ISO/IEC 27001 לניהול אבטחת מידע
תקן ISO 27001 הינו תקן מערכת ניהול לניהול נכון של אבטחת המידע בארגון, הגישה לפרטיות המידע והגנת הסייבר.
תקן זה נחלק לשני חלקים: המנא"מ, אותם סעיפי מערכת ניהול המוכרים מתקני ISO אחרים, והבקרות שגם הן נחלקות ל 4 קטגוריות עיקריות: ארגוניות, כ"א, אבטחה פיזית וטכנולוגיות.
תקן זה הוא התקן המוכר והנפוץ ביותר בעולם לניהול אבטחת המידע בארגון ולעתים מהווה תנאי הכרחי להתקשרות חוזית עם גופים ממשלתיים, ציבוריים או תאגידים.
אודות התקן
בימינו, ארגונים רבים חווים אירועי אבטחת מידע וסייבר שעלולים להביא לפגיעה משמעותית בפעילות הארגון, מהימנות המידע או פרטיות העובדים והלקוחות. תקן ISO 27001 מאפשר לארגונים לנהל את כל היבטי אבטחת המידע והגנת הסייבר בארגון, החל מעמידה בדרישות רגולטוריות שונות וכלה בניהול נכון של כלי ההגנה הרשתיים. התקן מתבסס על שלושת עקרונות אבטחת המידע המקובלים: 1. סודיות – הגנה על מידע חיוני מפני חשיפה לגורמים לא מורשים 2. אמינות – שמירה על דיוק ושלמות המידע או המערכות 3. זמינות – הבטחת זמינות מידע ושירותים כפי הנדרש.
תעודת ISO 27001 מהווה עדות ללקוחותיך הנוכחיים ולאלו הפוטנציאליים, שתהליכי אבטחת המידע בארגונך הוגדרו, ומנוהלים באופן מסודר ושיטתי. תהליך ההתעדה עוזר לך להתמקד בשיפור מתמיד של אבטחת מידע וכך מאפשר החלפת מידע אמין יותר בינך לבין שותפיך ולקוחותיך.
דרישות התקן
התקן מושתת על עקרונות ISO הידועים, וכולל סעיפים מוכרים כגון מדיניות ונהלים, מבדקים פנימיים, סקרי הנהלה, ניהול סיכונים, תיעוד ובקרת רשומות, הדרכות מודעות, כשירות, משאבים וכיוב'. בפרק הבקרות הארגון נדרש לניהול נכסים, ניהול שרשרת האספקה, הכנה לטיפול באירועי אבטחת מידע, תשתית לניהול ההמשכיות העסקית, פיתוח מאובטח, הגנה על תחנות קצה, אמצעים לאבטחה פיזית, בקרות לצמצום האיום הפנימי ועוד.
למי מיועד התקן
התקן חשוב במיוחד לחברות טכנולוגיה, לגופים אשר ברשותם מידע רגיש וסודי כגון גופים בתחום הרפואה, המשפט, ביטחון והפיננסים, לגופים אשר ברשותם מידע שחייב להיות תמיד זמין ואמין, וכן גופים בתחום המסחר, האספקה, תחבורה ועוד.
לפרטים נוספים צרו קשר: hadas@iqc.co.il
