לשיחה עם מומחה

השירותים שלנו

ISO 27002 – תקן הנחיות אבטחת מידע

ארגונים רבים מחפשים דרך פרקטית לבנות בקרות אבטחת מידע עקביות, מדידות וישימות, בלי להסתפק בהצהרות כלליות.

באינפוגארד אנו מלווים אתכם ביישום ISO/IEC 27002:2022, תקן שמרכז בקרות מומלצות והנחיות יישום, כדי להקים מעטפת אמיתית של מדיניות, תהליכים, הרשאות, ניטור וניהול אירועים. מעבר לבניית התשתית, אנחנו דואגים שהבקרות יהיו מוטמעות בשגרה וניתנות להוכחה באמצעות ראיות, מדדים ותיעוד שמחזיקים בביקורת ובתהליכי Vendor Risk.

במידת הצורך, אנו מחברים את היישום למסלול מסודר שמוביל גם להסמכת ISO/IEC 27001, שהיא ההסמכה הרשמית לעולמות ISMS.

בואו להכיר את הליווי מקצה לקצה שלנו ליישום הנחיות תקן ISO 27002 והסמכת ISO27001

ISO 27002 ICONיישום ISO/IEC 27002 – בקרות אבטחת מידע שעובדות באמת

ממסמך מדיניות לבקרות ישימות, מדידות וניתנות להוכחה בשגרה ובביקורת

ארגונים רבים רוצים לחזק את אבטחת המידע בפועל, אבל נתקעים בין דרישות כלליות לבין יישום שלא מחזיק לאורך זמן. ISO/IEC 27002:2022 מספק “ספר בקרות” מעשי שמתרגם עקרונות אבטחה לבקרות ותהליכים ברורים בתחומי הרשאות, תפעול, ספקים, ניטור ותגובה לאירועים.

באינפוגארד אנו מלווים אתכם בבחירת הבקרות הנכונות לפי סיכון וצרכים עסקיים, בהטמעה בשגרה ובהקמת תיק ראיות (Evidence) שמאפשר להציג שליטה בביקורות ובתהליכי Vendor Risk, ובמידת הצורך, לחבר את היישום למסלול הסמכה מסודר ל-ISO/IEC 27001.

מה זה ISO/IEC 27002?

תקן המלצות והנחיות לבקרות אבטחת מידע, כחלק ממערכת ניהול אבטחת מידע (ISMS).

ISO/IEC 27002 הוא תקן בינלאומי שמספק הנחיות ופרקטיקות מומלצות (Best Practices) לבחירה, יישום ושיפור בקרות אבטחת מידע במסגרת ISMS.

הוא משלים את ISO/IEC 27001 שמגדיר את דרישות ה-ISMS, ומתרגם אותן לבקרות ישימות בתחומים כמו:

  • Access Control
  • Cryptography
  • Human Resource Security
  • Incident Response

למי ISO 27002 IEC רלוונטי?

לארגונים שרוצים בגרות בבקרות, וגם למי שמקדם מסלול הסמכה.

  • ארגונים שמתכננים הסמכת ISO/IEC 27001 ורוצים לקצר זמן ולצמצם פערים

  • ארגונים שמקבלים דרישות אבטחה מלקוחות (Vendor Risk) ורוצים סט בקרות עקבי

  • חברות SaaS, פינטק, בריאות, תעשייה וארגונים עם מידע רגיש

  • ארגונים שמבקשים להקים ISMS או לשדרג אותו לגרסת 2022

 האם קיימת הסמכה ל ISO/IEC 27002 – חשוב להבהיר!

ISO/IEC 27002 אינו תקן להסמכה, הוא תקן הנחיות, ההסמכה מתבצעת מול ISO/IEC 27001.

בפועל, לא ניתן לקבל הסמכה רשמית (Certification) לתקן ISO/IEC 27002, מכיוון שהוא תקן המלצות והנחיות ליישום בקרות.
ההסמכה הפורמלית נעשית מול ISO/IEC 27001, כאשר ISO/IEC 27002 משמש מקור מרכזי לבחירת הבקרות והטמעתן.

מה חדש ב ISO/IEC 27002:2022?

