03-7176281
דף הבית > מידע מקצועי > כל מה שצריך לדעת על תקן 2022:ISO 27001

כל מה שצריך לדעת על תקן 2022:ISO 27001

השאירו פרטים לקבלת מידע טלפוני אודות תקן ISO 27001 או התקשרו ל- 03-7176281

תקן 2022:ISO 27001 לעומת ISO 27001:2013 – מה השתנה?

באוגוסט 2021 פרסם ארגון התקינה הבינלאומי (ISO) את הגרסה העדכנית ביותר של תקן ISO 27001 המחליף את הגרסה הקודמת.

ISO 27001 הוא תקן עולמי המפרט את הדרישות למערכת ניהול אבטחת מידע (ISMS). הוא מספק גישה שיטתית לניהול מידע רגיש. התקן מסייע לארגונים לזהות, להפחית ולנהל סיכוני אבטחה כדי להבטיח את הסודיות, השלמות והזמינות של המידע.

לאחר זיהוי הסיכונים, התקן מספק כלים מתודולוגיים להפחתת סיכוני אבטחה, כגון הטמעת בקרות טכנולוגיות, חיזוק נהלי העבודה והגברת מודעות העובדים. באמצעות יישום תקן ISO 27001, ניתן להבטיח את הסודיות על ידי מניעת גישה לא מורשית למידע, לשמור על שלמות המידע באמצעות הגנה מפני שינויים לא מתוכננים, ולהבטיח זמינות רציפה של המידע למשתמשים מורשים. כך, התקן מקנה לארגונים יציבות טכנולוגית, תורם להמשכיות העסקית ומעצים את אמון הלקוחות בשירותיהם.

במהלך כמעט עשור עולם אבטחת המידע, הסייבר והפרטיות עבר אבולוציה משמעותית ביותר, לצד התפתחויות טכנולוגיות של תשתיות IT, כלי הגנה וסביבות עבודה – ובראשן מעבר של ארגונים רבים לעבודה בסביבות ענן. מדובר בסביבת עבודה בעלת חשיפה לסיכוני אבטחת מידע ייחודיים:

  1. דליפת נתונים: שימוש בענן כולל אחסון מידע רגיש על שרתים חיצוניים. אם לא מופעלות בקרות אבטחה נאותות, המידע עלול לזלוג לגורמים זדוניים ולגרום לנזקים שונים.
  2. ניהול הרשאות לא נכון: גישה לא מבוקרת למידע או משאבים יכולה להתרחש כתוצאה מניהול לא תקין של הרשאות המשתמשים, דבר שמגדיל את הסיכוי לחשיפה של נתונים רגישים לגורמים בלתי מורשים.
  3. חולשות באבטחת ספקי הענן: ארגונים העושים שימוש בסביבת ענן מסתמכים על ספקי הענן להגנה על המידע שלהם, אך חולשות בתשתיות של הספק עלולות לחשוף את הארגון לסיכוני אבטחת מידע.

אמנם, התקן מנוסח באופן כללי והינו תקן לניהול אבטחת מידע, כך שהוא מתאים לכל ארגון, אך עדיין ניכר היה שהתקן נשאר מעט מאחור ולא הוטמעו בו עדכונים הנדרשים כתוצאה מהשינויים שקרו בעולם. עתה, בעדכון האחרון נראה יישום והתייחסות בהיבטים שלא קיבלו התייחסות במהדורה הקודמת, והתקן למעשה הותאם לחידושים בעולם אבטחת המידע, בכל ארבעת הרבדים – הגנה, ניטור, תגובה והתאוששות.

הכירו את תקן ISO 27001 לאבטחת מידע, סייבר ופרטיות:

השינוי הראשון שמלמד על מגמות העדכון הוא שתקן ISO 27001 כבר לא נקרא תקן אבטחת מידע, אלא "אבטחת מידע, סייבר ופרטיות", ובכך הוא מרחיב את תחומי העיסוק של המערך, ודורש מצוות ההטמעה לתת מענה מקצועי גם לתחומים אלו.

