ISO 27001 | ניהול אבטחת מידע

הסמכה לתקן ISO 27001 בקלות ובמהירות

הטמעת תקן לניהול אבטחת מידע ISO27001

 

כאשר הצוות המנוסה ביותר לניהול אבטחת מידע בישראל פוגש את תקן אבטחת המידע הנפוץ בעולם,

תהליך ההסמכה מעולם לא היה קל יותר!

Nextep, הותיקה ביותר בתחום הרגולציה לאבטחת מידע, הינה מראשוני המסמיכים לתקן ISO 27001 בישראל.

אנו מציעים שירותי ייעוץ מתקדמים בשילוב פתרונות טכנולוגיים, המבוססים על 15 שנות ניסיון, אשר יבטיחו עבורך מעבר חלק, מהיר, ללא הוצאות מיותרות ואיבוד זמן יקר.

אנחנו היחידים שמספקים שירות משולב וייעוץ ע"י מומחים בעלי ניסיון רב בתחום אבטחת מידע ובעלי הכשרות CISSP, Lead Auditor, ISO 27001, CISO

התקשרו עוד היום וגלו כיצד גם אתם יכולים לקבל הסמכה לתקן ISO 27001 במינימום מאמץ ובמקסימום איכות!

 

כן, דברו איתי!

 

2022:ISO 27001 – הצעד הראשון שלך באבטחת מידע

2022:ISO 27001 הוא תקן לניהול אבטחת מידע, אבטחת סייבר והגנת פרטיות בארגון, כאשר מטרתו להבטיח את שמירתו וניהולו התקין של המידע בארגון, באמצעות הקמת מערכת לניהול אבטחת מידע – מנא"מ.

התקן מאפשר לוודא ע"י יצירת מנגנון לזיהוי סיכונים, כתיבת נהלים והגדרת בקרות לכך שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת ואף מסייע להתאוששות עסקית מהירה.

הרחבות לתקן ISO 27001:

  • תקן ISO 27799 – לניהול אבטחת מידע רפואי.
  • תקן ISO 27032 – לאבטחת סייבר.
  • תקן 2019:ISO 27701 – לניהול פרטיות המידע.
  • תקן ISO 27017 – לאבטחת מידע בענן.
  • תקן ISO 27018 – לניהול מידע מזהה אישי בעננים ציבוריים.

כל מה שצריך לדעת על תהליך ההסמכה לתקן ISO 27001 (מומלץ)

כל מה שצריך לדעת על אבטחת המידע בארגון

חברת Nextep הינה החברה הגדולה והמנוסה ביותר להטמעת תקני אבטחת מידע בחברות וארגונים.

בסיס הידע בחברה מבוסס על שילוב של מומחי אבטחת מידע הנותנים פתרון קל ופשוט ליישום לצורך מתן מענה המותאם לצורכי הארגון, בין לקוחותינו.

 

למי מיועד תקן לניהול אבטחת המידע בארגון? 

התקן מיועד לכל ארגון מחברות פרטיות קטנות ועד תאגידים וארגוני ענק המעוניינים לנהל את אבטחת המידע והגנת נכסי המידע מפני תקיפות זדוניות, דליפה או איבוד והסיכונים שעלולים לנבוע מכך.

חשוב לדעת: ארגונים וחברות המעבירים מידע ממוחשב, או מספקים מערכות מחשוב המוטמעות/מקושרות למערכות המחשוב הממשלתיות, או מעוניינים למכור שירותים ממוחשבים לממשלה, מחויבים לעמוד בתקן ISO 27001.

את המידע המקיף תוכלו למצוא כאן

הטמעת התקן בחברתך תייצר מערכת מאורגנת ומסודרת המאפשרת שליטה וניהול זרימת המידע. כיום חברות רבות דורשות את התקן כתנאי סף לעמידה במכרזים.

כל מה שצריך לדעת על ניהול אבטחת שרשרת האספקה בארגון

 

מדוע ארגונים מטמיעים תקן ISO 27001?

דרישת לקוח/גוף ציבורי – לקוח פוטנציאלי שאל אותך על התקן? אתה מעוניין לעבוד עם גופים ממשלתיים? עמידה בתקן אבטחת מידע מאפשרת לך לפנות לשווקים בינלאומיים ולעבוד עם משרדי הממשלה והחברות הגדולות במשק.

