ISO 27017 | תקן להגנה על המידע בשירותי בענן

יישום והטמעת תקן ISO 27017 - ניהול אבטחת מידע בענן

הצעד הראשון שלך באבטחת מידע בענן

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27017 או התקשרו ל- 03-9550222

 

חברת Nextep הינה החברה הגדולה והמנוסה ביותר להטמעת תקני אבטחת מידע בחברות וארגונים.

עם מעל ל-500 פרויקטים בשנה האחרונה, יועצי החברה נחשבים לבעלי מוניטין רב ביישום והטמעת תקני אבטחת מידע.

בסיס הידע בחברה מבוסס על שילוב של מומחי אבטחת מידע הנותנים פיתרון קל ופשוט ליישום לצורך מתן מענה המותאם לצורכי הארגון. בין לקוחותינו.

 

מהו תקן ISO 27017?

התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן.

התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.

לעומת תקני אבטחת מידע רבים, ISO/IEC 2017 מגדיר את תפקידי ותחומי האחריות של ספקי השירות ולקוחות הקצה בשירותי הענן, דבר המאפשר להפוך את שירותי הענן לבטוחים יותר.

לקריאת המתודולוגיה של ISO 27001

כל מה שצריך לדעת על תהליך ההסמכה לתקן ISO 27001

לכל המאמרים על ISO 27001

 

על מי חל תקן ISO 27017? 

התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.

ספק שירות – ספק המספק עבור הלקוח שירותי אחסון ועיבוד נתונים בענן.

לקוח קצה – לקוח אשר רוכש ומשתמש בפועל בשירותי ענן המסופקים ע"י ספק השירות.

 

מהם היתרונות בהטמעת תקן ISO 27017?

  • התקן מעניק יתרון עסקי בעבודה מול לקוחות ועמידה בדרישות סף של מכרזים הדורשים עמידה בדרישות אבטחת מידע מתקדמות
  • ארגון וסידור של המידע בענן מקל על איתורו והשימוש בו ומונע גישה מגורמים לא מורשים
  • מסייע במניעת פרצות אבטחת מידע באמצעות הקשחת הנתונים
  • מגביר את מודעות העובדים לאבטחת המידע והפרטיות בארגון
  • מגן על העסק פיזית ולוגית
  • זיהוי וניהול סיכונים והזדמנויות
  • מונע חשיפה להונאות רשת שונות
  • מצמצם נזקים הקשורים באובדן מידע או חוסר יכולת לשחזרו
  • מאפשר המשכיות עסקית מהירה בעקבות פגיעה או נזק רציני לארגון

 

השארת פרטים
מעוניינים בשיחת ייעוץ עם מומחה בתחום?

החובות החלות על לקוח קצה:

אספקת שירותי ענן ללקוח כוללים אחסון ועיבוד של נתונים ומערכות רגישים בארגון, דבר הגורם לתלות גבוהה ואף להגברת אבטחת המידע של שירותי הענן למניעת פרצות אבטחה וזליגת מידע רגיש.

לכן, לפני ביצוע ההתקשרות מול ספק שירותי הענן, על לקוח הקצה ישנן חובות לאבטחת המידע הרגיש בשירותי הענן:

  • על הלקוח לבחון את שירותי הענן המוצעים תוך התחשבות במידע הרגיש שנמצא אצלו בארגון. בנוסף, יש לוודא כי מדיניות אבטחת המידע הכוללת מצד הספק תואמת למדיניות אבטחת המידע הכללית של הלקוח ולהבטיח כי הענן מאובטח דיו בכדי לעמוד בדרישות הלקוח.

מדיניות אבטחת המידע תיקח בחשבון את הנושאים הבאים:

    • הספק יקבל גישה למידע רגיש המאוחסן בענן, לאחר תיעוד בכתב את הקצאת התפקידים ותחומי האחריות בנושאי אבטחת מידע, לדוגמא:
      • הגנה מפני רוגלות
      • גיבוי שוטף של המידע
      • הצפנת מידע
      • ניהול אירועי אבטחת מידע
      • עמידה בתקני ומבדקי אבטחת מידע
      • ביקורת שוטפת
      • איסוף, תחזוקה והגנה על לוגים
    • הגנה על מידע בעת הפסקת יחסים עם ספק השירות
    • הגדרת בקרת גישה והזדהות
    • תהליכים שוטפים בענן יבוצעו במקביל לתהליכים של לקוחות נוספים אשר מאחסנים מידע רגיש בענן
    • המיקום הגיאוגרפי של ספק שירותי הענן – על הספק לעדכן את הלקוח היכן ממוקם הענן. במידה והענן יושב באיחוד האירופי וענן הגיבוי יושב מחוץ לאיחוד האירופי, או במידה והלקוח עצמו עובד מחוץ לאיחוד האירופי, קיימות השלכות רגולטוריות על הוצאה והעברה של המידע

