מערכת ניהול אבטחת מידע

המנא"מ נועדה להבטיח בחירת אמצעי בקרה המותאמים במורכבותם לבעיות האבטחה בארגון , על מנת להגן על נכסי הארגון הפיזיים והטכנולוגים , ולספק ביטחון לבעלי העניין.

מי הם בעלי העניין? יש להגדיר רשימת בעלי עניין ,שותפים עסקיים, ספקים, לקוחות, רגולטור ועוד.

הדרישות בתקןISO 27001 – גנריות האמורות להתאים לכל ארגון.  ארגון המעוניין  לקבל תקן זה חייב לעמוד בכל דרישות התקן , בכל הבקרות בהערכת הסיכונים.

כל ויתור על אמצעי בקרה , יהיה נדרש להוכיח על ידי גורם מוסמך כי הוויתור -על אמצעי בקרה כלשהו- אינו משפיע על יכולתו של הארגון ואחריותו  לספק אבטחת מידע העומדת בהתאמה ובדרישות שנקבעו בהערכת הסיכונים ובדרישות התקן.

מסמך הצהרת ישימות (SOA) הינו חלק מבדיקת ההערכות במסגרת תהליך ההסמכה לתקן ISO 27001 .

 הצהרת הישימות (SoA) הינו מסמך מלווה לווידוא הכנת החברה  לעמידה בדרישות התקן .

מטרת המסמך, לספק סקירה כללית של יישום אבטחת מידע  כאשר , סעיפי התקן ויעדי בקרה ובקרות שהינם חלק מדרישות התקן ונספחיו, מתועדים ומבוקרים באופן רציף ולכל סעיף בתקן אסמכתא תומכת (מסמכים ישימים).

מסמך /הצהרת הישימות של הארגון מהווה את הבדיקה של החברה  כי אכן החברה ערוכה ופועלת בהתאם לדרישות תקן  מערכות מידע ISO 27001:2013 ומוכנה למבדק הגוף המסמיך – מכון התקנים.(אני עובדת עם מכון התקנים).

לאחר סיום כתיבת הנהלים, הערכת הסיכונים ותהליך הטיפול בכל סיכון וכן, לאחר עמידה בכל דרישות סעיפי התקן 27001:2013  ISO , יש לבצע מבדק פנימי בהתאם לרשימת תיוג לביצוע מבדק למערכת ניהול אבטחת מידע כמפורט בכל סעיף בתקן וכן, בהתאם לטבלה א.1. – יעדי בקרה ובקרת כמפורט ברשימת התיוג לביצוע המבדק.

אני אישית, מבצעת במהלך המבדק הפנימי גם את תיעוד דרישות מסמך הישימות כהכנה, אני מוודא כי  לכל נושא וכל סעיף בתקן קיימים מסמכים ישימים, מוגדר רמת היישום והפירוט.

לצורף כך, במילוי מסמך הישימות , יש להפנות להתייחסות מתועדת (אסמכתאות) שהכינה החברה כמענה לדרישת התקן כגון: הנוהל הרלוונטי, הערכות סיכונים ותהליך הטיפול בכל סיכון, הבקרות, טבלאות, דוחות וכל מסמך שהכינה החברה כאסמכתא לביצוע הבקרה בהתאם לדרישות תקן מערכות המידע לכל סעיף וסעיף .

על מסמך הישימות להתעדכן בשוטף ולהיות מבוקר באופן רציף.

זיהוי הסיכונים- סעיף בתקן ISO 27001-2013 

על הארגון לבצע מיפוי כל הסיכונים על נכסי החברה בתחום אבטחת מידע בהתאם לדרישות התקן .

לאחר מיפוי הסיכונים  יש ולזהות את איומי אבטחת המידע על אותם נכסים, נקודות התורפה , חולשות שעלולות להיות מנוצלות על ידי אותם גורמים שינסו לבצע "חדירה" למידע . סקרי סיכונים ומבחני חדירה.

מומלץ להכין טבלה של כל הסיכונים-  לפי מחלקות בארגון, הסיכון, סוג הסיכון, רמת הסיכון (קביעת משקל לכל סיכון) , השפעתו על הפעילות השוטפת בארגון, אמצעי מניעת הסיכון / צמצום הסיכון , מה תהיה רמת הסיכון לאחר שיבצע הארגון את הפעולות שהגדיר כאמצעי מניעת הסיכון , אחראי, לו"ז בדיקה. כמו כן, ישנם סיכונים להם נדרש תקציב ייחודי שאותו יש להוסיף בטבלה ולדון בו בישיבת וועדת היגוי. 