מבנה מודרני של בקרות, שמקל על בעלות, אחריות ודיווח.

בגרסת 2022, סט הבקרות עוגד סביב 4 אשכולות מרכזיים (Themes) שמסייעים להקצות אחריות ולבנות תכנית יישום ברורה:

  1. Organizational
  2. People
  3. Physical
  4. Technological

בנוסף, גרסת 2022 מתייחסת לשינויים בסביבה המודרנית, כולל דגשים כמו Threat Intelligence ו-Cloud Security.

Key Aspects לפי מבנה 2022

ארבעה אשכולות בקרות, כולל המונחים באנגלית, שמכסים את כל שכבות הארגון.

  • בקרות ארגוניות (Organizational Controls)
    ממשל, מדיניות, ניהול סיכונים, ניהול ספקים, ניהול נכסים ותהליכים רוחביים.

  • בקרות אנשים (People Controls)
    היבטי HR, מודעות והדרכות, אחריות תפקידית, והתנהלות משתמשים.

  • בקרות פיזיות (Physical Controls)
    הגנות סביב מתקנים, חדרי שרתים, ציוד קצה, בקרת כניסה וניטור פיזי.

  • בקרות טכנולוגיות (Technological Controls)
    הקשחות, ניהול זהויות והרשאות, הצפנה, אבטחת רשת, לוגים וניטור, Secure Coding ועוד.

כיצד ISO 27002 מתחבר ל ISO/IEC 27001?

ISO/IEC 27001 מגדיר מה צריך להיות ב ISMS, ISO/IEC 27002 מסביר איך ליישם בקרות בפועל.

כאשר ארגון שואף להסמכת ISO/IEC 27001, הוא נדרש להראות מערכת ניהול אבטחת מידע, ניהול סיכונים, בחירת בקרות ויישום עקבי.
ISO/IEC 27002 מספק את ספר הבקרות וההנחיות שמאפשר לתרגם את הדרישות לתהליכים, נהלים ובקרות, ולהציג ראיות תפעוליות לביקורת

מה מה יכול לכולל הליווי של Infoguard ליישום ISO/IEC 27002

מסלול מעשי של 7 שלבים פשוטים, שמתחיל במיפוי סיכונים ונגמר בבקרות מתפקדות ותיק תיעוד.

  1. Scoping והגדרת גבולות: יחידות, מערכות, ענן, ספקים ונכסים קריטיים
  2. Gap Analysis מול ISO/IEC 27002:2022, כולל תעדוף לפי סיכון והשפעה
  3. בחירת בקרות ותכנון יישום לפי צרכים עסקיים, מידע רגיש ודרישות לקוח
  4. כתיבת מדיניות ונהלים והטמעה בתהליכי עבודה (IAM, Change, Incident, Supplier ועוד)
  5. בנייה של תיק ראיות: תיעוד, רישומים, דוחות, לוגים, פרוטוקולים ומדדים
  6. ביקורות פנימיות (Internal Audits) ושיפור מתמיד כחלק מהבשלה
  7. מוכנות ל ISO/IEC 27001 במידה ונדרש, כולל התאמות לדרישות ההסמכה והכנה לביקורת חיצונית

תוצרים אופייניים בפרויקט

מה תקבלו כדי להפעיל, למדוד ולהציג את הבקרות.

  • דו״ח פערים ותכנית עבודה מתועדפת
  • סט מדיניות ונהלים מותאם לארגון
  • מטריצת בקרות: בעלות, תדירות, ראיות ו KPI
  • תיק ראיות (Evidence Pack) לפי בקרות ותהליכים
  • תכנית מודעות והדרכות לפי קהלי יעד
  • דוח ביקורת פנימית והמלצות לשיפור

האם אפשר “לעמוד ב ISO 27002” בלי ISO 27001?
כן, אפשר ליישם בקרות ISO/IEC 27002 כחלק משיפור אבטחה פנימי או דרישות לקוח, גם בלי ללכת להסמכה. ההסמכה הרשמית מתבצעת מול ISO/IEC 27001.

