חיפוש

ניהול תהליך הסמכה לתקן 27001:2022 ותפקיד ניהול ה-IT בחברה – יחד או לחוד?

אורנה קמין, מנכ"לית OK יועצים לניהול

אחת הסוגיות המעניינות בתקן 27001:2022 ISO היא הדרישה להפרדת תפקידים, Segregation of duties, SoD.
הגרסה הנוכחית של תקן ISO 27001:2022, מדגישה את הדרישה הזו, ואת תפקידה הקריטי של דרישת SoD בהפחתת סיכונים שעלולים לנבוע מעקיפת בקרות אבטחת מידע, שעלולות לגרום לשגיאות, חדירות לארגון ואף להונאות.

המאמר שלהלן מגדיר את חשיבות הדרישה חדשה בתקן ב-ISO 27001:2022 לנושא הפרדת תפקידים בתחום ניהול אבטחת מידע ומתמקד ספציפית בדרישה להפריד בין ניהול תהליך הסמכה לתקן 27001:2022 ותפקיד ניהול ה-IT בחברה.

מהי הפרדת תפקידים?

הפרדת תפקידים היא אמצעי בקרה הכולל חלוקת משימות ואחריות בין אנשים או צוותים שונים כדי למנוע מכל אדם בודד את היכולת לבצע מטלות סותרות. הפרדה זו נועדה להפחית את הסבירות לפעילויות לא מורשות, ולהבטיח שלאף אדם בודד אין את הכוח לסכן את אבטחת המידע הרגיש.

מדוע עיקרון הפרדת תפקידים, SoD, כה חשוב שניתן לו דגש מיוחד ב-ISO 27001:2022?

תקן ISO 27001:2022 המעודכן מדגיש את הצורך בהפרדת אחריות וסמכות בין בעלי תפקידים כאמצעי לשמירה על היושרה, הסודיות והזמינות של המידע. על ידי הטמעת SoD, ארגונים יכולים להפחית באופן משמעותי את הסיכון לאיומים פנימיים, כגון הונאה או פרצות מידע, שעלולים להוביל לפגיעה פיננסית ומוניטין חמורה.

אזורי מפתח להפרדה

התקן מספק דוגמאות לפעילויות הדורשות הפרדה, כולל:

  • ייזום, אישור וביצוע שינויים.
  • בקשה, אישור ויישום זכויות גישה.
  • עיצוב, הטמעה ובדיקת קוד.
  • פיתוח תוכנות וניהול מערכות ייצור.
  • שימוש וניהול יישומים.
  • שימוש ביישומים וניהול מסדי נתונים.
  • תכנון, ביקורת והבטחת בקרות אבטחת מידע.

כדאי להפריד בין התפקידים הבאים:
א. ניהול מערכת אבטחת מידע
מגדיר את הבקרות על מערכת אבטחת מידע, ואחת לתקופה בודק את יישום הבקרות כחלק מתהליך ההסמכה השנתי לתקן 27001:2022 ISO
ב. ביצוע בפועל של הבקרות

כל תפקיד – דורש כשירות מיוחדת. ביצוע מבדקים, למשל: חייב להיות על ידי גורם בלתי תלוי.

אתגרים ופתרונות

בעוד שהעיקרון של SoD הוא פשוט, היישום שלו יכול להיות מאתגר, במיוחד עבור ארגונים קטנים עם כוח אדם מוגבל. למרות זאת, הדרישה היא שהעיקרון יישמר.
כלים אוטומטיים יכולים לסייע בזיהוי ופתרון קונפליקטים, כגון: קונפליקטים בהרשאות גישה.
כאשר הפרדה קשה, כדאי לשקול הוצאה של אחד התפקידים למיקור חוץ: ניהול מערכת אבטחת מידע או ניהול CISO.

הפרדת תפקיד ניהול מערכת אבטחת מידע, לבין ביצוע בפועל של בקרות אבטחת מידע

הפרדת תפקיד ניהול ההסמכה לתקן ISO 27001 מניהול שוטף של ה- IT היא החלטה אסטרטגית המשפרת את האובייקטיביות, משפרת את המיקוד, מבטיחה אחריות ומייעלת הקצאת משאבים, כל אלו חיוניים לשמירה על מערכת ניהול אבטחת מידע איתנה.

להלן היתרונות בהפרדת התפקידים, גם לארגונים שאינם עוברים תהליך הסמכה לתקן 27001:2022 ISO או ארגונים ששוקלים לעקוף את הדרישה, בהנחה שהסוקר לא "יעניש" אותם על כך, ברישום ממצא לתיקון.

