יישום והטמעת תקן ISO 27018 - ניהול אבטחת מידע בענן
הצעד הראשון שלך באבטחת מידע בענן
לקבלת מידע טלפוני אודות תקן ISO 27018 – לחצו כאן או התקשרו ל- 03-9550222
מהו תקן ISO 27018?
ISO 27018 הינו תקן המספק כללי יישום להגנה על מידע מזהה אישי (PII – Personally Identifiable Information) בעננים ציבוריים הפועלים כמעבדי מידע מזהה אישי.
התקן מבוסס על תקני אבטחת המידע ISO 27002 ו-ISO 27001 תוך התמקדות בחוקים, תקנות חובות וכללים להגנה ואבטחת PII בסביבות בעלות סיכוני אבטחת מידע של ספקי שירותי ענן ציבוריים.
כל מה שצריך לדעת על אבטחת המידע בארגון – לחצו כאן
כל מה שצריך לדעת על תהליך ההסמכה לתקן ISO 27001 – לחצו כאן
לקריאת המתודולוגיה של ISO 27001 לחצו כאן
למאמרים על ISO 27001 לחצו כאן
על מי חל תקן 27018 ISO?
התקן חל על ארגונים מכל הסוגים והגדלים, לרבות חברות פרטיות וציבוריות, ישויות ממשלתיות וארגונים ללא כוונת רווח, המספקים ללקוחותיהם שירותי עיבוד מידע מזהה אישי באמצעות שימוש במחשוב ענן. בנוסף, התקן מתאים גם לארגונים הפועלים כבקרי מידע מזהה אישי (בקר PII).
חשוב לדעת כי בקרי מידע מזהה אישי כפופים לתקנות וחובות נוספים שאינם חלים על מעבדי מידע מזהה אישי (מעבד PII). ייתכן כי לקוח שירות ענן שהוא גם בקר PII יהיה כפוף למערכת חובות ותקנות רחבה יותר המסדירה את הגנת מידע מזהה אישי.
מה ההבדל בין בקר PII למעבד PII?
מעבד (PII (Processor מעבד נתונים שהוגדרו על ידי לקוח שירות הענן בלבד (בקר PII).
בקר (PII (Controller קובע את אמצעי האיסוף והעיבוד של המידע ואת מטרת השימוש בו.
מהם היתרונות בהטמעת תקן 27018 ISO?
- הסמכה לתקן ISO 27018 מוכיחה שהארגון מאבטח ושומר על המידע המזהה האישי של הלקוח (PII) המאוחסן בשרתים הווירטואליים
- עמידה בתקן מאפשרת לפנות לשווקים בינלאומיים ולעבוד עם משרדי הממשלה והחברות הגדולות במשק
- עמידה בדרישות החוקים, תקנות הגנת הפרטיות ורגולציית הגנת הפרטיות GDPR בעיקר בנושאי ענן, מעמידה את הספק במיצוי יכולות אבטחת המידע שלו וגורמת לשינוי טכני חשוב שבא לידי ביטוי בשיחזור נתונים, גיבוי חכם והצפנה של ה-PII.
למאמרים על תקנות הגנת הפרטיות לחצו כאן
למאמרים אודות רגולציית הגנת הפרטיות GDPR לחצו כאן
- בקרה על אי זליגת המידע (DLP), מניעת שימוש במאגרי מידע לצורכי שיווק והקפדה על פרטיות מאגרי המידע המאוחסנים ב-Cloud מונעות זליגת מידע רגיש של הארגון ומצמצמות הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע וכו'.
בקרות חדשות לפרטיות בענן:
ISO 27018 מפרט את הבקרות הנוספות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים האישיים בענן:
- הגדרת גישה לנתונים ללקוחות ומחיקתם
- הגבלת האפשרות לעיבוד הנתונים רק למטרה שלשמם סיפק הלקוח
- איסור שימוש ואיסוף נתונים למטרות שיווק ופרסום
- מינוי POC (מעבד המידע האחראי) בארגון של הספק להתנהלות שוטפת מול הלקוח
- מתן הודעה מוקדמת ללקוח במקרה של בקשה לחשיפת נתונים
- ניהול מסמכים בהתאם למדיניות ונהלים בענן
- יצירת נהלים והסכמי סודיות מחמירים לעובדים בעלי גישה לנתונים אישיים בענן
- הגדרת נוהל לשחזור נתונים
- ניהול בקרת גישה קפדנית לנחשפים למידע האישי בענן
- הגדרת תאימות לרגולציה ודרישות חוזיות בין מעבד המידע ללקוחותיו
- ניהול ניוד המידע מאתרים גיאוגרפיים שונים בהם נמצא המידע
- הצפנת מידע אישי בענן
- ביצוע מספר גיבויים פיזיים/לוגיים
- הגדרת מדיניות למחיקת מידע אישי מהגיבויים
- הגדרת מנגנון תיעוד של הכנסה והוצאת מדיות פיזיות המכילות מידע אישי (תאריך, שעה, פרטי המשתמש שניגש למידע, סוג מדיה)
- נוהל למחיקת מידע והשמדת מדיה פיזית המכילים נתונים אישיים בהתאם לחוקי הפרטיות ועוד.
