הסמכה לתקן ISO 27018 לניהול אבטחת מידע בענן

ניהול אבטחת מידע בענן

תקן 27001 ISO הוא מודל לניהול אבטחת המידע של הארגון, תוך נקיטת האמצעים המתאימים לשמירה על המידע הרגיש של הארגון וניהולו בצורה יעילה.

תקן 27018 ISO מרחיב את תקן 27001 ISO ומוסיף מידע ודרישות מיוחדות לניהול אבטחת המידע בחברות מבוססות שירותי ענן, וזאת ע"מ להבטיח ולהגן על מאגרי מידע  הנשמרים בענן.

דרישות מיוחדות של תקן 27018 ISO

תקן 27018 ISO שם דגש מיוחד ומרחיב את פרק התפעול של תקן 27001 ISO, וכולל דגש מיוחד על נושאי הפרדת סביבות (פיתוח, ייצור, בדיקות), אבטחת מאגר שמשמש לצורך ביצוע בדיקות QA, תהליכי גיבוי והתאוששות, תהליכי טיפול והתמודדות עם אירועי אבטחת מידע וכד'.  כמו כן, התקן מחייב קיום בקרות נוספות, כמפורט להלן:

  • הגדרת דרישות אבטחת מידע במסגרת הסכמים עם לקוחות / גורמי צד ג' בתחום שירותי ענן;
  • בקרת גישה של הלקוחות לענן כולל זכויות גישה למחיקה / שינוי נתונים במאגר;
  • הקפדה על פרטיות של מאגרי מידע המאוחסנים בענן;
  • אי שימוש במאגרים לצורכי פרסום ושיווק;
  • היבטי דרישות חוקים, תקנות ודרישות רגולטוריות לגבי מיקום הענן;
  • דוגמא: עמידה בדרישות משרד הבריאות  לשמירת מאגרים רפואיים בענן בארץ בלבד.
  • בקרה אחר אי זליגת מידע;
  • הפרדת מאגרים בין לקוחות שונים שמשתמשים בענן;
  • בקרה אחר תהליכי עיבוד נתונים בדגש על מחיקת קבצים זמניים;
  • ניהול גורמי צד ג' / ספקים בעלי גישה למאגרי מידע;
  • תהליכי שחזור נתונים;
  • תהליכי גיבוי נתונים באתר משני / הוצאת מאגרים ע"ג מדיה פיזית;
  • שימוש בתקשורת מוצפנת / מאובטחת;
  • הצפנת נתונים ושימוש בתקשורת מאובטחת.

מדוע כדאי לארגון לשדרג את תהליכיו לפי התקן ולקבל הסמכה רשמית?

עבודה ע"פ התקן…

  • מגבירה את תחושת הביטחון אצל לקוחות החברה ומעלה את מוניטין החברה;
  • משדרגת את אמצעי הניהול ואבטחה של מאגרי מידע ומערכות מידע של הארגון בענן;
  • מונעת זליגת מידע רגיש של הארגון (נתונים עסקיים, נתוני לקוחות וכו');
  • מצמצמת הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע או אי זמינות שלו;
  • מפתחת יכולת התאוששות מאסון והמשכיות עסקית;
  • מזהה את הסיכונים הקיימים בתחום אבטחת מידע ובונה תכנית מניעה.

במסגרת הקמת מערכת לניהול אבטחת מידע באחריות הארגון לבצע:

  • הגדרת מדיניות אבטחת מידע של הארגון;
  • זיהוי, הערכה ובקרת סיכוני אבטחת מידע, תוך הגדרת פעילויות למניעת התממשותם;
  • הגדרת תהליכים וכללים למניעת זליגת המידע ודרישות אבטחת מידע במסגרת מערכות מידע של הארגון;
  • כתיבת נהלי אבטחת מידע של הארגון;
  • במידה והארגון מוסמך לתקן 9001 ISO, ניתן לבצע התאמת נהלי האיכות של הארגון לדרישות התקן ויצירת נהלים של מערכת איכות משולבת.
  • הגדרת דרישות והנחיות אבטחת מידע במסגרת נהלים פנימיים של הארגון (נהלים ברמת תהליכי העבודה);
  • הגדרת יעדים ומדדים בתחום אבטחת מידע;
  • הגדרת פעילויות לשיפור מתמיד והגדרת אבטחת מידע כחלק מהתרבות הארגונית;
  • ביצוע מבדקים פנימיים כהכנה לקראת מבדקי הסמכה ע"י גוף מסמיך;
  • קיום סקרי ההנהלה בהתאם לדרישות התקן.

תהליך הייעוץ להסמכת תקן 27001 ISO ו- 27018 ISO

התהליך מתחיל במפגשים עם אנשי מפתח בארגון כדי להכיר את אופן העבודה בארגונכם. יועץ מחברתנו מאפיין את תהליכי העבודה ומפתח את הנהלים, הוראות העבודה והטפסים, מבצע בשיתוף פעולה עם אנשי הארגון זיהוי סיכוני אבטחת מידע. נהלי החברה שפותחו עוברים אישור מנציג הנהלת הארגון. לאחר שהנהלים אושרו, נסייע לכם בהטמעתם בארגון. תהליך ההטמעה יכול לכלול, בהתאם לצרכיכם, הדרכות, מבדקים פנימיים, הכנה והשתתפות בסקר הנהלה ועוד. אנו מתחייבים שבסיום תהליך הייעוץ תעברו בהצלחה מבדק אוביקטיבי על ידי אחד הארגונים המוסמכים לבדוק את התקן בישראל .

לפרטים נוספים ולקביעת פגישה ללא התחיבות – צרו עימנו קשר.

בהצלחה!