ייעוץ וליווי להסמכה לתקן אבטחת מידע ISO 27001

הסמכה לתקן ISO 27001 היא דרך להפוך את אבטחת המידע מאוסף פעולות נקודתיות למסגרת ניהולית ברורה שמייצרת אמון מול לקוחות ושותפים, עומדת בדרישות מכרזים ורגולציה, ומוכיחה שליטה אמיתית בסיכונים.

באינפוגארד אנחנו מובילים אתכם בתהליך מקצה לקצה: תיחום ה-ISMS והאחריות, ניהול סיכונים, כתיבת מדיניות ונהלים, יישום בקרות והטמעה בשטח, ועד הכנה ממוקדת וליווי מלא במבדקי ההסמכה מול גוף התקינה.

כך אנו מגיעים להסמכת ISO בצורה מסודרת, בלי לשתק את העבודה השוטפת, ובונים מערכת אבטחת מידע שמחזקת את הארגון ומחזיקה לאורך זמן.

מהו תקן ISO 27001 ומדוע הוא נחשב לתקן אבטחת מידע מרכזי?

מסגרת בינלאומית לניהול מערכת אבטחת מידע, ISMS, שמבוססת ניהול סיכונים ושיפור מתמיד

ISO 27001 הוא תקן בינלאומי שמגדיר כיצד ארגון מקים ומנהל מערכת ניהול אבטחת מידע, ISMS, בצורה עקבית ושיטתית. הוא מתמקד בזיהוי וניהול סיכונים, הגדרת יעדים, בחירת בקרות מתאימות, תיעוד, בקרה ושיפור מתמיד, כדי להבטיח סודיות, שלמות וזמינות של מידע. התקן מתאים לכל ארגון ומאפשר להוכיח מחויבות לניהול אבטחת מידע בצורה יעילה ומבוקרת.

תקן אבטחת מידע ISO 27001 נשען על שלושה עקרונות יסוד שמגדירים מהי הגנה נכונה על מידע בארגון:

1. סודיות המידע מבטיחה שרק גורמים מורשים יקבלו גישה למידע בהתאם להגדרות הארגון
2. זמינות המידע מבטיחה שהמידע והמערכות יהיו נגישים באופן רציף לבעלי הרשאה בזמן הנכון
3. שלמות המידע מבטיחה שהמידע יישאר מדויק, עקבי ומוגן מפני שינוי לא מורשה.

שלושת העקרונות האלה מהווים את הבסיס לניהול סיכונים, לבחירת בקרות ולבניית ISMS שמחזיק גם ביום יום וגם במבדקי תקן ISO.

התקן עודכן למהדורת ISO 27001:2022, ובהתאם גם מדריך הבקרות ISO 27002 עודכן
ואנחנו בInfoguard מלווים גם ארגונים שנדרשים לשדרוג או התאמה לגרסה החדשה כחלק מתהליך ההסמכה או תחזוקת התקן.

מדוע הסמכה לתקן ISO וחיזוק אבטחת המידע הופכת ליתרון עסקי

עמידה בתקן אבטחת מידע משפרת אמון, מאפשרת מכרזים ומצמצמת סיכונים בפועל.

ארגונים בוחרים הסמכה לתקן ISO 27001 לא רק כדי “לעבור מבדק”, אלא כי התקן מייצר שיטת עבודה שמחזקת את אבטחת במידע ומקטינה חשיפה לאורך זמן. בפועל, זה מתבטא בכמה יתרונות ברורים

1. חיזוק אמון מול לקוחות ושותפים, במיוחד בשאלוני אבטחה ובדיקות ספק
2. יתרון במכרזים ודרישות רגולציות של לקוחות גדולים
3. תיעדוף נכון של השקעות אבטחה, פחות הוצאות מיותרות ויותר בקרה
4. תהליכים סדורים שמחזיקים גם כשיש שינוי, מעבר ענן, או אירוע אבטחה

במקרים רבים התקן ISO מסייע להתאמה לדרישות חוק ותקנות רלוונטיות בישראל, כל עוד הארגון גם מיישם בפועל את דרישות התקן ולא רק מחזיק תעודה.