1. הימנעות מניגוד עניינים

ניהול IT אחראי בעיקר על ההיבטים התפעוליים של טכנולוגיית המידע בתוך הארגון, לרבות הטמעה ותחזוקה של מערכות ותהליכי IT. לעומת זאת, ניהול הסמכת ISO 27001 מתמקד בהבטחת מערכת ניהול אבטחת המידע (ISMS) עומדת בדרישות התקן. שילוב התפקידים הללו עלול להוביל לניגוד עניינים, כאשר ניהול ה-IT עשוי לתעדף יעילות תפעולית על פני תאימות לאבטחה.

2. אובייקטיביות מוגברת

הפרדת התפקידים הללו מבטיחה שהאדם או הצוות האחראים להסמכת ISO 27001 יכולים לשמור על נקודת מבט אובייקטיבית. אובייקטיביות זו חיונית לביצוע הערכות חסרות פניות של נוהלי אבטחת המידע בארגון ולזיהוי אזורים בהם נדרשים שיפורים כדי לעמוד בדרישות התקן.

3. מיקוד משופר

ניהול הסמכת ISO 27001 מצריך הבנה עמוקה של התקן והתמקדות בהיבטים הרחבים יותר של ניהול אבטחת מידע. הפרדת תפקיד זה מניהול ה-IT מאפשרת לצוות המיועד להתרכז אך ורק ביוזמות ציות ושיפור אבטחה, מבלי להכביד על האתגרים התפעוליים היומיומיים של ניהול ה-IT.

4. ניהול סיכונים

הפרדת תפקידים אלו מאפשרת ניהול סיכונים טוב יותר. ניהול IT יכול להתמקד בטיפול בסיכונים תפעוליים ובהבטחת תפקוד חלק של מערכות IT, בעוד שצוות הניהול של ISO 27001 יכול להתרכז בזיהוי, הערכה והפחתת סיכוני אבטחת מידע בהתאם לדרישות התקן.

5. אחריות ושקיפות

תפקידים ברורים עבור ניהול הסמכות ISO 27001 וניהול IT מקדם אחריות ושקיפות בתוך הארגון. כל צוות אחראי לתוצאות ספציפיות, מה שמקל על מעקב אחר ביצועים, זיהוי בעיות ויישום פעולות מתקנות.

6. אופטימיזציה של משאבים

הפרדת התפקידים הללו מאפשרת הקצאה יעילה יותר של משאבים. ניהול IT יכול להתמקד באופטימיזציה של השימוש בטכנולוגיה ובכוח אדם לצורך אפקטיביות תפעולית, בעוד שצוות הניהול של ISO 27001 יכול להקצות משאבים במיוחד לשיפורי אבטחה ופעילויות תאימות.

סיכום

הפרדת התפקידים היא מרכיב קריטי בתקן ISO 27001:2022, המשמש מרכיב יסוד בהקמת מערכת ניהול אבטחת מידע איתנה. על ידי הקפדה על עיקרון זה, ארגונים יכולים לשפר משמעותית את עמדת האבטחה שלהם, להגן על נכסיהם ולבנות אמון עם מחזיקי עניין.

איך אפשר לעזור?

מזמינה ארגונים ששוקלים להשתמש בייעוץ או מיקור חוץ לחלק מהתפקידים כדי לשמור על הפרדת תפקידים לפנות אלי ישירות, כדי להתייעץ איתי או עם אחד המומחים שלנו בנושא זה או בכל נושא אחר.
אורנה קמין, ok-consulting.co.il, 0537739018

 

 

ממינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת מידי פעם מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן

 

 

להרשמה השאירו פרטים

    ארכיון ניוזלטרים >>
    מעוניינים בהסמכה לתקני אבטחת מידע HIPAA, תקן 27001 ISO, תקן 27799 ISO בתהליך מהיר ומחיר הוגן? לחצו כאןמעונייניo בשדרוג ביום-יומיים לגרסה החדשה של תקן 27001:2022 ISO? לחצו כאןמעוניינים בניהול אבטחת מידע וסייבר במיקור חוץ (CISO כשירות)? לחצו כאןמעוניינים בסקר סיכוני אבטחת מידע / ביצוע מבדק חדירה? לחצו כאומעוניינים בשיקום חוסן מערכת אבטחת המידע לאחר בעקבות פריצה או סקר סיכונים? לחצו כאן