הסמכה לתקני 27001 ISO ו-27017 ISO

שדרוג תהליכי אבטחת מידע לחברות שמנהלות את המידע בענן

תקן 27001 ISO הוא מודל לניהול אבטחת המידע של הארגון, תוך נקיטת האמצעים המתאימים לשמירה על המידע הרגיש של הארגון וניהולו בצורה יעילה.
תקן 27017 ISO מרחיב את תקן 27001 ISO ומוסיף מידע ודרישות מיוחדות בתחום אבטחת המידע הרלוונטיות להגנה ואבטחה על המידע בשירותי ענן וניהול מערכות מידע בענן.

דרישות מיוחדות של תקן 27017 ISO

תקן 27017 ISO מציג קווים מנחים לבקרות אבטחת מידע החלים על התנאים ועל השימוש בשירותי ענן, וזאת באמצעות:

  • הנחיות יישום נוספות לבקרות רלוונטיות המפורטות בתקן 27001 ISO שרלוונטיות לשירותי ענן
  • בקרות נוספות עם הנחיות ליישום הנוגעות באופן ספציפי לשירותי ענן
  • קביעת בקרות והנחיות ליישום הרלוונטיות הן עבור ספקי שירות ענן והן עבור לקוחות שירות ענן
  • הגדרת דרישות אבטחת מידע במסגרת הסכמים עם לקוחות / גורמי צד ג' בתחום שירותי ענן
  • ניהול גורמי צד ג' / ספקים בעלי גישה לענן
  • תהליכי שחזור נתונים
  • הצפנת נתונים ושימוש בתקשורת מאובטחת

מדוע כדאי לארגון לשדרג את תהליכיו לפי התקן ולקבל הסמכה רשמית?

עבודה ע"פ התקן…

  • מגבירה את תחושת הביטחון אצל לקוחות החברה ומעלה את מוניטין החברה.
  • משדרגת את אמצעי הניהול ואבטחה של מאגרי מידע ומערכות מידע של הארגון בענן;
  • מונעת זליגת מידע רגיש של הארגון (נתונים עסקיים, נתוני לקוחות וכו');
  • מצמצמת הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע או אי זמינות שלו;
  • מפתחת יכולת התאוששות מאסון והמשכיות עסקית;
  • מזהה את הסיכונים הקיימים בתחום אבטחת מידע ובונה תכנית מניעה.

במסגרת הקמת מערכת לניהול אבטחת מידע באחריות הארגון לבצע:

  • הגדרת מדיניות אבטחת מידע של הארגון.
  • זיהוי, הערכה ובקרת סיכוני אבטחת מידע, תוך הגדרת פעילויות למניעת התממשותם
  • הגדרת תהליכים וכללים למניעת זליגת המידע ודרישות אבטחת מידע במסגרת מערכות מידע של הארגון.
  • כתיבת נהלי אבטחת מידע של הארגון.
  • במידה והארגון מוסמך לתקן 9001 ISO, ניתן לבצע התאמת נהלי האיכות של הארגון לדרישות התקן ויצירת נהלים של מערכת איכות משולבת.
  • הגדרת דרישות והנחיות אבטחת מידע במסגרת נהלים פנימיים של הארגון (נהלים ברמת תהליכי העבודה).
  • הגדרת יעדים ומדדים בתחום אבטחת מידע.
  • הגדרת פעילויות לשיפור מתמיד והגדרת אבטחת מידע כחלק מהתרבות הארגונית.
  • ביצוע מבדקים פנימיים כהכנה לקראת מבדקי הסמכה ע"י גוף מסמיך.
  • קיום סקרי ההנהלה בהתאם לדרישות התקן.

אופן ביצוע תהליך הייעוץ להסמכת תקן 27001 ISO ו- 27017 ISO

התהליך מתחיל במפגשים עם אנשי מפתח בארגון כדי להכיר את אופן העבודה בארגונכם. יועץ מחברתנו מאפיין את תהליכי העבודה ומפתח את הנהלים, הוראות העבודה והטפסים, מבצע בשיתוף פעולה עם אנשי הארגון זיהוי סיכוני אבטחת מידע. נהלי החברה שפותחו עוברים אישור מנציג הנהלת הארגון. לאחר שהנהלים אושרו, נסייע לכם בהטמעתם בארגון. תהליך ההטמעה יכול לכלול, בהתאם לצרכיכם, הדרכות, מבדקים פנימיים, הכנה והשתתפות בסקר הנהלה ועוד. אנו מתחייבים שבסיום תהליך הייעוץ תעברו בהצלחה מבדק אוביקטיבי על ידי אחד הארגונים המוסמכים לבדוק את התקן בישראל.

לפרטים נוספים ולקביעת פגישה ללא התחיבות צרו עימנו קשר