לא רק ישראל, גם העולם

תקן אבטחת מידע ISO 27001 הוא סטנדרט גלובלי עבור ארגונים שעובדים מול אירופה, ארה״ב או שותפים בינלאומיים. אם אתם פועלים מול לקוחות בחו״ל, ספקים גלובליים או תאגידים שמציבים דרישות אבטחה כתנאי התקשרות, תיתקלו כמעט תמיד בציפייה ליישור קו עם הסמכה לתקן ISO, מבדקי תקן ISO ושגרות ניהול סיכונים מתועדות כחלק מהמציאות העסקית.

גם כשאתם יושבים בישראל, מצפים מכם להוכיח אחריותיות, תיעוד ובקרה מתמשכת, לא רק להצהיר שיש אבטחת מידע. ISO 27001 מספק מסגרת ברורה להקמה והפעלה של מערכת ניהול אבטחת מידע, ISMS, שמאפשרת להציג שליטה בביקורות, בשאלוני ספקים ובדרישות חוזיות.

איך זה מתחבר לאינפוגארד?
עבור מנכ״לים, CTO ומנמ״רים המשמעות פשוטה. נדרש תהליך שמתרגם דרישות גלובליות למערכת ניהול ישימה, עם תיעוד נכון, בקרות מיושמות ותוכנית עבודה שמחזיקה לאורך זמן.

אנחנו בInfoguard מובילים את תהליך ההסמכה לתקן ISO 27001 מקצה לקצה, ומייצרים חיבור בין דרישות התקן, תהליכים ארגוניים ובקרות טכניות בפועל כך שגם ההסמכה לתקן וגם חידוש התקן התקופתי יעברו בצורה חלקה ובטוחה.

מה כוללים מבדקי תקן ISO, ומה נדרש על מנת לקבל הסמכה

שני שלבים עיקריים, שלב מקדים ושלב הסמכה, ולאחר מכן ביקורות תחזוקה

מבדקי תקן ISO 27001 מבוצעים בדרך כלל בשני שלבים מרכזיים

• שלב 1, מבדק מקדים, בדיקת מסמכים ומוכנות
• שלב 2, מבדק הסמכה, בדיקה מעשית של יישום בפועל

אחרי ההסמכה לתקן ISO, ארגונים עוברים מבדקי תחזוקה תקופתיים כחלק ממחזור חיי התקן. לכן אנחנו בונים את המערכת כך שתהיה ניתנת לתחזוקה ולא רק “פרויקט חד פעמי”.

מה בודקים במבדקי תקן ISO, מה באמת נבחן ביום מבדק

התקן מורכב מחלק ניהולי של מערכת ניהול אבטחת מידע, ISMS, ומחלק הבקרות. בחלק הבקרות נהוג להתייחס לקבוצות בקרות מרכזיות כמו בקרות ארגוניות, אנשים ומשאבי אנוש, אבטחה פיזית, ובקרות טכנולוגיות.

ביום מבדק תקן ISO 27001 המבדקים בוחנים בראש ובראשונה האם מערכת ניהול אבטחת המידע שלכם עובדת בפועל, ולא רק כתובה במסמכים.
המטרה היא לוודא שיש שליטה ניהולית, ניהול סיכונים מתועד, ובקרות שמיושמות באופן עקבי לאורך הארגון.

• זיהוי וניהול סיכונים למידע
• בחירת בקרות נחוצות בלבד כדי לא לבזבז תקציב על עודף פתרונו
• תהליכי טיפול ומניעה עקביים ושיטתיים
• יעדים ברורים לאבטחת מידע ותוכנית להשגתם

מתודולוגיה מסודרת שמייצרת תוצרים ברורים, תוך פגיעה מינימלית בעבודה השוטפת

אנחנו באינפוגארד עובדים לפי מתודולוגיית עבודה שנבחנה בפרויקטים רבים, ומתבססת Best Practices מקובלים בעולם ה ISMS. המטרה היא לבצע את התהליך ביעילות ובאפקטיביות, בלי להכביד על הארגון.