האם היישום עוזר לרגולציות פרטיות ודרישות חוזיות?
ISO/IEC 27002 מסייע לבנות בקרות שמחזקות ניהול סיכונים, הגנות גישה, ניטור ותגובה, והוא יכול לתמוך בהקשרים של דרישות משפטיות ורגולטוריות בהתאם להקשר הארגוני.

רוצים לבנות בקרות ISO 27002 בצורה ישימה, ולהבין אם נכון להתקדם להסמכת ISO 27001?

נשמח לעשות שיחת מיפוי קצרה כדי להבין את סוגי המידע, המערכות והסיכונים המרכזיים, ולאחר מכן נציע לכם מסלול יישום ברור לפי ISO/IEC 27002:2022. תקבלו תכנית עבודה מתועדפת, תוצרים נדרשים ותמונה ברורה האם וכיצד לחבר את התהליך להסמכת ISO/IEC 27001.

Share
יצירת קשר

שלחו לנו הודעה ונדאג לחזור אליכם בהקדם.

  • כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סניטריזציה והלבנת קבצים (CDR): להפוך "קובץ נכנס" לקובץ בטוח

קבצים נכנסים מגיעים ממייל, הורדות, העברות ו-USB, ולכולם יש פוטנציאל לשאת קוד זדוני שמופעל ברגע פתיחה. הגישה “detection-less”, שבה מנגנון CDR מאמת את מבנה הקובץ ברמת הבינארי, מנטרל רכיבים זדוניים
קראו עוד
  • אבטחת מידע, כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סקרי ציות

ארגונים רבים כגון בתי השקעות, בנקים וגופים נוספים תלויים במתן רישיונות ובפיקוח שוטף של רגולציה כזו או אחרת מצד הרגולטור. הוראות החוק הינן נוקשות, כמו גם החוזרים והנחיות הרגולטור. בד

קראו עוד
computer with a lock
  • אבטחת מידע, כל המאמרים

5 דק׳ קריאה

אבטחת מידע ושירותי סייבר לעסקים

התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק המחובר לרשת האינטרנט ולא משנה מה גודלו. פריצה לרשת המחשוב

קראו עוד

כל השירותים

שירותים נוספים שיכולים לעניין אותך
GRC

GRC – Governance, Risk & Compliance

עם שירות ה-GRC של Infoguard תהפכו דרישות תקינה ורגולציה לשגרה מנוהלת: סיכונים מתועדפים, בקרות עובדות, ו-Evidence שמוכיח עמידה בכל ביקורת.
מידע נוסף
אייקון תעודת מבחן

סקר הקשחות אבטחת מידע

סקר הקשחות לתשתיות, ענן, שרתים ועמדות קצה, כולל Application Security Assessment. דוח ממצאים ותכנית תיקון ישימה.
מידע נוסף
אייקון תעודת מבחן

סקרים באבטחת מידע והגנת הפרטיות

מגוון סקרי סקירה והערכה של אינפוגארד: הקשחה, תשתיות, ענן, אפליקציות ופרטיות, לבניית תמונת מצב ותכנית פעולה.
מידע נוסף

שירותי הגנה ותקיפה

כל שירותי אבטחת המידע, שלנו באינפוגארד. מסקרי הקשחה והערכות סיכונים, תקינה ורגולציה, ועד תרגולים ומבדקי חדירה, אנחנו כאן לספק את הפתרון המדוייק לארגון שלכם.
מידע נוסף
אייקון תעודת מבחן

סקר פערים Security GAP Assessment באבטחת מידע וסייבר

סקר פערים (GAP) באבטחת מידע מציג איפה אתם עומדים מול דרישות יעד, ומה צריך לסגור – עם תעדוף ותוכנית עבודה ישימה.
מידע נוסף

SOC As A Service – מוקד מנוהל לאיומים סייבר

SOC as a Service של אינפוגארד מעניק מוקד SOC מנוהל שמנטר, מנתח ומתעדף אירועי סייבר, עם עבודה על גבי המערכות שלכם ותוצרים מדידים.
מידע נוסף

