03-9550222
דף הבית > תקנים > ISO 27018

ISO 27018 | תקן לניהול אבטחת המידע בענן

יישום והטמעת תקן ISO 27018 - ניהול אבטחת מידע בענן

הצעד הראשון שלך באבטחת מידע בענן

לקבלת מידע טלפוני אודות תקן ISO 27018 לחצו כאן או התקשרו ל- 03-9550222

 

מהו תקן ISO 27018?

ISO 27018 הינו תקן המספק כללי יישום להגנה על מידע מזהה אישי (PII – Personally Identifiable Information) בעננים ציבוריים הפועלים כמעבדי מידע מזהה אישי.

התקן מבוסס על תקני אבטחת המידע ISO 27002 ו-ISO 27001 תוך התמקדות בחוקים, תקנות חובות וכללים להגנה ואבטחת PII בסביבות בעלות סיכוני אבטחת מידע של ספקי שירותי ענן ציבוריים.

כל מה שצריך לדעת על אבטחת המידע בארגון – לחצו כאן

כל מה שצריך לדעת על תהליך ההסמכה לתקן ISO 27001 – לחצו כאן

לקריאת המתודולוגיה של ISO 27001 לחצו כאן

למאמרים על ISO 27001 לחצו כאן

 

על מי חל תקן 27018 ISO?

התקן חל על ארגונים מכל הסוגים והגדלים, לרבות חברות פרטיות וציבוריות, ישויות ממשלתיות וארגונים ללא כוונת רווח, המספקים ללקוחותיהם שירותי עיבוד מידע מזהה אישי באמצעות שימוש במחשוב ענן. בנוסף, התקן מתאים גם לארגונים הפועלים כבקרי מידע מזהה אישי (בקר PII).

חשוב לדעת כי בקרי מידע מזהה אישי כפופים לתקנות וחובות נוספים שאינם חלים על מעבדי מידע מזהה אישי (מעבד PII). ייתכן כי לקוח שירות ענן שהוא גם בקר PII יהיה כפוף למערכת חובות ותקנות רחבה יותר המסדירה את הגנת מידע מזהה אישי.

 

מה ההבדל בין בקר PII למעבד PII?

מעבד (PII (Processor מעבד נתונים שהוגדרו על ידי לקוח שירות הענן בלבד (בקר PII).

בקר (PII (Controller קובע את אמצעי האיסוף והעיבוד של המידע ואת מטרת השימוש בו.

 

מהם היתרונות בהטמעת תקן 27018 ISO?

  • הסמכה לתקן ISO 27018 מוכיחה שהארגון מאבטח ושומר על המידע המזהה האישי של הלקוח (PII) המאוחסן בשרתים הווירטואליים
  • עמידה בתקן מאפשרת לפנות לשווקים בינלאומיים ולעבוד עם משרדי הממשלה והחברות הגדולות במשק
  • עמידה בדרישות החוקים, תקנות הגנת הפרטיות ורגולציית הגנת הפרטיות GDPR בעיקר בנושאי ענן, מעמידה את הספק במיצוי יכולות אבטחת המידע שלו וגורמת לשינוי טכני חשוב שבא לידי ביטוי בשיחזור נתונים, גיבוי חכם והצפנה של ה-PII.

למאמרים על תקנות הגנת הפרטיות לחצו כאן

למאמרים אודות רגולציית הגנת הפרטיות GDPR לחצו כאן

  • בקרה על אי זליגת המידע (DLP), מניעת שימוש במאגרי מידע לצורכי שיווק והקפדה על פרטיות מאגרי המידע המאוחסנים ב-Cloud מונעות זליגת מידע רגיש של הארגון ומצמצמות הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע וכו'.

 

בקרות חדשות לפרטיות בענן:

ISO 27018 מפרט את הבקרות הנוספות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים האישיים בענן:

  • הגדרת גישה לנתונים ללקוחות ומחיקתם
  • הגבלת האפשרות לעיבוד הנתונים רק למטרה שלשמם סיפק הלקוח
  • איסור שימוש ואיסוף נתונים למטרות שיווק ופרסום
  • מינוי POC (מעבד המידע האחראי) בארגון של הספק להתנהלות שוטפת מול הלקוח
  • מתן הודעה מוקדמת ללקוח במקרה של בקשה לחשיפת נתונים
  • ניהול מסמכים בהתאם למדיניות ונהלים בענן
  • יצירת נהלים והסכמי סודיות מחמירים לעובדים בעלי גישה לנתונים אישיים בענן
  • הגדרת נוהל לשחזור נתונים
  • ניהול בקרת גישה קפדנית לנחשפים למידע האישי בענן
  • הגדרת תאימות לרגולציה ודרישות חוזיות בין מעבד המידע ללקוחותיו
  • ניהול ניוד המידע מאתרים גיאוגרפיים שונים בהם נמצא המידע
  • הצפנת מידע אישי בענן
  • ביצוע מספר גיבויים פיזיים/לוגיים
  • הגדרת מדיניות למחיקת מידע אישי מהגיבויים
  • הגדרת מנגנון תיעוד של הכנסה והוצאת מדיות פיזיות המכילות מידע אישי (תאריך, שעה, פרטי המשתמש שניגש למידע, סוג מדיה)
  • נוהל למחיקת מידע והשמדת מדיה פיזית המכילים נתונים אישיים בהתאם לחוקי הפרטיות ועוד.

 

מדוע כדאי להטמיע תקן ISO 27018 בנוסף לתקן ISO 27001?

ספקים אשר מספקים ללקוחותיהם שירותי ענן, נשאלים רבות כיצד המידע האישי של לקוחותיהם מוגן מפני פרצות אבטחה?