בנוסף, יש להכין תוכנית עבודה כתובה לטיפול בסיכונים  שזוהו, להשגת מטרות הבקרה שהוגדרו , יישום אמצעי הבקרה, אפקטיביות אמצעי הבקרה, אחראי, לו"ז, תקציב (משאבים), מבקר ובודק ביצוע בפועל. 

לכל בקרה יוסף התיעוד הרלוונטי שיהיה בר מדידה ככל האפשר.. 

זיהוי וניהול סיכוני אבטחת איכות יתבצע בארגון באופן שוטף במהלך השנה ובכל שנה

מהו תקן 27001 ?

תקן IS0 27001 תקן לניהול אבטחת מידע בארגון- למה כדאי לארגון לאמץ תקן זה?  מחירים מיוחדים לחברות.

תקן 27001 ISO הינו תקן לניהול, יישום והטמעת אבטחת המידע בארגון המיועד לחברות פרטיות תאגידים ולכל ארגון המעוניין להגן על נכסיו מפני פגיעה כגון: פריצה למחשבים, גניבת מידע, מחיקה, שיבוש המערכת, העברת מידע לגורמים זרים, כופר וכדומה ומגנה מפני התקפות סייבר.  

עמידה בדרישות  ,תקן איזו  27001 ISO  ,מהווה לעיתים, דרישת סף  לעמידה במכרזים ובתחרות מול חברות  לזכייה בפרויקטים.

קבלת תעודת ההסמכה לתקן  27001 ISO   מאפשרת לארגון להיתפס כארגון אמין, איכותי ויוקרתי  בקרב הסביבה העסקית שלו.

מדוע בוחרות חברות לאמץ תקן  27001 ISO לאירגונם?

יישום והטמעת תקן איזו  27000 אבטחת מידע  ותקן איזו 27001 בארגון ועמידה בדרישות תקן אבטחת מידע- מאפשרת לארגון בין היתר:

לפנות לשווקים בינלאומיים.

תקן איזו מאפשר לעבוד עם משרדי הממשלה והחברות הגדולות במשק (לעתים אלה תנאי סף).

יישום והטמעת התקן תקן 27001 מצמצמת את החשיפה לפרצות אבטחה בארגון ולהגנה מפני תקיפות סייבר.

התמודדות במכרזים ציבוריים- מאפשר לחברה להציג את רמת האיכות שלהם במתן תמורה ללקוח פוטנציאלי.

 ייעול תהליכי העבודה- תוך שמירה על שיפור מתמיד.

הטמעת התקן מאפשרת שמירה על המידע הרגיש הנמצא במערכות הארגון.

התקן נותן מענה שלם לדרישות המחוקק בתחומי הגנת המידע והפרטיות בישראל.

תקן  ISO 27001 נותן הגנה וגיבוי על המידע בארגון וגורם להתאוששות עסקית מהירה במקרה אסון וכן מאפשר לצרכן לקבל את השרות הטוב והיעיל ביותר.

בכדי  להבטיח את שמירתו וניהולו התקין של המידע בארגון, התקן על סעיפיו מאפשר לוודא בקרות לכך שהנתונים בארגון חסויים, שמורים, בטוחים, זמינים ונכונים בכל עת וקיימת תוכנית להמשכיות עסקית.  

רוצים שנעזור גם לכם?  לחץ כאן 

 תקן 27799 ISO  לאבטחה והגנת המידע במערכות ממוחשבות במוסדות רפואיים.

תקן זה עוסק בעיקר בחסיון רפואי והצורך להגן על הפרטיות שמטרתו וחשיבותו הרבה במניעת זליגת מידע של פרטיות כל אדם. התקן דורש רמה גבוהה של אבטחת המידע הקיים בכל מוסד רפואי או כל גוף המחזיק במידע רפואי באופן עקיף או ישיר על לקוחות.

תקן-27799-iso לאבטחה והגנת המידע הינו הרחבה של תקן אבטחת מידע 27001, על מנת לקבל הסמכה לתקן 27799 iso חל על ארגונים רפואיים או  ארגונים המחזיקים מידע רפואי הנדרשים לשמור על הגנת הפרטיות. ארגון שברשותו תעודת הסמכה תקפה לתקן iso 27001 iec יבצע התאמות לדרישות סעיפי תקן  27799 ISO .

ISO 27799  אבטחת מידע רפואי בתחום הבריאות הינו הרחבה של תקן אבטחת מידע איזו 27001 ISO.  לקבלת הסמכה לתקן 27799 על הארגון לעמוד בדרישות הסמכה לתקן 27001 ISO.

