03-9550222
דף הבית > בלוג > מאמרים על תקן ISO 27001 > המתודולוגיה של ISO 27001

המתודולוגיה של ISO 27001

הדרך אל התקן - ISO 27001

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

למאמרים על ISO 27001 לחצו כאן

 

תקן ISO 27001 הינו תקן בינלאומי המציין באופן פורמלי כיצד להקים מערכת לניהול אבטחת מידע – מנא"מ. 

המשמעות הינה הקמת מערכת היררכית שמטרתה לנהל באופן אפקטיבי את מערכת האבטחה על נכסי המידע של הארגון תוך שמירה

על עקרון "השיפור המתמיד".

  • אימוץ מערכת ניהול אבטחת מידע היא החלטה אסטרטגית לארגון.
  • התמקדות בתהליכים ונכסים עסקיים.
  • התמקדות בהפחתת הסיכונים של מידע בעל ערך עבור הארגון.

 

מטרתו של התקן היא להגן על שלושת העקרונות הבאים בהיבט של נכסי המידע:

סודיות – Confidentiality: נגישות אל המידע רק לבעלי הגישה שהגדיר בעל נכס המידע.

אמינות – Integrity: שמירת הדיוק והשלמות של המידע ושיטות העיבוד.

זמינות – Availability: שמירה על זמינות ויעילות הגישה אל המידע בכל זמן נתון.

ישנם מספר יתרונות ליישום תקן אבטחת המידע בארגון:

  • יתרון תחרותי/שיווקי
  • הפחתת הוצאות (השקעה ללא רווח כספי ברור)
  • בקרת סיכוני אבטחת מידע (תכנית לניהול סיכונים)
  • אופטימיזציה בתהליכי הארגון "שיפור מתמיד"

 

תהליך השיפור המתמיד PDCA – Plan Do Check Act:

 

התרשים מדגים כיצד המנא"מ לוקחת כקלט את דרישות אבטחת המידע ואת הציפיות ודרך מחזור PDCA מייצרת תוצאות אבטחת מידע מנוהלות המספקות את הדרישות והציפיות.

תכנן הקמת מנא"מ: קביעת מדיניות, הגדרת יעדים, תהליכים ונהלים הרלוונטיים לניהול סיכונים ושיפור אבטחת מידע על מנת לספק תוצאות בהתאם למדיניות הכללית של הארגון ולמטרותיו.

עשהיישום המנא"מ: יישום מדיניות ,בקרות, תהליכים ונהלים.

בדוק סקירה של המנא"מ: הערכה ומדידה של ביצועי התהליך מול מטרות המנא"מ. תרגול מקרה חירום ודיווח הממצאים להנהלה.

פעל שימור ושיפור המנא"מ: ביצוע פעולות מתקנות בהתבסס על תוצאות הביקורת הפנימית של המנא"מ כדי להשיג שיפור מתמיד.

 

הדרך אל התקן:

 

תמיכת ההנהלה:

תמיכת ההנהלה הכרחית להצלחת הפרויקט

  • קביעת מדיניות ומטרות המתאימות לאסטרטגית הארגון.
  • שילוב מדיניות אבטחת מידע ומטרותיה בתהליכים העסקיים של הארגון
  • הקצאת משאבים – (תקציב, כוח אדם , זמן)
  • הגדרת תפקידים (אחריות, סמכות וכישורים)

תמיכה ניהולית גלויה הופכת את אבטחת המידע ליעילה יותר בכל הארגון.

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

הגדרת תחום המנא"מ:

 על ההנהלה להגדיר את תחום המנא"מ במונחים של אופי הארגון, מיקומו, נכסי המידע והטכנולוגיות.

  • השמטות של דרישות התקן שאינן חלות על הארגון צריכות להיות מוצדקות ומתועדות בהצהרת הישימות (SOA)

חוסר הגדרת התחום  בדרך כלל מקטין את היתרונות העסקיים של המנא"מ.

מיפוי וסיווג נכסי מידע – מיפוי נכסי המידע עוזר לארגון להבין על מה הם רוצים להגן.

המיפוי יכלול בד"כ את הפרטים הבאים:

  • סוג הנכס (שרת, תוכנה, מערכת , מדפסות , מחשבים ניידים, תהליכים וכו')
  • מיקום
  • לו"ז גיבוי
  • מידע הרישיון
  • ערך עסקי (תהליכים תומכים)
  • בעלים/אחראי
  • רמת סיווג ע"פ אמינות, זמינות וסודיות

 

הערכת סיכונים – Risk assessment:

ניהול סיכוני אבטחת מידע הוא פתרון המקטין את הסיכון בפגיעה של אבטחת מידע בארגון.

