מערכת ניהול אבטחת מידע

המנא"מ נועדה להבטיח בחירת אמצעי בקרה המותאמים במורכבותם לבעיות האבטחה בארגון , על מנת להגן על נכסי הארגון הפיזיים והטכנולוגים , ולספק ביטחון לבעלי העניין.

מי הם בעלי העניין? יש להגדיר רשימת בעלי עניין ,שותפים עסקיים, ספקים, לקוחות, רגולטור ועוד.

הדרישות בתקןISO 27001 – גנריות האמורות להתאים לכל ארגון.  ארגון המעוניין  לקבל תקן זה חייב לעמוד בכל דרישות התקן , בכל הבקרות בהערכת הסיכונים.

כל ויתור על אמצעי בקרה , יהיה נדרש להוכיח על ידי גורם מוסמך כי הוויתור -על אמצעי בקרה כלשהו- אינו משפיע על יכולתו של הארגון ואחריותו  לספק אבטחת מידע העומדת בהתאמה ובדרישות שנקבעו בהערכת הסיכונים ובדרישות התקן.

מסמך הצהרת ישימות (SOA) הינו חלק מבדיקת ההערכות במסגרת תהליך ההסמכה לתקן ISO 27001 .

 הצהרת הישימות (SoA) הינו מסמך מלווה לווידוא הכנת החברה  לעמידה בדרישות התקן .

מטרת המסמך, לספק סקירה כללית של יישום אבטחת מידע  כאשר , סעיפי התקן ויעדי בקרה ובקרות שהינם חלק מדרישות התקן ונספחיו, מתועדים ומבוקרים באופן רציף ולכל סעיף בתקן אסמכתא תומכת (מסמכים ישימים).

מסמך /הצהרת הישימות של הארגון מהווה את הבדיקה של החברה  כי אכן החברה ערוכה ופועלת בהתאם לדרישות תקן  מערכות מידע ISO 27001:2013 ומוכנה למבדק הגוף המסמיך – מכון התקנים.(אני עובדת עם מכון התקנים).

לאחר סיום כתיבת הנהלים, הערכת הסיכונים ותהליך הטיפול בכל סיכון וכן, לאחר עמידה בכל דרישות סעיפי התקן 27001:2013  ISO , יש לבצע מבדק פנימי בהתאם לרשימת תיוג לביצוע מבדק למערכת ניהול אבטחת מידע כמפורט בכל סעיף בתקן וכן, בהתאם לטבלה א.1. – יעדי בקרה ובקרת כמפורט ברשימת התיוג לביצוע המבדק.

אני אישית, מבצעת במהלך המבדק הפנימי גם את תיעוד דרישות מסמך הישימות כהכנה, אני מוודא כי  לכל נושא וכל סעיף בתקן קיימים מסמכים ישימים, מוגדר רמת היישום והפירוט.

לצורף כך, במילוי מסמך הישימות , יש להפנות להתייחסות מתועדת (אסמכתאות) שהכינה החברה כמענה לדרישת התקן כגון: הנוהל הרלוונטי, הערכות סיכונים ותהליך הטיפול בכל סיכון, הבקרות, טבלאות, דוחות וכל מסמך שהכינה החברה כאסמכתא לביצוע הבקרה בהתאם לדרישות תקן מערכות המידע לכל סעיף וסעיף .

על מסמך הישימות להתעדכן בשוטף ולהיות מבוקר באופן רציף.

זיהוי הסיכונים- סעיף בתקן ISO 27001-2013 

על הארגון לבצע מיפוי כל הסיכונים על נכסי החברה בתחום אבטחת מידע בהתאם לדרישות התקן .

לאחר מיפוי הסיכונים  יש ולזהות את איומי אבטחת המידע על אותם נכסים, נקודות התורפה , חולשות שעלולות להיות מנוצלות על ידי אותם גורמים שינסו לבצע "חדירה" למידע . סקרי סיכונים ומבחני חדירה.

מומלץ להכין טבלה של כל הסיכונים-  לפי מחלקות בארגון, הסיכון, סוג הסיכון, רמת הסיכון (קביעת משקל לכל סיכון) , השפעתו על הפעילות השוטפת בארגון, אמצעי מניעת הסיכון / צמצום הסיכון , מה תהיה רמת הסיכון לאחר שיבצע הארגון את הפעולות שהגדיר כאמצעי מניעת הסיכון , אחראי, לו"ז בדיקה. כמו כן, ישנם סיכונים להם נדרש תקציב ייחודי שאותו יש להוסיף בטבלה ולדון בו בישיבת וועדת היגוי. 

בנוסף, יש להכין תוכנית עבודה כתובה לטיפול בסיכונים  שזוהו, להשגת מטרות הבקרה שהוגדרו , יישום אמצעי הבקרה, אפקטיביות אמצעי הבקרה, אחראי, לו"ז, תקציב (משאבים), מבקר ובודק ביצוע בפועל. 

לכל בקרה יוסף התיעוד הרלוונטי שיהיה בר מדידה ככל האפשר.. 

זיהוי וניהול סיכוני אבטחת איכות יתבצע בארגון באופן שוטף במהלך השנה ובכל שנה