מהו סקר תהליך ומהי מטרתו?
סקר תהליך הינו סקר סיכונים הממפה תהליכי זרימת מידע בין גופים (החל מקבלת המידע/ יצירת המידע ועד להגעתו ליעד), מחלקות ואמצעי העברת מידע שונים (טלפון, פקס, דוא"ל וכו').
מטרת הסקר הינו לוודא כי המידע הרגיש שמועבר בתהליכי זרימת המידע נמסר לגורמים ולמערכות הרלוונטיים בעלי הרשאות מתאימות תוך מיפוי הסיכונים הקיימים בתהליך.
סיכוני אבטחת מידע:
חשוב לזכור, כי תהליכי זרימת המידע עוברים מסלולים ארוכים, כאשר כל מסלול יכול להכיל עשרות תחנות אנושיות. בכל תחנה המידע מעובד, מאוחסן ומועבר בהתאם. כתוצאה מכך, משתמשים רבים נחשפים למידע שאינם אמורים להיחשף (אינם בעלי הרשאות מתאימות לצפייה במידע רגיש), או מאוחסנים במערכות שאינן מאובטחות דיין, דבר המגביר את הסיכונים לפרצות אבטחה ודליפת מידע מחוץ לארגון.
תקני אבטחת מידע, כגון: ISO 27001 , ISO 27799, ISO 27017, ISO 27018 ועוד, דורשים סקירה ומיפוי תהליכי העברת מידע המבוצעים בחברה, לדוגמא: תהליך קבלת ועזיבת עובד, תהליך התקשרות עם ספקים וכו' תוך עמידה בדרישות הרגולציה המחמירות (במידה והארגון צריך לעמוד בדרישות אלו).
סקר תהליך דורש בדיקה וסקירה יסודית בכדי לבחון האם קיימים סיכוני אבטחת מידע. במידה ונמצאו סיכונים יש לנהל את הסיכונים ולפעול לצמצומם.
את הסקר יבצע יועץ אבטחת מידע חיצוני מנוסה בעל הכשרות נדרשות ומשמש כגורם בלתי תלוי ע"מ לבצע בדיקה אובייקטיבית.
כל מה שצריך לדעת על אבטחת המידע בארגון – לחצו כאן
למאמרים על ISO 27001 לחצו כאן
תוצרי סקר התהליך:
- הפקת דו"ח הכולל תשאול מקיף של כל הגורמים המעורבים, בחינת ובדיקת שמירת המידע (לוגית ופיזית) והעברת המידע מגורם לגורם, מורשי הגישה למידע לכל אורך התהליך ובדיקת סיום תקין של התהליך.
- במקרים בהם חלים שינויים בתהליך, יתועדו השינויים ויסקרו שוב כדי לוודא עמידה בדרישות אבטחת המידע של החברה.
- תרשים זרימת מידע הממפה בצורה ברורה את תהליכי העברת המידע.
- טבלת מיפוי הסיכונים הנובעים מהתהליך והמלצות לטיפול לפי רמת רגישות ותכיפות טיפול.
- השלמת מסמכים נדרשים לעמידה בסיכונים ובדרישות התקנים והרגולציה.
לקבלת מידע אודות סקר ספק והאם הוא רלוונטי לארגונכם לחצו כאן
לקבלת מידע טלפוני אודות ביצוע סקר תהליך בארגונכם – לחצו כאן או התקשרו ל- 03-9677336
נכתב על ידי לירז ששונקר, יועצת המסמיכה ומלווה ארגונים בתקני ISO 27017 ,ISO 27001 ,ISO 27018 ,ISO 27799, לווי לעמידה ברגולציית הגנת הפרטיות GDPR ותקנות הגנת הפרטיות.