ארגון שברשותו הסמכה לתקן  ISO 9001:2015 ייבצע השלמות לתקן 27799 . 

ISO התקן הבינלאומי הדרך להסמכה

תקן ISO – הינו תקן בין לאומי שהוכן על ידי ארגון לתקינה ISO –International Organization for Standardization.

הדרך להסמכה / התעדה לתקן ISO נעשית כהחלטה אסטרטגית  לאחר שהארגון  החליט לאמץ עבודה לפי דרישות התקן.

החלטת הארגון לאמץ עבודה לפי תקן ISO צריכה להיות החלטה אסטרטגית של הארגון. 

חלק מדרישות התקן הם : הכנת מדריך הבטחת איכות, כתיבת נהלים בהתאמה לדרישות סעיפי התקן רשימת תיוג- רלוונטיים לארגון, קביעת מדדים איכותיים וכמותיים ברי מדידה ולו"ז לבדיקה , הטמעת הנהלים בארגון , עבודה לפי הנהלים – יישום הנהלים ועמידה  בהצלחה בעבודה בהתאם  לדרישות תקן  ה- ISO.

תקן ISO איזו  שכאמור, הינו תקן בין לאומי , מקדם גישה תהליכית בארגון. גישה המהווה מתודה מובנת הכוללת אבני דרך להגעה ליעדים ועוסקת בפיתוח, יישום ובאפקטיביות השיפור של היעדים והמדדים שנקבעו בהתאם לסעיפי התקן. הכל בכדי להגביר את שביעות רצון הלקוח ועמידה בדרישותיו. 

קיימים סוגים שונים של תקנים. תקנים יעודים לתחומים שונים וסוגי פעילות. התקן הבסיסי הינו תקן iSO 9000 תקן להבטחת איכות החל משנת 2015 עודכנה הגירסה החדשה לתקן ומאז נקרא התקן ISO 9001:2015. 

תקן זה בראיה יותר עסקית מקודמיו.  השינויים המשמעותיים והעיקרים שנוספו בתקן iso 9001 2015 הם: ניהול סיכונים והזדמנויות, ניהול הידע, בקרות ביצוע כמותיות ואיכותיות הניתנות למדידה בפרקי זמן כפי שהוגדרו על ידי הארגון/ העומד בראשה. היעדים נגזרים מהמטרות והחזון של הארגון.

כידוע, לצורך הגעה ליעדים צריך הארגון לקבוע אבני דרך . אבני דרך אלה צריכים להיבדק ולהימדד בפרקי זמן במהלך השנה. בד"כ, חברות בודקות כל רבעון. אך, אין מניעה לבדוק  בטווחי זמן קצרים יותר. כל ארגון בוחר עבורו מה מתאים לבדוק ומגדיר את הלו"ז בהתאם לצרכיו ו/או בהתאם לנושא. 

חברות רבות לקחו את דרישות תקני ISO  איזו  צעד נוסף ובנו KPI – Key Performance Indicators 

הגדרת מטרות ויעדים מהווים את הבסיס להצלחת הארגון להגיע למטרותיו.

הנהלת הארגון צריכה להגדיר את מטרות ויעדים של הארגון רצוי  לפי מחלקות, תכנון מול ביצוע. כאשר לכל מחלקה נקבעים היעדים המתאימים לה.

היעדים צריכים להיות מובנים לעובדים וממוקדי מטרה .העובדים צריכים להבין מה נדרש מהם להשגת היעד ומהם אבני הדרך להשגה . היעדים צריכים להיות מבוססים וממוקדי נושא תכנון מול ביצוע בפועל לדוגמא: מענה למתן הצעה מחיר ללקוח . היעד: תוך 1 יום עבודה. . סגירת הצעות מחיר שנשלחו ללקוח. טיפול ומענה לתלונות לקוח יעד 2 ימי עבודה ועוד ועוד ועוד.

כאשר ארגון מגדיר מדדי ביצוע ותוכנית בקרה , מנתח תוצאות, מבצע פעולות מתקנות ומונעות וכן קובע יעדי שיפור . הארגון מסוגל ,בכל רגע נתון,  לדעת ולהבין היכן עומד ביחס ליעדים שקבע. 