NIST ו ISO 27001 מדברים אותה שפה של בקרות וניהול סיכונים

אפשר למפות בין ISO לבין NIST ולבנות תוכנית אחת שמשרתת ביקורות, לקוחות ורגולציה.

ISO 27001 מגדיר מערכת ניהול לאבטחת מידע, בעוד NIST CSF מספק מסגרת תפעולית מבוססת תוצאות (Outcomes) לניהול סיכוני סייבר.
NIST מפרסם Informative References שמאפשרים למפות בין CSF לבין תקנים ומסגרות אחרות. בנוסף, במסגרת תוכנית OLIR קיימת התייחסות רשמית לקשרים בין ISO/IEC 27001:2022 לבין NIST CSF 2.0, מה שמסייע לבנות התאמות בין בקרות ISO לבין קטגוריות ותוצרים של CSF.

אנחנו באינפוגארד משתמשים במיפויים האלה כדי לאחד שפה בארגון, לצמצם כפילויות, ולתת מענה גם לדרישות תקינה וגם לשאלוני אבטחה של לקוחות, על בסיס סט תהליכים ותיעוד אחד.

8 שלבי עבודה מרכזיים להסמכה לתקן אבטחת מידע ISO 27001

1. סקר פערים ותיחום היקף, מה נכנס ל ISMS ומה גבולות האחריות
2. מיפוי נכסים ותהליכים עסקיים, בדגש על מידע רגיש ומערכות קריטיות
3. ניהול סיכונים, בניית תוכנית טיפול בסיכונים, ותיעדוף לפי השפעה עסקית
4. בחירת בקרות והכנת Statement of Applicability, כולל מיפוי מול ISO 27002
5. כתיבה והטמעה של מדיניות, נהלים ותהליכי בקרה, כולל עבודה עם ספקים
6. הדרכות ומודעות, כדי שהיישום יחזיק גם בשטח
7. ביקורות פנימיות, תיקון ליקויים, והכנה ממוקדת למבדקי תקן ISO
8. ליווי במבדק מול גוף ההסמכה, ניהול ממצאים, פעולות מתקנות וסגירה

מה תוכלו לקבל במסגרת ליווי וייעוץ להסמכה לתקן ISO

תוצרים שמאפשרים לכם לנהל תקן ISO לאבטחת מידע לאורך זמן ולשבר אבטחה ולא רק לעבור הסמכה

במסגרת הליווי להסמכה לתקן אבטחת מידע ISO 27001, אנחנו מספקים מעטפת מלאה שכוללת בין היתר תהליך תחזוקה ושיפור מתמיד, כדי שהתקן יחזיק לאורך זמן:

• תיחום היקף ISMS והגדרת אחריות ותפקידים
• מיפוי נכסי מידע ותהליכים עסקיים
• מסמך ניהול סיכונים, תוכנית טיפול, ומעקב ביצוע
• Statement of Applicability, בחירת בקרות והצדקות
• מדיניות אבטחת מידע וסט נהלים תומך, לפי צרכי הארגון
• תהליך ניהול ספקים והתקשרויות בהיבטי אבטחה
• תהליך ניהול אירועים ותגובה, כולל תיעוד ונוהל עבודה
• תוכנית ביקורת פנימית, דוחות ביקורת, ופעולות מתקנות
• הכנה וליווי למבדקי תקן ISO, שלב 1 ושלב 2

למי צריך ISO 27001?