בדיקת חדירה תשתיתית Infrastructure Penetration Testing

בדיקת חדירה תשתיתית שמדמה תקיפה אמיתית כדי לגלות איך אפשר להיכנס לרשת, להתקדם פנימה ולהגיע לנכסים קריטיים ומה לתקן קודם.
מידע נוסף
WALL ICON

בדיקת חדירה אפליקטיבית Application Penetration Testing

Application Penetration Testing מבדק חדירה אפליקטיבי שמגלה חולשות ניתנות לניצול באפליקציות Web/API ומתרגם אותן לתכנית תיקון יעילה וישימה.
מידע נוסף
אייקון הדרכות

BCP – Business Continuity Plan

שירות BCP של Infoguard בונה תוכנית המשכיות עסקית ישימה, מתורגלת ומדידה שמחברת אנשים, תהליכים וטכנולוגיה לרציפות אמיתית בזמן שיבוש.
מידע נוסף
ISO ICON

ISO 27799 – תקן אבטחת מידע לארגוני בריאות

שירות ISO 27799 של Infoguard מספק ליווי מקצועי ליישום בקרות אבטחת מידע בעולם הבריאות, עם תשתית תפעולית ותיעוד שמאפשרים בקרה ושיפור מתמשך.
מידע נוסף

SIEM SOC מנוהל – ניטור ותגובה לאיומים סייבר

שירות SIEM/SOC מנוהל שמתרגם לוגים והתראות ליכולת תפעולית אמיתית של ניטור, תחקור ותגובה, עם אפשרות לניהול כל מערכת SIEM באמצעות צוות אנליסטים מקצועי.
מידע נוסף
ISO ICON

ISO Compliance – תקינה בעולמות אבטחת המידע

ייעוץ וליווי לתקני ISO/IEC באבטחת מידע במגוון סקטורים: בחירת התקן הנכון, יישום בקרות וניהול סיכונים, והיערכות לביקורות ולהסמכה.

מידע נוסף
ISO 27001

ISO 27001 – תקן לניהול אבטחת מידע

המטרה שלנו ב-Infoguard היא להוביל את הארגון להסמכה לתקן ISO 27001 בצורה מסודרת, יעילה ומוכחת, עם תהליך שמסתיים לא רק בתעודת הסמכה, אלא בנהלים, תרבות ומערכת ISMS שעובדת בפועל.
מידע נוסף
ccpa cpra - ICON

CCPA | CPRA – מדיניות הגנת הפרטיות בקליפורניה

CCPA/CPRA הם סטנדרט שוק בקליפורניה בנושאי תקנות וחוקי הגנה על הפרטיות ומהווים כוכב צפון גלובלי.
מידע נוסף
PIA ICON

PIA – תסקיר פרטיות למיפוי וניהול סיכונים

תסקיר פרטיות (PIA) של Infoguard הוא הדרך הפרקטית לזהות ולצמצם סיכוני פרטיות בעיבוד מידע אישי – עם דו״ח ותכנית פעולה ישימה שמוכנים גם לביקורת וגם להטמעה.
מידע נוסף

DPO as a Service – הגנת פרטיות במיקור חוץ

שירות DPO במיקור חוץ של אינפוגארד לניהול פרטיות מקצה לקצה: ממשל ותיעוד, ספקים והעברות מידע, הדרכות ובקרה רציפה, בהתאמה לתיקון 13 ו GDPR.
מידע נוסף
הגנת הפרטיות תיקון 13 אייקון

חוק הגנת הפרטיות ותיקון 13

Infoguard עוזרת לארגונים לעמוד בתיקון 13 בצורה יישומית ומוכנה לאכיפה – עם מיפוי, מדיניות פרטיות, DPO, נהלים והטמעה תפעולית.
מידע נוסף

Cyber Security Services for organizations

שירותי אבטחת מידע וסייבר לעסקים: הגנה היקפית, ניטור והתראה, הצפנה, מבדקי חדירה (Pen Testing), פישינג ומודעות עובדים, וייעוץ טכנולוגי להטמעת מערכות הגנה.