כמובן, שבתקנים לפרויקטים מתווספים יעדים הנמדדים בשלבי התקדמות הפרויקט כגון: תקן לאבטחת מידע תקן iSO 27000 תקן שלאחרונה קיים ביקוש רב בחברות.  תקן זה מאומץ כיום על ידי כל חברה הרוצה לעמוד בדרישות אבטחת מידע עבורה ועבור לקוחותיה או הנדרשת להציג אישור שהינה עומדת בדרישות תקן 27001 iso  הן במכרזים והן לחברות שגם עבורם תקן זה הינו דרישות סף.   

תקן 27001 ISO הינו תקן בין- לאומי לניהול, יישום והטמעת אבטחת המידע בארגון המיועד לחברות פרטיות תאגידים ולכל ארגון המעוניין להגן על נכסיו מפני פגיעה כגון: פריצה למחשבים, גניבת מידע, מחיקה, שיבוש המערכת, העברת מידע לגורמים זרים, כופר וכדומה ומגנה מפני התקפות סייבר.  

 עמידה בדרישות תקן iso 27001 iec ,מהווה לעיתים, דרישת סף  לעמידה במכרזים ובתחרות מול חברות  לזכייה בפרויקטים.

קבלת תעודת ההסמכה לתקן ISO 27001 מאפשרת לארגון להיתפס כארגון אמין, איכותי ויוקרתי  בקרב הסביבה העסקית שלו.

תקן 27000 איזו מתבסס בחלקו על תקן ISO 9000. ארגון שברשותו הסמכה לתקן iso 9001 . יוכל להשתמש בחלק מהפרקים  ומסעיפי התקן ובהתאם , לבצע התאמות לתקן הנדרש. 

כמוהו גם תקן 27799 ISO  לאבטחה והגנת המידע במערכות ממוחשבות במוסדות רפואיים. תקן זה עוסק בעיקר בחסיון רפואי והצורך להגן על הפרטיות שמטרתו וחשיבותו הרבה במניעת זליגת מידע של פרטיות כל אדם. התקן דורש רמה גבוהה של אבטחת המידע הקיים בכל מוסד רפואי או כל גוף המחזיק במידע רפואי באופן עקיף או ישיר על לקוחות.

תקן זה הינו הרחבה של תקן אבטחת מידע 27001, על מנת לקבל הסמכה לתקן 27799 iso חל על ארגונים רפואיים או  ארגונים המחזיקים מידע רפואי הנדרשים לשמור על הגנת הפרטיות. ארגון שברשותו תעודת הסמכה תקפה לתקן iso 27001 iec יבצע התאמות לדרישות סעיפי תקן  27799 ISO .

ISO 27799  אבטחת מידע רפואי בתחום הבריאות הינו הרחבה של תקן אבטחת מידע איזו 27001 ISO.  לקבלת הסמכה לתקן 27799 על הארגון לעמוד בדרישות הסמכה לתקן 27001 ISO

איזו ISO 9301 מערכת ניהול בטיחות ואיכות בתעבורה  הינו תקן ישראלי שמטרתו פיתוח ויישום מערכת לניהול בטיחות ואיכות של מערך התחבורה וכל זאת בכדי להעלות את רמת הבטיחות הדרכים.

התקן ישים לכל ארגון המבצע שינוע מכל סוג שהוא. ארגונים שהוסמכו לתקן ISO 9001 נדרשים הרחבה לקבלת הסמכה לתקן 9301. לצורך כך, תידרש התאמה ותוספות בהתאם לסעיפי דרישות התקן ותקנות התעבורה. 

נקודות עיקריות מסעיפי דרישות התקן:

• על הארגון לזהות את התהליכים הדרושים לו לצורך בניית מערכת ניהול בטיחות ואיכות של מערך התחבורה כחלק בלתי נפרד ממערך פעילות הארגון. 
• על הארגון לזהות ולמפות את הסיכונים במערך התעבורה, לקבוע אמצעים ובקרות להקטנת/הורדת הסיכון , לקבוע יעדים לשיפור, לו"ז לבדיקה, אחראי לבקרה ועוד.
• על הארגון  לזהות את השפעות היבטי הבטיחות בתעבורה על מערכת הניהול הכוללת של הארגון ולפעול בהתאם.
• על הארגון לוודא כי רמת הבטיחות שלו גבוהה. 
• על הארגון להתנהל ולעבוד בהתאם לחוקים והתקנות החלים עליו והרלוונטיים לפעילותו.
• על הארגון לבצע ניטור, מדידה וניתוח תהליכים, לקבוע בקרות ומדדים ולו"ז לבדיקה. 
• על הארגון לקבוע יעדים לשיפור.
• על הארגון לבצע פעולות מתקנות ומונעות.
• על הארגון לבצע הדרכות ייעודיות בנושא  בטיחות ואיכות בתעבורה.
• על הארגון לבצע שיפור מתמיד בכלל וברמת הבטיחות בפרט.
• על הארגון לוודא הקצאת משאבים לפעילות ועוד ועוד. 