ארגונים שנדרשים להוכיח אבטחת מידע ללקוחות, מכרזים או רגולציה, או כאלה שרוצים להפוך אבטחת מידע לתרבות

הסמכה לתקן ISO 27001 מתאימה כמעט לכל ארגון, אבל היא נפוצה במיוחד כאשר יש

• לקוחות גדולים שמחייבים תקן אבטחת מידע כתנאי התקשרות
• פעילות בינלאומית או עבודה מול שותפים שמצפים לסטנדרט ISO
• מעבר ענן, שימוש נרחב ב SaaS, וריבוי ספקים ושרשרת אספקה
• מידע רגיש, קניין רוחני, מידע לקוחות או מידע אישי בהיקף משמעותי
• צורך פנימי בשגרות בקרה, סדר תיעדוף ומדידה, במקום כיבוי שריפות

ההסמכה קריטית עבור:

• התקן מופיע כתנאי התקשרות חוזי מול גופים ציבוריים, ממשלתיים ותאגידים, ולכן הוא כלי מסחרי לכל דבר
• ארגונים המספקים מערכות מחשוב שמקושרות למערכות ממשלתיות, או מעוניינים למכור שירותים ממוחשבים לממשלה, מחויבים לעמוד בתקן ISO 27001.
• ארגונים המעוניינים לעמוד בסטאנדרט עולמי ועבוד בשוק הגלובלי
• ארגונים המעוניינים להגביר את אבטחת הארגון, לחזק את הסביבה הארגונית ואמון הלקוחות

כמה זמן לוקחת הסמכה לתקן ISO 27001

לרוב מדובר בשבועות עד כמה חודשים, תלוי היקף, מוכנות וזמינות גוף ההסמכה

משך תהליך ההסמכה משתנה לפי גודל הארגון, מספר אתרים, מורכבות מערכות, ריבוי ספקים, רמת תיעוד קיימת וזמינות גוף ההסמכה.
בשוק נהוג לראות טווח של חודש עד שלושה חודשים בארגונים רבים, ולעיתים יותר כאשר ההיקף רחב או כשנדרש יישום משמעותי בשטח.

במקום להבטיח זמנים על הנייר,
אנחנו מעדיפים להציג בשיחה הראשונה מפת עבודה ריאלית, עם אבני דרך, תוצרים ומאמץ נדרש מהארגון, כדי שהתהליך יהיה צפוי ומנוהל.

ISO/IEC 27002 כחלק טבעי מהמסלול ל-ISO/IEC 27001

 ISO 27001 מגדיר את דרישות ה-ISMS, ו-ISO 27002 מספק את “ספר הבקרות” שמתרגם אותן ליישום בפועל.

בתהליך הסמכה ל-ISO/IEC 27001 אנחנו באינפוגארד נשענים באופן שוטף על ISO/IEC 27002 כדי להפוך את דרישות התקן לבקרות ישימות שניתן להטמיע ולתחזק לאורך זמן.
ISO 27001 מגדיר את המסגרת הניהולית, את ניהול הסיכונים ואת החובה לבחור בקרות מתאימות,
ו-ISO 27002 מסייע לבחור, לנסח וליישם את הבקרות בפועל בתחומים כמו הרשאות וגישה (Access Control), ניהול ספקים (Supplier Relationships), ניהול אירועים (Incident Management), אבטחה תפעולית (Operations Security) ועוד.

כך נבנית “שפת בקרות” אחידה בארגון, שמקלה על כתיבת ה-SoA, על איסוף ראיות ותיעוד (Evidence) לביקורת, ועל מעבר חלק יותר ממוכנות להסמכה לתפעול שוטף ושיפור מתמיד.

אבטחת מידע שמחוברת לארגון ולשטח

היתרון שלנו באינפוגארד הוא שאנחנו לא עוצרים במסמכים או בנהלים כחלק מתהליך ההסמכה לתקן ISO 27001.

אנחנו מחברים את ה ISMS לניהול סיכונים בפועל, עם בדיקה שהבקרות מיושמות בשטח, שיש שליטה בהרשאות, שניהול ספקים ושרשרת אספקה מתנהל נכון, ושבזמן שינוי, פרויקט או אירוע אבטחה הארגון יודע לפעול בצורה מסודרת ומתועדת. כך ההסמכה לתקן אבטחת מידע לא נשארת תעודה בלבד, אלא הופכת לשיטת עבודה שמחזיקה ביקורת ומצמצמת חשיפה לאורך זמן.