תחום אבטחת המידע הוא רב ממדים, רב פנים ונדרשות בו מיומנויות והתמחויות מתחומים שונים. למרות שבד"כ מקושר לעולמות IT וטכנולוגיה, למעשה לתחום זה נגיעה כמעט בכל תהליך ארגוני, כמו ניהול משאבי אנוש (הגנה על מידע רגיש כמו פרטי עובדים, תלושי שכר ומסמכי העסקה), ניהול אבטחה פיזית (מתבטא בהגנה על מרכזי נתונים וציוד רגיש מפני גישה לא מורשית), רכש והתקשרויות (כמו לדוגמה ניהול שרשרת אספקה ובדיקה כי הספקים עומדים בסטנדרטים מחמירים של אבטחת מידע) ועוד.

מפת מאפיינים לכל בקרה:

בגרסת התקן החדשה נוספה מפת מאפיינים לבקרות השונות של התקן. מפה זו מאפשרת למנהלי אבטחת מידע לבחון סיכונים ולבסס מערך מנוהל לפי ורטיקלים ברורים. אותה מפת המאפיינים מגדירה חמישה סוגי מאפיינים לכל בקרה (סוג הבקרה, מאפיין CIA, מאפיין סייבר, מאפיין תפעולי, מאפיין תחום א"מ):

  1. סוג הבקרה – סיווג הבקרה לפי מטרתה, כגון בקרה מניעתית, גילוי או תגובה, כדי להתאים את השימוש בה למטרות והצרכים הספציפיים של הארגון.
  2. CIA – זיהוי ההשפעה של הבקרה על שלושת העקרונות המרכזיים של אבטחת מידע: סודיות (Confidentiality) שלמות (Integrity) וזמינות (Availability).
  3. סייבר – התמקדות בהגנה מפני איומי סייבר ייעודיים, כמו מתקפות פישינג, התקפות כופרה ואיומים מתקדמים נוספים.
  4. מאפיין תפעולי – התייחסות לתהליכים הפנימיים של הארגון, כגון אופן תחזוקת הבקרה, דרישות התפעול שלה, והשפעתה על התפקוד היום – יומי.
  5. מאפיין תחום א"מ (אבטחת מידע) – קשר ישיר לאזור הספציפי של אבטחת המידע בו פועלת הבקרה, כמו הגנה על רשתות, נתוני לקוחות, או מערכות IT קריטיות.

ובנוסף, נעשתה חלוקת לארבעה תחומי על:

  • אנשים
  • אבטחה פיזית
  • טכנולוגיה
  • ארגון

תוספת זו מייצרת מודל מטריציוני ומחזקת את התועלת לארגון באימוץ התקן כבסיס מתודולוגי לבניית מערך ניהול אבטחת מידע. בסיס כזה מסייע בבניית תוכניות עבודה, חלוקת משימות ותהליכים לפי מודל ברור.

הצהרת ישימות (SOA):

הצהרת הישימות (SOA) תיבנה בהתאם לסיווגים הבאים, לצורך מיקוד מיטבי בבחינת בשלות הארגון:

ישנם שינויים סמנטיים בחלוקת הסעיפים של התקן, סעיפים שאוחדו עם סעיפים אחרים ומעט בקרות שהוסרו.

שינויים מהותיים בתקן ISO 27001:

השינויים המשמעותיים מצויים בסט הבקרות החדשות, אשר מפורטות בתקן הנלווה ISO 27001:2022 ומתייחסות למגוון היבטים שלא קיבלו התייחסות בגרסה הקודמת:

חשוב לציין כי לא כל הבקרות ישימות עבור כל הארגונים, כך למשל בקרות בנושא פיתוח מאובטח ישימות רק עבור ארגוני פיתוח תוכנה.

מצוות ההטמעה נדרשת העמקה של אפיון תהליכי המידע בארגון וכנגזרת מכך זיהוי של מידת ישימות הבקרה לארגון.