כל מה שצריך לדעת על רגולציית הגנת הפרטיות האירופאית GDPR

  • לאחר בחירת הספק הרלוונטי לארגון, על הארגון לנהל רשימה של כלל הנכסים המאוחסנים בענן
  • יש לציין את בעלי הסמכות הרלוונטיים שיקבלו גישה לשירותי הענן תוך תיעוד פעולות בלוגים ויעברו הדרכת אבטחת מידע מקיפה. ההדרכה תתמקד בהגדרת נהלים לשימוש בשירותי ענן ובזיהוי ובניהול סיכוני אבטחת מידע למערכות ורשתות נתונים בשירותי ענן
  • הגדרת מדיניות בקרת גישה לכל שירותי הענן באמצעות שימוש במנגנון הזדהות חזקה (לדוגמא: סיסמאות, TOKEN, כניסה באמצעות מפתח, SMS) כתיבת נהלים ספציפיים לאיבוד מידע בעקבות פעולות קריטיות, כגון: התקנה, שינוי ומחיקה של מכשירים וירטואליים, סגירת יישומים בשירות ענן, גיבוי ושחזור בעת חירום תוך ציון גורם אחראי לכל פעולה. במידה והשמדת המפתחות תבוצע ע"י הספק, יש כי ההשמדה תבוצע על פי נהלים להשמדה/מחזור של ציוד
  • במידה ובעל סמכות מסיים את עבודתו בחברה, על הלקוח לבקש תיעוד מפורט של מחיקת והסרת הגישה של המשתמש לענן

חשוב לזכור כי לפני תחילת העבודה, הלקוח מחוייב לבקש מספק שירותי הענן ראיות לכך שהוא עומד בדרישות אבטחת המידע אליהן מתחייב.

 

החובות החלות על ספק קצה:

  • על הספק לספק ללקוח מידע אודות מדיניות אבטחת המידע והאופן בו הוא מוטמע בשירותי הענן המסופקים ללקוח.

המדיניות תכיל את הנושאים הבאים:

    • דרישות אבטחת המידע ליישום והטמעת שירותי הענן
    • ניהול סיכונים הנובעים מקבלת גישה ישירה של משתמשים
    • בעלי גישה לשירותי ענן (לקוחות שונים) ובידוד שרתים ושירותים לפי סוג שירות הלקוח
    • הגדרת בקרות גישה למידע
    • עדכונים שוטפים ללקוחות בעת שינויים בשירות
    • גישה ואבטחה של המידע המאוחסן בענן
    • אופן ההתקשרות ללקוח בעת גילוי פרצת אבטחה
  • על ספק שירותי ענן לספק הדרכת מדיניות אבטחת מידע לעובדי החברה. ההדרכה תתמקד בהגדרת נהלים לשימוש בשירותי ענן ובזיהוי ובניהול סיכוני אבטחת מידע למערכות ורשתות נתונים בשירותי ענן
  • על הספק ליידע את לקוח הקצה לגבי הימצאות המיקום הגיאוגרפי של שירותי הענן
  • יש לתעד בכתב את הקצאת התפקידים ותחומי האחריות המוגדרים בנושאי אבטחת מידע
  • יש לספק מנגנון הזדהות חזקה לאדמינים
  • בעת סיום ההתקשרות מול הלקוח יש לספק את הנתונים אודות מחיקת מאגר המידע מהענן
  • במידה וספק שירותי ענן משתמש בשירותים של ספק שירותי ענן נוסף, יש לוודא שרמת אבטחת המידע תואמת את דרישות אבטחת המידע בארגון. יש להעביר לספק השירות את מטרות אבטחת המידע ולבקש לבצע ניהול סיכונים בכדי להשיג את המטרות הנדרשות

בסוף התהליך תקבלו גם:

  • סקר סיכונים מקיף לאבטחת המידע שלכם
  • נהלי חירום המטפלים באירועי אבטחת מידע בענן
  • מנגנון בקרה מובנה ומסודר לניהול אבטחת המידע

היתרונות שלנו

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.
טופס תחתון

מעוניינים לקבל מידע נוסף אודות תקן ISO 27017?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תהליך הטמעת תקן ISO 27017

  1. 1

    פגישת היכרות, מיפוי החברה והבנת התהליכים

    אבחון החברה, היכרות ואפיון תכנית עבודה ולוחות זמנים לפרויקט.
  2. 2

    כתיבת הנהלים והוראות העבודה

    במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב.
  3. 3

    הטמעת דרישות התקן

    נקסטפ מבצעת עבורכם סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת אבטחת מידע, בקרת איכות לספקים, תיעוד תלונות לקוח וחריגות ועוד.
  4. 4

    מבדק חיצוני ע"י מכון ההתעדה

    המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27017, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומענה לפעולות המתקנות מהמבדק.
  5. 5

    קבלת תעודות הסמכה לתקן ISO 27017

    הנפקת תעודות הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).

לקוחות מספרים

חברת Nextep ביצעה עבודה מקצועית ויעיליה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.  
מנרב הנדסה | חברת הייזום והבנייה הגדולה בישראל
חברת Nextep מסייעת לנו בניהול מערך איכות הסביבה בשנה ה-6 ברצף, ביחד ביצענו עשרות סקרי סביבה באתרי הרשות השונים, וגרמנו להתייעלות סביבתית במשרדי הרשות בנתב"ג.
רשות שדות התעופה | אחת מהרשויות הממשלתיות הגדולות במדינה
חברת Nextep מלווה את המכללה הלאומית לשוטרים בשנים האחרונות בתהליכים מקצועיים כגון בקרת הדרכה'  ובצורה יוצאת מן הכלל ומובילה תהליכי שיפור רבים בעבודה השוטפת.
המכללה הלאומית לשוטרים בישראל | מרכז ההדרכה החדש שהוקם בבית שמש
טופס תחתון

מעוניינים לקבל מידע נוסף אודות תקן ISO 27017?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27799

תקן לניהול אבטחת מידע רפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.

ISO 27001

תקן לניהול אבטחת מידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

HIPAA

רגולציה אירופאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

ISO 27018

תקן לניהול אבטחת מידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.

ISO 27032

תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר –  Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.

2019:ISO 27701

תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.