מהו סקר סיכונים (סקר תהליך) ומהי מטרתו?
סקר תהליך הינו סקר סיכונים הממפה תהליכי זרימת מידע בין גופים (החל מקבלת המידע/ יצירת המידע ועד להגעתו ליעד), מחלקות ואמצעי העברת מידע שונים (טלפון, פקס, דוא"ל וכו').
מטרת הסקר הינו לוודא כי המידע הרגיש שמועבר בתהליכי זרימת המידע נמסר לגורמים ולמערכות הרלוונטיים בעלי הרשאות מתאימות תוך מיפוי הסיכונים הקיימים בתהליך.
סיכוני אבטחת מידע:
חשוב לזכור, כי תהליכי זרימת המידע עוברים מסלולים ארוכים, כאשר כל מסלול יכול להכיל עשרות תחנות אנושיות. בכל תחנה המידע מעובד, מאוחסן ומועבר בהתאם.
כתוצאה מכך, משתמשים רבים נחשפים למידע שאינם אמורים להיחשף (אינם בעלי הרשאות מתאימות לצפייה במידע רגיש), או מאוחסנים במערכות שאינן מאובטחות דיין, דבר המגביר את הסיכונים לפרצות אבטחה ודליפת מידע מחוץ לארגון.
תקני אבטחת מידע, כגון: ISO 27001 , ISO 27799, ISO 27017, ISO 27018 ועוד, דורשים סקירה ומיפוי תהליכי העברת מידע המבוצעים בחברה, לדוגמא: תהליך קבלת ועזיבת עובד, תהליך התקשרות עם ספקים וכו' תוך עמידה בדרישות הרגולציה המחמירות (במידה והארגון צריך לעמוד בדרישות אלו).
סקר תהליך דורש בדיקה וסקירה יסודית בכדי לבחון האם קיימים סיכוני אבטחת מידע. במידה ונמצאו סיכונים יש לנהל את הסיכונים ולפעול לצמצומם.
את הסקר יבצע יועץ אבטחת מידע חיצוני מנוסה בעל הכשרות נדרשות ומשמש כגורם בלתי תלוי ע"מ לבצע בדיקה אובייקטיבית.
כל מה שצריך לדעת על אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001 (מומלץ)
להרחבה על תקן ISO 27799 – לניהול אבטחת המידע הרפואי
להרחבה על תקן ISO 27032 – לאבטחת סייבר
להרחבה על תקן 2019:ISO 27701 – לניהול פרטיות המידע
להרחבה על תקן ISO 27017 – לאבטחת מידע בענן
להרחבה על תקן ISO 27018 – לניהול מידע מזהה אישי בעננים ציבוריים
תוצרי סקר התהליך:
- הפקת דו"ח הכולל תשאול מקיף של כל הגורמים המעורבים, בחינת ובדיקת שמירת המידע (לוגית ופיזית) והעברת המידע מגורם לגורם, מורשי הגישה למידע לכל אורך התהליך ובדיקת סיום תקין של התהליך.
- במקרים בהם חלים שינויים בתהליך, יתועדו השינויים ויסקרו שוב כדי לוודא עמידה בדרישות אבטחת המידע של החברה.
- תרשים זרימת מידע הממפה בצורה ברורה את תהליכי העברת המידע.
- טבלת מיפוי הסיכונים הנובעים מהתהליך והמלצות לטיפול לפי רמת רגישות ותכיפות טיפול.
- השלמת מסמכים נדרשים לעמידה בסיכונים ובדרישות התקנים והרגולציה.
למאמר המפרט מהו סקר ספק והאם הוא רלוונטי לארגונכם
נכתב על ידי לירז ששונקר, יועצת המסמיכה ומלווה ארגונים בתקני ISO 27017 ,ISO 27001 ,ISO 27018 ,ISO 27799, לווי לעמידה ברגולציית הגנת הפרטיות GDPR ותקנות הגנת הפרטיות.