תקן 27032 ISO הוא תקן בינלאומי המספק הנחיות לאבטחת סייבר. תקן 27032 ISO. הינו תקן משלים לתקן 27001 ISO ונועד להגן על הנכסים הדיגיטליים בפני איומי סייבר כגון: פריצה, חבלה או שינויים לא מורשים.
התקן מדריך אילו משאבים נדרשים לניהול אבטחת סייבר בארגון, מחייב להטמיע שיטות לביצוע מאובטח של פעילויות מעל רשת האינטרנט, כולל הכשרת אנשים בארגון שיעסקו בנושא.
27032 ISO אינו תקן שעומד בפני עצמו. ארגון יכול להסמיך את עצמו לתקני 27032 ISO ו-27001 ISO ביחד באותו המבדק. 27032 ISO הינו אוסף של בקרות שיש ליישם לצד ISO 27001 כדי לסייע בהגנת הארגון במרחב הסייבר.
המטרות והיעדים של ISO 27032 עשויים להיראות דומים ל-ISO 27001, המיקוד של ISO 27032 מצטמצם לאבטחת סייבר במרחב הקיברנטי, בעוד ש-ISO 27001 מתמקד בהיבט הרחב יותר של מערכת אבטחת מידע בארגון.
תקן ISO 27032 דורש לזהות ולסווג את התהליכים בארגון הפגיעים ביותר לאיומי סייבר, ולנקוט באמצעי הגנה.
חלק מהלקוחות דורשים את יישום התקן כדי להיות בטוחים שהספקים שלהםתהליכים ושיטות להתמודדות עם איומי סייבר.
תקן ISO 27032 מטפל בהיבטי אבטחת סייבר על ידי התייחסות לנושאים הבאים:
ביצוע סימולציית אירוע סייבר, בודק את ההיערכות הארגון לאיומי סייבר. תוצאת הסימולציה היא דו"ח הכולל ציון ההזדמנויות לשיפור.
התרגיל כולל את השלבים הבאים:
תכנון: יועץ מחברתנו לומד את התשתיות הקיימות ומתכנן את הסימולציה יחד עם נציגי הארגון, כולל: הגדרת יעדים, ההיקף והתרחיש של אירוע הסייבר.
ביצוע: היועץ מוביל את אירוע ההדמיה, עם משתתפים ממחלקות שונות, לרבות: הנהלת החברה, IT, מחלקה משפטית ותקשורת. הסימולציה בוחנת את תגובת הארגון לאירוע לרבות נוהלי איתור, בלימה, מיגור, התאוששות ותקשורת.
הערכה: לאחר הסימולציה, נערכת ישיבת הנהלה כדי לשמוע מהיועץ את הערכתו לגבי מוכנות החברה לאירוע סייבר, תוך ציון חוזקות וחולשות במהירות ויעילות של התגובה, את התיאום בין המחלקות השונות ואת נאותות התקשורת עם מחזיקי העניין.
שיפור: בהתבסס על ההערכה, הארגון מעדכן את תוכנית התגובה לאירועים ואת מדיניות אבטחת הסייבר כדי לטפל בכל חולשה שזוהתה.
בהצלחה!