מה זה ISMS

ISMS הם ראשי תיבות של Information Security Management System ובעברית מערכת ניהול אבטחת מידע.
בפועל מדובר במערכת ניהולית שלמה שמגדירה איך הארגון מנהל אבטחת מידע בצורה עקבית, לפי תקן כמו ISO 27001.

ISMS היא מערכת ניהול אבטחת מידע, כלומר מסגרת עבודה שמגדירה איך הארגון מנהל אבטחת מידע בצורה עקבית ומתועדת, ולא רק באמצעות פעולות נקודתיות. במסגרת ISO 27001, ה ISMS מחבר בין מדיניות ונהלים לבין ניהול סיכונים, בחירת בקרות, חלוקת אחריות, הדרכות, מדידה וביקורות פנימיות, כך שהאבטחה מיושמת בפועל וממשיכה להשתפר לאורך זמן. עבור הנהלה ומנהלי IT המשמעות היא פשוטה: יש שיטה שמאפשרת שליטה, תיעדוף ברור והוכחת עמידה בדרישות במבדקי תקן ISO ובדרישות לקוחות, בלי להסתמך על ידע לא מתועד או על פתרונות אד הוק.

מדוע לבחור אינפוגארד – מודל עבודה שפוגש את המציאות העסקית

צוות מומחים בכיר בלבד, מתודולוגיה מוכחת, ויכולת לחבר בין ניהול, טכנולוגיה ותהליכים

אנחנו באינפוגארד מביאים איתנו:

• ניסיון של יותר מ 13 שנים בניהול סיכונים, אבטחת מידע ויישום בפועל.
• עובדים עם צוותים בכירים ומוסמכים בלבד, בלי ג׳וניורים,
• מנהלים את התהליך כך שהארגון יוכל להמשיך לעבוד, במקביל לבניית התשתית התקנית.

אינפוגארד היא חלק מקבוצת עידור, וזה מאפשר לנו לשלב ידע וניסיון רחב יותר, כולל ראייה מערכתית על אנשים, תהליכים וטכנולוגיה, בדיוק בנקודות שבהן פרויקטי תקינה נוטים להיתקע.

המודל שלנו מאפשר סדר, יציבות, ובקרה, בלי להעמיס על צוותי IT, משפטי, HR ושיווק.

כיצד מתחילים?

אבחון קצר של המומחים שלנו שממנו יוצאים עם תמונת מצב, פערים ותוכנית עבודה להסמכה

דברו איתנו ונבצע אבחון ראשוני ממוקד. נבנה יחד היקף, מסלול עבודה ותוכנית ישימה להסמכה לתקן ISO 27001, כולל הכנה למבדקי תקן ISO, ליווי במבדקים, וסגירת פערים עד לקבלת תעודת הסמכה לתקן אבטחת מידע.

שאלות נפוצות על תקן אבטחת מידע ISO 27001

תשובות קצרות שמיישרות את מה שמבלבל ארגונים בתחילת הדרך

האם תקן ISO 27001 מחייב CISO בארגון
התקן לא מחייב תפקיד בשם CISO, אבל הוא כן מחייב אחריות ברורה מטעם ההנהלה לניהול אבטחת המידע והפעלת ה ISMS. בארגונים רבים האחריות הזו מנוהלת על ידי גורם פנימי או שירות חיצוני, בהתאם לגודל ולמורכבות.

האם תעודת ISO 27001 לבדה מספיקה כדי לעמוד בכל דרישות פרטיות או GDPR
ISO 27001 מסייע לבניית מערכת ניהול ובקרות אבטחה, אבל הוא לא מחליף רכיבים משפטיים וממשל פרטיות. לכן חשוב לבנות את המעטפת נכון ולהבין מה מכוסה ומה דורש השלמה.

מה ההבדל בין ISO 27001 לבין ISO 27002
ISO 27001 מגדיר את דרישות מערכת הניהול, ISMS, בעוד ISO 27002 הוא מדריך בקרות שנותן הנחיות לבחירה ויישום של בקרות אבטחת מידע