ISO 27001, התקן הבינלאומי לאבטחת מידע, מהווה ככלי מנחה, בו משתמשים ארגונים ברחבי העולם כדי להגן על הנתונים הרגישים שלהם ולהבטיח את שלמות מערכות המידע שלהם. מדובר על תקן ניהולי, אשר מסייע לארגונים לבסס תהליכים ארגוניים לניהול מוגדר של אבטחת מידע, הגנת פרטיות והגנת סייבר.

        קרדיט: freepik

מבוא ל-ISO 27001

ISO 27001  נועד לעזור לארגונים להקים, ליישם, לתחזק ולשפר ללא הרף מערכת ניהול אבטחת מידע (ISMS). זה חיוני לארגונים העוסקים במידע רגיש, כגון נתונים אישיים, רשומות פיננסיות, מידע עסקי וקניין רוחני, או לחילופין לארגונם אשר מספקים שירותים המבוססים על מערכות מידע, שאם ייפגעו ימנעו מהארגון לתת שירות ללקוחותיו (תכל'ס, יש ארגון בימינו שלא בהגדרה הזאת?)

התקן מחולק למספר סעיפים, אשר מגדירים כללים מנחים למסגרת ניהולית. חשוב להבין שלא מדובר על תקן טכני קונקרטי, כלומר הוא לא מגדיר שכל ארגון נדרש להטמיע אנטיוירוס, או כל כלי הגנה אחר. אלא, הוא מגדיר מתודולוגיה ארגונים לנהל סיכונים. על כן, כדי להתאים את דרישות התקן לצרכי הארגון, נדרשת מומחיות בתחום אבטחת מידע, להיכרות מעמיקה עם סיכוני הסייבר השונים.

כדי ליישם את התקן, נדרש להתמקד במספר תחומים עיקריים:

ההקשר של הארגון

ארגונים חייבים לזהות גורמים פנימיים וחיצוניים שעשויים להשפיע על ה-ISMS (Information security management system) שלהם. זה עוזר בהתאמת אמצעי אבטחה לסיכונים ולנסיבות ספציפיות. לדוגמא, יש לזהות האם יש דרישות רגולטוריות שחלות על הארגון, כדוגמת תקנות הגנת הפרטיות, או דרישות קונקרטיות לדוגמא מצד הלקוחות.

מנהיגות

מחויבות מנהיגותית היא חיונית. ההנהלה הבכירה חייבת לתמוך באופן אקטיבי ב-ISMS, לקבוע מדיניות אבטחת מידע ולהקצות תפקידים ואחריות. למשל מינוי ממונה אבטחת מידע הוא חיוני כדי לבסס תהליכים ארגוניים, עליו להיות כשיר ובעל היכרות עם תחומי הגנת המידע. אך מינוי לא מספיק, יש להטמיע שגרות ארגוניות כדוגמת ועדות היגוי כדי לנטר באופן רציף את ביצועי התחום.

תכנון

תחום זה עוסק בהערכת סיכונים ותכנון טיפול. ארגונים חייבים לזהות ולהעריך סיכונים לאבטחת מידע ולפתח תוכנית טיפול בסיכונים כדי להפחית אותם. ניתן לבצע סקר סיכונים כדי לאתר את נקודות התורפה בארגון, בשילוב כלים טכנולוגיים ובחינה מתודולוגית ע"י אנשי מקצוע. אחד הכלים הנפוצים לאיתור פרצות הוא מבדק חדירות ( Penetration test ), בו מבוצעת סימולציה של תקיפה של הארגון ע"י בודק מומחה.

תמיכה

סעיף זה מתאר את הדרישות למשאבים, כשירות, מודעות, תקשורת ומידע מתועד. משאבים מתאימים וכוח אדם מוכשר הם קריטיים לאבטחת מידע יעילה. לאחר זיהוי הסיכונים העיקריים, ונקודות תורפה, הארגון מגדיר את המעטפת הטכנולוגית להגנה על העסק- בתחום זה מגוון הפתרונות רחב וחשוב להבין מה כלי ההגנה האופטימליים בהתאמה לפעילות הארגון.

תפעול

הפעולות כוללות הערכת סיכונים וטיפול, כמו גם יישום בקרות להפחתת סיכונים שזוהו. ניטור ומדידה הם חיוניים כדי להבטיח שהבקרות יעילות. אין להניח שבכך שרכשנו כלי הגנה סיימנו את העבודה. מדובר על מערכות שנדרשות בבקרה, התאמה ותפעול שוטף, וחיוני להגדיר נהלים מסודרים בארגון לטובת הניהול השוטף של התחום.

הערכת ביצועים

ארגונים חייבים להגדיר תכנית בקרות שנתית, למדוד, לנתח ולהעריך את הביצועים של ה-ISMS שלהם. ביקורות וסקירות סדירות חיוניות לשיפור. הגדרת נוהל עבודה היא הבסיס, אך ללא בקרה מסודרת אין וודאות שאכן התהליך מתקיים בפועל.

שיפור

עולם אבטחת מידע מתעדכן ומתפתח ללא הרף- גם מצד התוקפים וגם מצד ההגנה. כלים וטכניקות תקיפה מפותחים כל העת, וארגון שאינו יודע לעדכן את מערך ההגנה שלו, נשאר חשוף ומיושן. לכן יש לשאוף לשיפור מתמיד. ארגונים צריכים לנקוט בפעולות מתקנות ומנעות כדי לטפל באי-התאמות ולשפר את ה-ISMS ללא הרף.