המידע הקיימים. את התהליכים הנדרשים לפי דרישות תקן איזו 27001.
הצגת סקר הפערים שנתגלו בארגון וההמלצות שלנו בנושא אבטחת מידע.
בניית תוכנית עבודה מסודרת להשלמת הפערים בהתאם לדרישות התקן ופעילות הארגון.
כתיבת נהלי עבודה מפורטים בהתאם לדרישות תקן איזו 27001 (ISO 27001) ופעילות הארגון
ביצוע סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת אבטחת מידע, בקרת איכות לספקים, תיעוד תלונות לקוח וחריגות ועוד.
המבדק החיצוני נערך ע"י גוף בעל הסמכה לנושא ISO 27001, כדוגמת מכון התקנים או המכון לבקת איכות.
מתחילתו ועד סופו של המבדק אנו נמצאים, מלווים עונים לשאלות הסוקרים עד להשלמת המבדק וקבלת התעודה.
מעוניינים לקבל ייעוץ להטמעת תקן ISO 27001 - תקן לניהול אבטחת המידע?
- מעוניין לשדרג את אבטחת המידע בארגונך?
- לעבוד לפי תקן ISO 27001 הבינלאומי?
- מעוניין בייעוץ מקצועי בנושא? (מומחה אבטחת מידע רגולציה ו GDPR)