המתודולוגיה של ISO 27001
הדרך אל התקן – ISO 27001
תקן ISO 27001 הינו תקן בינלאומי המציין באופן פורמלי כיצד להקים מערכת לניהול אבטחת מידע – מנא"מ.
המשמעות הינה הקמת מערכת היררכית שמטרתה לנהל באופן אפקטיבי את מערכת האבטחה על נכסי המידע של הארגון תוך שמירה
על עקרון "השיפור המתמיד".
- אימוץ מערכת ניהול אבטחת מידע היא החלטה אסטרטגית לארגון.
- התמקדות בתהליכים ונכסים עסקיים.
- התמקדות בהפחתת הסיכונים של מידע בעל ערך עבור הארגון.
מטרתו של התקן היא להגן על שלושת העקרונות הבאים בהיבט של נכסי המידע:
סודיות – Confidentiality: נגישות אל המידע רק לבעלי הגישה שהגדיר בעל נכס המידע.
אמינות – Integrity: שמירת הדיוק והשלמות של המידע ושיטות העיבוד.
זמינות – Availability: שמירה על זמינות ויעילות הגישה אל המידע בכל זמן נתון.
ישנם מספר יתרונות ליישום תקן אבטחת המידע בארגון:
- יתרון תחרותי/שיווקי
- הפחתת הוצאות (השקעה ללא רווח כספי ברור)
- בקרת סיכוני אבטחת מידע (תכנית לניהול סיכונים)
- אופטימיזציה בתהליכי הארגון "שיפור מתמיד"
למאמרים על ISO 27001 לחצו כאן
תהליך השיפור המתמיד PDCA – Plan Do Check Act:
התרשים מדגים כיצד המנא"מ לוקחת כקלט את דרישות אבטחת המידע ואת הציפיות ודרך מחזור PDCA מייצרת תוצאות אבטחת מידע מנוהלות המספקות את הדרישות והציפיות.
תכנן –הקמת מנא"מ: קביעת מדיניות, הגדרת יעדים, תהליכים ונהלים הרלוונטיים לניהול סיכונים ושיפור אבטחת מידע על מנת לספק תוצאות בהתאם למדיניות הכללית של הארגון ולמטרותיו.
עשה– יישום המנא"מ: יישום מדיניות ,בקרות, תהליכים ונהלים.
בדוק –סקירה של המנא"מ: הערכה ומדידה של ביצועי התהליך מול מטרות המנא"מ. תרגול מקרה חירום ודיווח הממצאים להנהלה.
פעל –שימור ושיפור המנא"מ: ביצוע פעולות מתקנות בהתבסס על תוצאות הביקורת הפנימית של המנא"מ כדי להשיג שיפור מתמיד.
הדרך אל התקן:
תמיכת ההנהלה:
תמיכת ההנהלה הכרחית להצלחת הפרויקט
- קביעת מדיניות ומטרות המתאימות לאסטרטגית הארגון.
- שילוב מדיניות אבטחת מידע ומטרותיה בתהליכים העסקיים של הארגון
- הקצאת משאבים – (תקציב, כוח אדם , זמן)
- הגדרת תפקידים (אחריות, סמכות וכישורים)
תמיכה ניהולית גלויה הופכת את אבטחת המידע ליעילה יותר בכל הארגון.
הגדרת תחום המנא"מ:
על ההנהלה להגדיר את תחום המנא"מ במונחים של אופי הארגון, מיקומו, נכסי המידע והטכנולוגיות.
- השמטות של דרישות התקן שאינן חלות על הארגון צריכות להיות מוצדקות ומתועדות בהצהרת הישימות (SOA)
חוסר הגדרת התחום בדרך כלל מקטין את היתרונות העסקיים של המנא"מ.
מיפוי וסיווג נכסי מידע – מיפוי נכסי המידע עוזר לארגון להבין על מה הם רוצים להגן.