תנאי סף/מכרזים – התמודדות במכרזים ציבוריים דורשת לרוב עמידה בסטנדרטים גבוהים יותר, דבר המאפשר לחברות להציג את רמת האיכות שלהם במתן התמורה לאותו לקוח פוטנציאלי.

התייעלות פנימית – התקן מאפשר לארגון לייעל את תהליכי העבודה תוך שמירה על שיפור מתמיד. הטמעת התקן מאפשרת שמירה על המידע הרגיש הנמצא במערכות הארגון.

מיתוג / תדמית – קבלת תעודת הסמכה לתקן ISO 27001 ממצבת את הארגון ברמה הגבוהה ביותר בתחום אבטחת מידע ומעניקה ביטחון ללקוחות ובעלי עניין.

השארת פרטים - ISO 27001
לשיחת ייעוץ עם יועץ אבטחת מידע ללא עלות

כל מה שרציתם לדעת על ISO 27001 ולא היה לכם את מי לשאול:

כמה יעלה לנו לעבור הסמכה לתקן ISO 27001?

עלות תהליך ההסמכה לתקן מתחלקת לשניים:

  1. תשלום אגרה למכון התעדה שנבחר על ידכם עבור מבדק הסמכה לתקן.
  2. תשלום עבור שירותי הליווי והייעוץ שלנו בנקסטפ. התשלום משתנה בהתאם להיקף שעות העבודה הנדרשות, גודל הארגון, מספר אתרים, מספר עובדים, תהליכי עבודה, מורכבות הפרויקט ועוד.

כמה זמן ייקח לנו לעבור הסמכה לתקן ISO 27001?

התהליך משתנה בין ארגון לארגון ותלוי באופיו של הארגון, מורכבותו, תהליכיו והטכנולוגיות הנוספות שצריכות להירכש ולהיטמע בארגון.

אורך ההסמכה מושפע בין היתר ממעורבות הגורמים הרלוונטיים לאבטחת מידע ותשתיות. מידת המוכנות להשקיע ולהטמיע תהליכים מקצרת את תהליך ההסמכה. עם ההכנה הנכונה, מרבית הארגונים הקטנים והבינוניים יכולים לצפות להשיג תעודת הסמכה תוך 6-12 חודשים, תלוי בגודל ובמורכבות היקף מערכת הניהול.

ככלל, הסוקר ממכון ההתעדה יבדוק את הטמעת התהליכים בארגון שלושה חודשים אחורה ולכן הטווח של תהליך ההסמכה יכול לקחת מספר חודשים.

חשוב לדעת, כי במידה והארגון משתתף במכרז/קיבל דרישת לקוח, הן היועץ והן מכון ההתעדה יודעים לקצר את זמני ההטמעה בכדי לעמוד בלוחות זמנים.

האם צריך להטמיע את תקן ISO 27001 בכל הארגון?

כן, בכדי לסגור הרמטית גם מהצד האנושי והטכנולוגי ולאבטח את המידע בארגון ולמנוע את זליגתו מחוץ לארגון.

חשוב לדעת, במקרים חריגים אפשר להסמיך חלק מפעילות הארגון ולצמצם את תחום פעילות ההסמכה (Scope התעודה) למחלקות הרלוונטיות.

יש לנו תעודת הסמכה לתקן ISO 9001, האם נוכל להטמיע גם את תקן ISO 27001?

כן, תקן ISO 9001 מתמקד בניהול איכות ותקן ISO 27001 מתמקד באבטחת מידע.

הרבה מהמנגנונים שנמצאים ב-ISO 9001 נדרשים ב-ISO 27001 וניתן להשתמש בהם בסקרי סיכונים וסקרי הנהלה. ניתן להקים מערכת משולבת של איכות ואבטחת מידע כך שהארגון מכוסה מבחינת תהליכי עבודה מול לקוחות ובו זמנית שומר על המידע האישי ומונע זליגת מידע מחוץ לארגון.

האם כדאי לעבור הסמכה ל-SOC2 או ל-ISO 27001?

SOC 2 הינה רגולציה אמריקאית שנדרשת לארגונים שרוצים לחדור לשוק האמריקאי שלא מסתפקים רק ב-ISO 27001.

במקביל, יש את רגולציית GDPR שגם היא לא תמיד מסתפקת ב-ISO 27001, אבל עבור ארגון שיש לו הסמכה ל-ISO 27001, קל יותר לבצע את ההתאמות והשיפורים מכיוון שיש להם מערכת לניהול אבטחת מידע קיימת בארגון.