הטמעת תקן ISO 27001 לאבטחת המידע הינו פתרון נכון לשמירת אבטחת המידע בארגון.

למרות זאת, כיום עמידה בתקן ISO 27001 בלבד אינו מספיק, וספקים רבים בתחום שירותי הענן, המשמשים כמעבדי PII מחויבים לעמוד גם בתקן ISO 27018 בכדי לוודא כי המידע האישי מאוחסן בענן מוגן בצורה אופטימלית.

לקבלת מידע טלפוני אודות תקן ISO 27018 לחצו כאן או התקשרו ל- 03-9550222

בסוף התהליך תקבלו גם:

  • סקר סיכונים מקיף לאבטחת המידע שלכם
  • נוהל חירום המטפל באירועי אבטחת מידע בענן
  • מנגנון בקרה מובנה ומסודר לניהול אבטחת המידע ב-CLOUD
  • נהלי שמירה על פרטיות המידע בארגון

היתרונות שלנו

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.

מעוניינים לקבל ייעוץ להטמעת תקן
ISO 27018 - תקן לניהול אבטחת המידע בענן?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!

  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תהליך הטמעת תקן ISO 27018

  1. 1

    פגישת היכרות והבנת התהליכים

    אבחון החברה, היכרות, מיפוי תשתיות פיזיות ולוגיות ואפיון תכנית עבודה ולוחות זמנים לפרויקט.
  2. 2

    כתיבת נהלים והוראות עבודה מקצועיות (SOA)

    במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב, לדוגמה: כתיבת נהלי הרשאות, עדכון וכתיבת אחריות וסמכות. כתיבת נהלי רשומות כוח אדם וקליטת כוח אדם ונהלי רשומות עסקיות. כתיבת הוראות עבודה לאבטחה פיזית (נעילת משרד, שולחן נקי, נעילת מחשבים אוטומטית) ולאחזקת תשתיות (שרתים, מצלמות מעגל סגור ועוד). כתיבת הוראות עבודה לאבטחה מקוונת (סיסמאות Wifi, ניהול סיסמאות ורענון).
  3. 3

    הטמעת דרישות התקן

    נקסטפ מבצעת עבורכם סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת עובדים בנושאי אבטחת מידע, כתיבת מדיניות והצהרת ישימות, בקרת איכות לספקים, תיעוד ובקרות ועוד.
  4. 4

    סקר הנהלה ומבדק פנימי

    ההכנה כוללת ביצוע והכנת סקר הנהלה וביצוע מבדקים פנימיים בכל הארגון, מיפוי הפערים החסרים ותיקונים לפני המבדק.
  5. 5

    מבדק חיצוני ע"י מכון ההתעדה

    המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27018, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומתן מענה לאי התאמות שעלו ממבדק ההסמכה וביצוע פעולות מתקנות.
  6. 6

    קבלת תעודות ISO 27018

    הנפקת תעודות הסמכה ע"י מכון ההתעדה הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).
לקבלת ייעוץ בהטמעת התקן

נושאים נוספים שיעניינו אותך

אבטחת מידע והגנת הפרטיות

חטיבת אבטחת המידע בחברת Nextep הוקמה בשנת 2013, החטיבה מספקת...

האם ניתן לקבל הסמכת GDPR?

החובות שנקבעו במסגרת ה - GDPR

GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת

המתודולוגיה של ISO 27001

ביצוע מבדק חדירה – מבדק חוסן – PT) Penetration Test)

CISO as a service - ממונה אבטחת מידע

DPR – Data Protection Representative

DPO – Data Protection Officer

אבטחת מידע בארגון - כל מה שצריך לדעת

CCPA – חוק הגנת פרטיות הצרכן בקליפורניה

ההבדל בין Data Processor ו-Data Controller?

הרשות להגנת הפרטיות | מחלקת אכיפה‎

החובות החלות על בעל מאגר מידע

SOC2

ניהול אבטחת שרשרת האספקה

הרשות לניירות ערך: גילוי בנושא סייבר

סקר תהליך

סקר ספק

לקוחות מספרים

חברת Nextep ביצעה עבודה מקצועית ויעיליה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.  
מנרב הנדסה | חברת הייזום והבנייה הגדולה בישראל
חברת Nextep מסייעת לנו בניהול מערך איכות הסביבה בשנה ה-6 ברצף, ביחד ביצענו עשרות סקרי סביבה באתרי הרשות השונים, וגרמנו להתייעלות סביבתית במשרדי הרשות בנתב"ג.
רשות שדות התעופה | אחת מהרשויות הממשלתיות הגדולות במדינה
חברת Nextep מלווה את המכללה הלאומית לשוטרים בשנים האחרונות בתהליכים מקצועיים כגון בקרת הדרכה'  ובצורה יוצאת מן הכלל ומובילה תהליכי שיפור רבים בעבודה השוטפת.
המכללה הלאומית לשוטרים בישראל | מרכז ההדרכה החדש שהוקם בבית שמש

מעוניינים לקבל ייעוץ להטמעת תקן
ISO 27018 - תקן לניהול אבטחת המידע בענן?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!

  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27001

תקן לניהול אבטחת המידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.
למידע נוסף

ISO 27799

תקן לניהול אבטחת המידע הרפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.
למידע נוסף

HIPAA

רגולציה אירופאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.
למידע נוסף

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.
למידע נוסף

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.
למידע נוסף

ISO 27017

תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.
למידע נוסף

ISO 27032

תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר –  Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.
למידע נוסף

2019:ISO 27701

תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.
למידע נוסף