המיפוי יכלול בד"כ את הפרטים הבאים:
- סוג הנכס (שרת, תוכנה, מערכת , מדפסות , מחשבים ניידים, תהליכים וכו')
- מיקום
- לו"ז גיבוי
- מידע הרישיון
- ערך עסקי (תהליכים תומכים)
- בעלים/אחראי
- רמת סיווג ע"פ אמינות, זמינות וסודיות
הערכת סיכונים – Risk assessment:
ניהול סיכוני אבטחת מידע הוא פתרון המקטין את הסיכון בפגיעה של אבטחת מידע בארגון.
הצהרת ישימות SOA – Statement Of Applicability:
הצהרת הישימות כוללת תקציר של החלטות הנוגעות לטיפול בסיכונים, הנמקה של ויתור על מטרת בקרה או על אמצעי בקרה.
תכנית טיפול בסיכונים RTP – Risk Treatment Plan:
RTP הוא מסמך המפתח המקשר את כל ארבעת השלבים של מחזור PDCA
- גיבוש תוכנית טיפול בסיכונים המזהה את פעולות הניהול, המשאבים, האחריות וסדרי העדיפויות המתאימים לטיפול בסיכוני אבטחת המידע
- הגדרת תוכנית טיפול בסיכונים בהקשר של מדיניות אבטחת המידע של הארגון
- התוכנית תגדיר בבירור את הגישה לסיכון ואת הקריטריונים לקבלת הסיכון
מנא"מ – מערכת ניהול אבטחת מידע ISMS – Information Security Management System:
תוכנית יישום המנא"מ:
- יישום תוכנית הטיפול בסיכונים תוך השגת מטרות הבקרה שזוהו, הכוללת התייחסות להגדרת תקציב , הקצאת תפקידים ואחריות
- יישום בקרות שהוגדרו בהקמת המנא"מ ועמידה ביעדי הבקרה
- הגדרת מדדי אפקטיביות הבקרות
- יישום תוכניות הדרכה ומודעות
תיעוד המנא"מ צריך לכלול:
- הצהרות מתועדות של מדיניות ויעדי המנא"מ
- היקף המנא"מ
- נהלים ובקרות התומכים במנא"מ
- תיאור המתודולוגיה של הערכת הסיכונים
- דוח הערכת סיכונים ותכנית טיפול סיכונים – RTP
- נהלים לתכנון יעיל, תפעול ובקרה של תהליכי אבטחת המידע, המתארים כיצד למדוד את אפקטיביות הבקרות.
- הצהרת ישימות – SOA
מבדק פנימי ופעולות מתקנות:
- הארגון יבצע מבדק פנימי לפחות פעם בשנה כדי להבטיח את התאמתו והאפקטיביות של המנא"מ
- ממצאי המבדק חייבים להיות מתועדים
- פעולות מתקנות הנובעות בהתאם לממצאי המבדק
ביקורות הן חלק משלב הבדיקה של מחזור PDCA.
שלב א' (מקדים) – בדיקת תיעוד:
סקירה מקיפה של מערכת המנא"מ והצהרת הישימות. תאימות לדרישת התקן לשיפור מתמיד:
- הערכות סיכונים
- דוחות תקריות
- פעולות מתקנות וכו'
אורך המבדק יקבע ע"פ גודל הארגון (עובדים, מערכות מידע, שרתים וכו').
שלב ב' – מבדק הסמכה:
- בדיקה של ניתוח וטיפול בסיכוני אבטחת מידע
- תאימות תהליכי עבודה לנהלים
- מודעות עובדים
- סקירה תהליכית
- סיכום וממצאים
- קבלת תעודת ISO 27001
אורך המבדק יקבע ע"פ גודל ואופי הארגון (עובדים, מערכות מידע, שרתים, תהליכים וכו').
ממשיכים הלאה – "שיפור מתמיד":
הארגון ימשיך לשפר את אפקטיביות המנא"מ באמצעות:
- מדיניות אבטחת המידע
- מטרות אבטחת מידע
- תוצאות הביקורת
- ניתוח אירועים מבוקרים
- פעולות מתקנות ומניעתיות
- סקרי הנהלה
אורך המבדק יקבע ע"פ גודל ואופי הארגון (עובדים, מערכות מידע, שרתים, תהליכים וכו').
לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222
צוות היועצים של נקסטפ ישמח לענות לשאלותיכם ולייעץ לכם בכל עניין הקשור לתקן.
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.