מדוע כדאי להטמיע תקן ISO 27018 בנוסף לתקן ISO 27001?
ספקים אשר מספקים ללקוחותיהם שירותי ענן, נשאלים רבות כיצד המידע האישי של לקוחותיהם מוגן מפני פרצות אבטחה?
הטמעת תקן ISO 27001 לאבטחת המידע הינו פתרון נכון לשמירת אבטחת המידע בארגון.
למרות זאת, כיום עמידה בתקן ISO 27001 בלבד אינו מספיק, וספקים רבים בתחום שירותי הענן, המשמשים כמעבדי PII מחויבים לעמוד גם בתקן ISO 27018 בכדי לוודא כי המידע האישי מאוחסן בענן מוגן בצורה אופטימלית.
לקבלת מידע טלפוני אודות תקן ISO 27018 – לחצו כאן או התקשרו ל- 03-9550222
בסוף התהליך תקבלו גם:
- סקר סיכונים מקיף לאבטחת המידע שלכם
- נוהל חירום המטפל באירועי אבטחת מידע בענן
- מנגנון בקרה מובנה ומסודר לניהול אבטחת המידע ב-CLOUD
- נהלי שמירה על פרטיות המידע בארגון
היתרונות שלנו
הטמעת תקן קלה ופשוטה
ליווי מקצועי עם יועץ מנוסה
100% הצלחה במבדק ההתעדה
מעל 15 שנות נסיון בתקני אבטחת מידע
מעוניינים לקבל ייעוץ להטמעת תקן
ISO 27018 - תקן לניהול אבטחת המידע בענן?
תהליך הטמעת תקן ISO 27018
-
1
פגישת היכרות והבנת התהליכים
אבחון החברה, היכרות, מיפוי תשתיות פיזיות ולוגיות ואפיון תכנית עבודה ולוחות זמנים לפרויקט. -
2
כתיבת נהלים והוראות עבודה מקצועיות (SOA)
במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב, לדוגמה: כתיבת נהלי הרשאות, עדכון וכתיבת אחריות וסמכות. כתיבת נהלי רשומות כוח אדם וקליטת כוח אדם ונהלי רשומות עסקיות. כתיבת הוראות עבודה לאבטחה פיזית (נעילת משרד, שולחן נקי, נעילת מחשבים אוטומטית) ולאחזקת תשתיות (שרתים, מצלמות מעגל סגור ועוד). כתיבת הוראות עבודה לאבטחה מקוונת (סיסמאות Wifi, ניהול סיסמאות ורענון). -
3
הטמעת דרישות התקן
נקסטפ מבצעת עבורכם סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת עובדים בנושאי אבטחת מידע, כתיבת מדיניות והצהרת ישימות, בקרת איכות לספקים, תיעוד ובקרות ועוד. -
4
סקר הנהלה ומבדק פנימי
ההכנה כוללת ביצוע והכנת סקר הנהלה וביצוע מבדקים פנימיים בכל הארגון, מיפוי הפערים החסרים ותיקונים לפני המבדק. -
5
מבדק חיצוני ע"י מכון ההתעדה
המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27018, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומתן מענה לאי התאמות שעלו ממבדק ההסמכה וביצוע פעולות מתקנות. -
6
קבלת תעודות ISO 27018
הנפקת תעודות הסמכה ע"י מכון ההתעדה הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).
נושאים נוספים שיעניינו אותך
אבטחת מידע והגנת הפרטיות
האם ניתן לקבל הסמכת GDPR?
החובות שנקבעו במסגרת ה - GDPR
GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת
המתודולוגיה של ISO 27001
ביצוע מבדק חדירה – מבדק חוסן – PT) Penetration Test)
CISO as a service - ממונה אבטחת מידע
DPR – Data Protection Representative
DPO – Data Protection Officer
אבטחת מידע בארגון - כל מה שצריך לדעת
CCPA – חוק הגנת פרטיות הצרכן בקליפורניה
ההבדל בין Data Processor ו-Data Controller?
הרשות להגנת הפרטיות | מחלקת אכיפה
החובות החלות על בעל מאגר מידע
לקוחות מספרים
חברת Nextep ביצעה עבודה מקצועית ויעיליה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.