עם זאת, בקרות שנמצאו ישימות נדרשות להטמעה בצורה יסודית ורחבה על מנת להבטיח את האפקטיביות שלהן.

כך לדוגמא, במסגרת בקרת זמינות המידע, לא יהיה מספק להגדיר קריטריונים של זמינות (RTO/RPO) אלא לייצר תשתית טכנית מתאימה שתתמוך בהגדרות אלו מצד אחד, ומצד שני לבסס תהלכי הטמעה וניהול הנושא כדי לוודא מוכנות, למשל בתכנון תרגילים.

תקן ISO 27001:2022מהם שלבי ההסמכה?

הסמכה לתקן ISO 27001:2022 היא תהליך מובנה, שמבטיח שהארגון עומד בדרישות התקן ומנהל את אבטחת המידע שלו בצורה יעילה ומבוקרת. התהליך מתחיל בשלב הכנה, שבו הארגון מבצע סקירה ראשונית של תהליכי העבודה והבקרות הקיימות. בשלב זה מזהים פערים בין המצב הנוכחי לבין דרישות ISO 27001:2022 ובונים תכנית לסגירת הפערים בהתאם.

השלב הבא הוא הטמעת מערכת לניהול אבטחת מידע (ISMS) לפי עקרונות ISO 27001:2022, הכוללים זיהוי סיכונים, ניהול נכסים, יישום בקרות, והגדרת תהליכי מעקב ושיפור מתמיד. לאחר מכן מתקיים מבדק פנימי לאימות הנהלים ולוודא עמידה בדרישות התקן.

השלב האחרון הוא מבדק חיצוני, המבוצע על ידי גוף הסמכה מוסמך, שבודק את עמידת הארגון בתקן ISO 27001:2022. אם המבדק עובר בהצלחה, הארגון מקבל תעודת הסמכה תקן 2022:ISO 27001. מעבר לכך, נדרשים מבדקים תקופתיים לשמירה על ההסמכה ועדכון מערך אבטחת המידע בהתאם לשינויים טכנולוגיים ורגולטוריים.

כיצד ISO 27001:2022 מסייע בשמירה על אמון הלקוחות?

ISO 27001:2022 מחזק את אמון הלקוחות בכך שהוא מבטיח שהארגון מנהל ומגן על המידע שלהם ברמה הגבוהה ביותר. יישום התקן מדגיש שקיפות, עמידה ברגולציות ואבטחת נתונים רגישים, מה שמפחית סיכונים לאובדן מידע או פרצות סייבר. לקוחות מעריכים ארגונים המחויבים לסטנדרטים בינלאומיים, מה שמוביל לשיפור תדמית המותג ולחיזוק מערכות יחסים עסקיות ארוכות טווח המבוססות על ביטחון ואמינות.

לסיכום:

ISO 27001 כולל מספר דרישות חדשות שארגונים צריכים לעמוד בהן כדי להשיג הסמכה.

הגרסה החדשה מדגישה את החשיבות של הערכת סיכונים וטיפול בסיכונים, ביקורת פנימית, ניטור וביקורת של מערכת ניהול אבטחת המידע באופן משולב עם תחומי הסייבר והפרטיות.

הדרישות החדשות מדגישות את חשיבות אבטחת שרשרת האספקה ​​ואת הצורך של ארגונים לוודא שהספקים והקבלנים שלהם עומדים בדרישות מערכת ניהול אבטחת המידע.

הגרסה החדשה של התקן היא עדכון משמעותי שארגונים צריכים לקחת בחשבון בעת ​​פיתוח ויישום מערכת ניהול אבטחת המידע שלהם.

Gilad Beery

Gilad Beery

לכל המאמרים של
טופס תחתון

מעוניינים לקבל ייעוץ להטמעת תקן 2022:ISO 27001?

Fill in your information or contact us and we'll be happy to be at your service!

  • טלפון

    03-7176281

  • Mordechai Rozanski 18
    Rishon Lezion

  • Sun - Thu
    08:00-17:00