,

תקן לאבטחת מידע תקן iSO 27000 תקן שלאחרונה קיים ביקוש רב בחברות.  תקן זה מאומץ כיום על ידי כל חברה הרוצה לעמוד בדרישות אבטחת מידע עבורה ועבור לקוחותיה או הנדרשת להציג אישור שהינה עומדת בדרישות תקן 27001 iso  הן במכרזים והן לחברות שגם עבורם תקן זה הינו דרישות סף.   

הבנה נכונה של דרישות התקן, תמקד את הארגון בעשייה מדויקת לצרכיו ועמידה בדרישות התקן. כך, שבמבחן בדיקת הישימות- מבדק הגוף המסמיך-  יעמוד הארגון בדרישות סעיפי התקן החלים עליו. 

תקן 27001 ISO הינו תקן בין- לאומי לניהול, יישום והטמעת אבטחת המידע בארגון המיועד לחברות פרטיות תאגידים ולכל ארגון המעוניין להגן על נכסיו מפני פגיעה כגון: פריצה למחשבים, גניבת מידע, מחיקה, שיבוש המערכת, העברת מידע לגורמים זרים, כופר וכדומה ומגנה מפני התקפות סייבר.  

 עמידה בדרישות תקן iso 27001 iec ,מהווה לעיתים, דרישת סף  לעמידה במכרזים ובתחרות מול חברות  לזכייה בפרויקטים.

קבלת תעודת ההסמכה לתקן ISO 27001 מאפשרת לארגון להיתפס כארגון אמין, איכותי ויוקרתי  בקרב הסביבה העסקית שלו.

תקן 27000 איזו מתבסס בחלקו על תקן ISO 9000. ארגון שברשותו הסמכה לתקן iso 9001 . יוכל להשתמש בחלק מהפרקים  ומסעיפי התקן ובהתאם , לבצע התאמות לתקן הנדרש. 

כמוהו גם תקן 27799 ISO  לאבטחה והגנת המידע במערכות ממוחשבות במוסדות רפואיים. תקן זה עוסק בעיקר בחסיון רפואי והצורך להגן על הפרטיות שמטרתו וחשיבותו הרבה במניעת זליגת מידע של פרטיות כל אדם. התקן דורש רמה גבוהה של אבטחת המידע הקיים בכל מוסד רפואי או כל גוף המחזיק במידע רפואי באופן עקיף או ישיר על לקוחות.

תקן זה הינו הרחבה של תקן אבטחת מידע 27001, על מנת לקבל הסמכה לתקן 27799 iso חל על ארגונים רפואיים או  ארגונים המחזיקים מידע רפואי הנדרשים לשמור על הגנת הפרטיות. ארגון שברשותו תעודת הסמכה תקפה לתקן iso 27001 iec יבצע התאמות לדרישות סעיפי תקן  27799 ISO .

ISO 27799  אבטחת מידע רפואי בתחום הבריאות הינו הרחבה של תקן אבטחת מידע איזו 27001 ISO.  לקבלת הסמכה לתקן 27799 על הארגון לעמוד בדרישות הסמכה לתקן 27001 ISO

• . 

מערכת ניהול אבטחת מידע 

המנא"מ נועדה להבטיח בחירת אמצעי בקרה המותאמים במורכבותם לבעיות האבטחה בארגון , על מנת להגן על נכסי הארגון הפיזיים והטכנולוגים , ולספק ביטחון לבעלי העניין. 

מי הם בעלי העניין? יש להגדיר רשימת בעלי עניין ,שותפים עסקיים, ספקים, לקוחות, רגולטור ועוד. 

הדרישות בתקןISO 27001 – גנריות האמורות להתאים לכל ארגון.  ארגון המעוניין  לקבל תקן זה חייב לעמוד בכל דרישות התקן , בכל הבקרות בהערכת הסיכונים. 

כל ויתור על אמצעי בקרה , יהיה נדרש להוכיח על ידי גורם מוסמך כי הוויתור -על אמצעי בקרה כלשהו- אינו משפיע על יכולתו של הארגון ואחריותו  לספק אבטחת מידע העומדת בהתאמה ובדרישות שנקבעו בהערכת הסיכונים ובדרישות התקן.