 

הצהרת ישימות SOA – Statement Of Applicability:

הצהרת הישימות כוללת תקציר של החלטות הנוגעות לטיפול בסיכונים, הנמקה של ויתור על מטרת בקרה או על אמצעי בקרה.

 

תכנית טיפול בסיכונים RTP – Risk Treatment Plan:

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

RTP הוא מסמך המפתח המקשר את כל ארבעת השלבים של מחזור PDCA

  • גיבוש תוכנית טיפול בסיכונים המזהה את פעולות הניהול, המשאבים, האחריות וסדרי העדיפויות המתאימים לטיפול בסיכוני אבטחת המידע
  • הגדרת תוכנית טיפול בסיכונים בהקשר של מדיניות אבטחת המידע של הארגון
  • התוכנית תגדיר בבירור את הגישה לסיכון ואת הקריטריונים לקבלת הסיכון

 

מנא"מ – מערכת ניהול אבטחת מידע ISMS – Information Security Management System:

תוכנית יישום המנא"מ:

  • יישום תוכנית הטיפול בסיכונים תוך השגת מטרות הבקרה שזוהו, הכוללת התייחסות להגדרת תקציב , הקצאת תפקידים ואחריות
  • יישום בקרות שהוגדרו בהקמת המנא"מ ועמידה ביעדי הבקרה
  • הגדרת מדדי אפקטיביות הבקרות
  • יישום תוכניות הדרכה ומודעות

תיעוד המנא"מ צריך לכלול:

  • הצהרות מתועדות של מדיניות ויעדי המנא"מ
  • היקף המנא"מ
  • נהלים ובקרות התומכים במנא"מ
  • תיאור המתודולוגיה של הערכת הסיכונים
  • דוח הערכת סיכונים ותכנית טיפול סיכונים – RTP
  • נהלים לתכנון יעיל, תפעול ובקרה של תהליכי אבטחת המידע, המתארים כיצד למדוד את אפקטיביות הבקרות.
  • הצהרת ישימות – SOA

 

מבדק פנימי ופעולות מתקנות:

  • הארגון יבצע מבדק פנימי לפחות פעם בשנה כדי להבטיח את התאמתו והאפקטיביות של המנא"מ
  • ממצאי המבדק חייבים להיות מתועדים
  • פעולות מתקנות הנובעות בהתאם לממצאי המבדק

ביקורות הן חלק משלב הבדיקה של מחזור PDCA.

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

שלב א' (מקדים) – בדיקת תיעוד:

סקירה מקיפה של מערכת המנא"מ והצהרת הישימות. תאימות לדרישת התקן לשיפור מתמיד:

  • הערכות סיכונים
  • דוחות תקריות
  • פעולות מתקנות וכו'

אורך המבדק יקבע ע"פ גודל הארגון (עובדים, מערכות מידע, שרתים וכו').

 

שלב ב' – מבדק הסמכה:

  • בדיקה של ניתוח וטיפול בסיכוני אבטחת מידע
  • תאימות תהליכי עבודה לנהלים
  • מודעות עובדים
  • סקירה תהליכית
  • סיכום וממצאים
  • קבלת תעודת ISO 27001

אורך המבדק יקבע ע"פ גודל ואופי הארגון (עובדים, מערכות מידע, שרתים, תהליכים וכו').

 

ממשיכים הלאה – "שיפור מתמיד":

הארגון ימשיך לשפר את אפקטיביות המנא"מ באמצעות:

  • מדיניות אבטחת המידע
  • מטרות אבטחת מידע
  • תוצאות הביקורת
  • ניתוח אירועים מבוקרים
  • פעולות מתקנות ומניעתיות
  • סקרי הנהלה

אורך המבדק יקבע ע"פ גודל ואופי הארגון (עובדים, מערכות מידע, שרתים, תהליכים וכו').

 

נכתב על ידי רותם פיניאן, יועץ איכות המתמחה בהסמכה לתקן ISO 270001 – מערכת ניהול אבטחת מידע ותקנות הגנת הפרטיות אירופאיות (GDPR).

 

לקבלת מידע טלפוני אודות תקן ISO 27001 – לחצו כאן או התקשרו ל- 03-9550222

 

צוות היועצים של נקסטפ ישמח לענות לשאלותיכם ולייעץ לכם בכל עניין הקשור לתקן. 

 

 

כותב המאמר:

Rotem Pinyan

Rotem Pinyan

לכל המאמרים של Rotem

מעוניינים לשמוע עוד על תקן ISO 27001?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!

  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00