מידע נוסף
WALL ICON

Penetration Testing – מבדקי חדירה

מבדקי חדירה Pen Testing / Penetration Testing לתשתיות, אפליקציות וענן. סימולציית תקיפה אמיתית, דוח מנהלים, ממצאים לפי חומרה והמלצות ישימות. אינפוגארד.
מידע נוסף
אייקון הדרכות

Phishing – הדרכות ותרגילי פישינג

פישינג הוא עדיין הדרך המהירה ביותר לחדור לארגון דרך העובדים. אנחנו באינפוגארד מפעילים הדרכות ותרגולי פישינג מתקדמים שמדמים תרחישי אמת אצלכם, מודדים תוצאות ומשפרים התנהגות לאורך זמן.
מידע נוסף
אייקון הדרכות

מודעות עובדים לאבטחת מידע

אנחנו באינפוגארד בונים ומעבירים הדרכות מודעות עובדים שמחזקות את קו ההגנה הראשון בארגון. אנחנו משלבים הדרכה פרונטלית ותכני E-Learning עם סימולציות פישינג ותרגול מצבי אמת, כדי לצמצם טעויות אנוש ולשפר דיווח מהיר. לאורך הדרך אנחנו מודדים מגמות, מזהים נקודות חולשה חוזרות ומבצעים התאמות שמייצרות שיפור עקבי. בסוף אתם מקבלים תכנית מודעות מסודרת, תוצאות מדידות ותרבות אבטחה חזקה יותר.
מידע נוסף
אייקון תעודת מבחן

סקר סיכוני אבטחת מידע

אנחנו באינפוגארד מבצעים סקר סיכונים וסקר פערים לאבטחת מידע, מקצה לקצה.
אנחנו ממפים חולשות, מדרגים סיכון, ומתרגמים הכול לתכנית עבודה ישימה.
אתם מקבלים דוח ברור, סדר עדיפויות, וליווי עד סגירת פערים.
מידע נוסף

ייעוץ אבטחת מידע לפי דרישה

ייעוץ אבטחת מידע ופרטיות לפי דרישה עם תוצרים וליווי עד יישום בפועל.
מידע נוסף

CISO as a Service – ניהול אבטחת מידע במיקור חוץ

מנהל אבטחת מידע במיקור חוץ עם אחריות כוללת, תוכנית עבודה, ניהול סיכונים וליווי תקנים. התחילו בשיחת מיפוי ראשונית.

מידע נוסף
medal- 1 ICON

NIST CSF ו-NIST 800-171

ליווי לעמידה ב-NIST CSF ו-NIST 800-171 לשוק הפדרלי בארה״ב: מיפוי CUI, סקר פערים, הטמעת בקרות ואיסוף Evidence לביקורת.
מידע נוסף
אייקון תעודת מבחן

SOC 2 – תקן אמריקאי לבקרה על אבטחה מידע והגנת פרטיות

שירותי SOC 2 של Infoguard מספקים מסלול מוכנות מקצה לקצה, עם בקרות, תיעוד ו-Evidence מסודר שמאפשרים להיכנס לביקורת בביטחון ולהציג ללקוחות הוכחה ברורה לניהול סיכונים.
מידע נוסף
HIPPA ICON

HIPPA – הגנת פרטיות ואבטחת מידע לארגוני בריאות בארה"ב

שירות HIPAA של Infoguard מספק ליווי מקיף לבניית תהליכים, בקרות ותיעוד להגנה על PHI/ePHI ולהיערכות לתגובה ודיווח לאירועים, בהתאם לדרישות השוק האמריקאי.
מידע נוסף
אייקון pci dss

PCI DSS – דרישות אבטחה וסליקה של חברות אשראי

ליווי מקצועי לעמידה בתקן PCI DSS – ממילוי SAQ שנתי ועד הכנה לאימות/הסמכה, עם מיפוי פערים, תכנית סגירה ותמיכה מלאה לאורך התהליך.
מידע נוסף
GDRP ICON

GDPR – תקנות הגנת הפרטיות של האיחוד האירופי

שירות GDPR של Infoguard מספק ליווי מקצה לקצה להפיכת דרישות ה-GDPR לתהליכים, מסמכים ובקרות מעשיות שמייצרות מנגנון הגנה על פרטיות לאורך זמן.
מידע נוסף
לשיחה עם מומחה