ב-SOC 2 מבוצעת ביקורת על ידי משרד רואי חשבון אמריקאי ומופק דו"ח  SOC 2 על ידם, לעומת זאת, בהסמכה לתקן ISO 27001 מבוצעת ביקורת על ידי מכון התעדה מקומי וב-GDPR אין הסמכה כלל.

ההמלצה שלנו לארגונים שמתכננים באסטרטגיה שלהם לחדור לשוק באמריקאי/אירופאי היא לבצע תהליך משולב מראש. זה יאפשר לארגון מוכנות מלאה לרגולציות השונות ויסייע לביצוע תהליך מחודש בכל פעם.

האם תקן ISO 27001 מצריך CISO – מנהל אבטחת מידע בארגון?

אמנם התקן אינו דורש CISO, אבל הוא כן דורש אחראי מטעם ההנהלה לנושא אבטחת המידע בארגון.

ככל שהארגון גדול יותר כך גם היקף הפעילות גדל, לכן הרבה מהארגונים משתמשים באיש אבטחת מידע חיצוני/פנימי ייעודי לכך. ארגונים רבים מוצאים ערך בקבלת שירותי ממונה אבטחת מידע ב-Outsourcing לצורך פיקוח ובקרה על נושא אבטחת המידע בארגון.

במידה ואנחנו מוסמכים ל-ISO 27001, האם אנחנו מכוסים מבחינת תקנות הגנת הפרטיות הישראליות?

באופן חלקי. הסמכה ל-ISO 27001 שמבוצעת נכון מכסה כ-80% מדרישות תקנות הגנת הפרטיות הישראליות. רצוי לומר מראש ליועץ המלווה לכסות את הפערים הנדרשים, כגון: רישום מאגרי מידע, כתיבת מדיניות פרטיות וכו'.

במידה ואנחנו מוסמכים ל-ISO 27001, האם אנחנו מכוסים מבחינת רגולציית GDPR?

לא, ISO 27001 נותן מענה להרבה מהדרישות של GDPR מבחינת ניהול מערכת הגנת המידע, אבל הוא לא נותן מענה לרבדים המשפטיים כמו הצהרות פרטיות מול לקוחות, הסכמי התקשרות מול ספקים ועוד.

 

מהם היתרונות בהטמעת תקן לאבטחת מידע בארגון?

התקן מסייע לארגון במגוון רחב של נושאים:

  • ארגון וסידור של המידע בארגון, מצד אחד מקל על איתורו והשימוש בו מאידך מונע גישה מגורמים לא מורשים.
  • מסייע במניעת פרצות אבטחת מידע.
  • מגביר את מודעות העובדים לאבטחת המידע והפרטיות בארגון.
  • מגן על העסק פיזית ולוגית.
  • מאפשר עמידה בדרישות חקיקה מקומיות וחיצוניות (GDPR, HIPAA).
  • זיהוי סיכונים והזדמנויות המאפשרות לתת מענה לסכנות ולהזדמנויות.
  • מונע חשיפה להונאות רשת שונות.
  • מצמצם נזקים הקשורים באובדן מידע או חוסר יכולת לשחזרו.
  • מאפשר המשכיות עסקית מהירה בעקבות פגיעה או נזק רציני לארגון.
  • מאפשר שמירה על פרטיות המידע בהתאם לדרישות חוק הפרטיות הישראלי.
  • הגברת האפקטיביות ושיפור תהליכי עבודה לצמצום עלויות.
  • התקן מעניק יתרון עסקי בעבודה מול לקוחות הדורשים עמידה בדרישות אבטחת מידע מתקדמות.
  • התקן מספק מענה יעיל לבעלי עניין הפנימים והחיצוניים.

 

עמידה בתקן ISO 27001 וחוק הפרטיות הישראלי:

בתאריך 26.04.2018 הרשות להגנת הפרטיות פרסמה הנחיית רשם מאגרי מידע בעניין תחולת תקנות הגנת הפרטיות הישראליות (אבטחת מידע) התשע"ז – 2017.

הרשות מבהירה, כי רק ארגון אשר מחזיק בתעודת הסמכה לתקן ומקיים בפועל את הוראות התקן  – ייחשב כעומד גם בתקנות הגנת הפרטיות. ההנחיה והפטור החלקי מהוראות התקנות לא יחולו על ארגון אשר הרשות תמצא שאינו מקיים בפועל את הוראות התקן, גם אם הוא מחזיק בתעודת ההסמכה.

תוכלו למצוא את ההודעה המקורית בלחיצה כאן

לקריאה אודות רשות להגנת הפרטיות ומחלקת האכיפה

לכל המאמרים על תקנות הגנת הפרטיות

לכל המאמרים על רגולציית הגנת הפרטיות האירופאית GDPR

Nextep מעניקה ללקוחותיה שירות יעיל ומקצועי לעמידה בדרישות אבטחת המידע החלות על הארגון, תוך שמירה על רמת מוכנות והגנה גבוהה מפני איומים מבית ומבחוץ.

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27001 או התקשרו ל- 03-9550222

בסוף התהליך תקבלו גם:

  • סקר סיכונים מקיף לאבטחת המידע שלכם
  • תכנית המשכיות עסקית
  • מנגנון בקרה מובנה ומסודר לניהול אבטחת המידע
ISO 27001

היתרונות שלנו

קליעה למטרה

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.
ליווי מקצועי

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.
אייקון משימות

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.
דף עם מגן וכדור גלובלי

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.
טופס תחתון

מעוניינים לדבר עם מומחה בתחום?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-7176020

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תהליך הטמעת תקן ISO 27001

  1. 1

    פגישת היכרות, מיפוי החברה והבנת התהליכים

    הכרת הארגון ואבחונו, הגדרת מבנה הארגון ברמה האופרטיבית (חלוקת תפקידים ואחריות והבנת האינטגרציה בין הגורמים השונים), יצירת מפת דרכים המתארת את מבנה הארגון ברמה הלוגית על מנת לתעד את דרך זרימת המידע בארגון, הגדרת נכסי המידע (פירוט של כלל המידע בארגון עליו נרצה להגן), מיפוי מערכי ההגנה פיזיים בארגון (מערכות אזעקה, מצלמות, קודנים, סוקרי טביעות אצבע, בקרות גישה, רשומות וכו').
  2. 2

    כתיבת הנהלים והוראות העבודה

    במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב. הכנת מדיניות אבטחת מידע, כתיבת נהלי אבטחת מידע בהתאם לדרישות התקן והשלמת הוראות עבודה רלוונטיים.
  3. 3

    הטמעת דרישות התקן

    נקסטפ מבצעת עבורכם סקר סיכונים מקיף של כלל מערכות ותהליכי הארגון על מנת לאתר נקודות תורפה שיכולים לאפשר פגיעה באבטחת המידע של הארגון, בניית תכנית המשכיות עסקית, הדרכות אבטחת מידע פרטניות לכל מחלקה, בקרת איכות לספקים, השלמת מסמך בקרות המלא SOA (הצהרת ישימות), תיעוד תלונות לקוח וחריגות, מתן הסברים והדרכות פרטניות לכל מחלקה.
  4. 4

    מבדק חיצוני ע"י מכון ההתעדה

    המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27001, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומענה לפעולות המתקנות מהמבדק.
  5. 5

    קבלת תעודות הסמכה לתקן 2022:ISO 27001

    הנפקת תעודות הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).

לקוחות מספרים

חברת Nextep ביצעה עבודה מקצועית ויעילה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.  
מנרב הנדסה | חברת הייזום והבנייה הגדולה בישראל
חברת Nextep מסייעת לנו בניהול מערך איכות הסביבה בשנה ה-6 ברצף, ביחד ביצענו עשרות סקרי סביבה באתרי הרשות השונים, וגרמנו להתייעלות סביבתית במשרדי הרשות בנתב"ג.
רשות שדות התעופה | אחת מהרשויות הממשלתיות הגדולות במדינה
חברת Nextep מלווה את המכללה הלאומית לשוטרים בשנים האחרונות בתהליכים מקצועיים כגון בקרת הדרכה'  ובצורה יוצאת מן הכלל ומובילה תהליכי שיפור רבים בעבודה השוטפת.
המכללה הלאומית לשוטרים בישראל | מרכז ההדרכה החדש שהוקם בבית שמש
טופס תחתון

מעוניינים לדבר עם מומחה בתחום?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-7176020

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27799

תקן לניהול אבטחת מידע רפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.

ISO 27017

תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.

HIPAA

רגולציה אמריקאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

ISO 27018

תקן לניהול אבטחת מידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.

ISO 27032

תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר –  Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.

2019:ISO 27701

תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.