להלן תמצאו את הדרישות המרכזיות של תקן ISO 27001:2013. אם אתם מחפשים את העדכון
דרישות הליבה של ISO 27001:2022 אנא לחצו על הכפתור למטה.
מה כולל סעיף 7.5?
אחת הדרישות העיקריות ל-ISO 27001 היא אפוא לתאר את מערכת ניהול אבטחת המידע שלך ולאחר מכן להדגים כיצד התוצאות המיועדות שלה מושגות עבור הארגון. חשוב להפליא שכל מה שקשור ל-ISMS יהיה מתועד, מתוחזק היטב וקל למצוא אותו אם הארגון רוצה להשיג אישור ISO 27001 עצמאי מגוף כמו UKAS.
ISO 27001 סעיף 7.5 מתחלק כדלקמן:
סעיף 7.5.1 - תיעוד כללי עבור ISO 27001
ה-ISMS צריך לכלול בבירור:
- תיאור של האופן שבו הוא מתייחס ל-4.1 עד 10.2 של דרישות הליבה, כולל הערכת הסיכונים והטיפול שמובילים לבחירת הבקרות נספח A.
- הבקרות הרלוונטיות נספח A שהן חלק מהצהרת התחולה - מה שאומר למעשה שאתה צריך לרשום את כל הבקרות. גם אם ארגון מחליט שבקרה אינה רלוונטית, עליו לתעד שלמשל אם אין לו צורך בשטחי מסירה והעמסה בנספח A 11.1.6 כי מדובר בעסק דיגיטלי גרידא, אז הוא צריך להראות למבקר שיש לו נחשב שאין סיכון ואין צורך בשליטה זו.
סעיף 7.5.2 – יצירה ועדכון של מידע מתועד עבור ISO 27001
ISO 27001 רוצה בהירות בתיעוד, מחפש זיהוי ותיאור, פורמט, סקירה ואישור להתאמה והתאמה לשרת את מטרתו. קל לפספס את הניואנסים של דרישות אלה, אך מעשית משמעות הדבר היא התחשבות במחבר, תאריך, כותרת, הפניה וכו', ותהליך האישור הזה חשוב מאוד גם להתאמה עם נספח A 5.1.2 כמתואר להלן.
סעיף 7.5.3 – בקרה על מידע מתועד עבור ISO 27001
בלב ה-ISMS עומד עקרון הסודיות, היושרה והזמינות של המידע. זה זהה ל-ISMS עצמו, הוא צריך להיות זמין כאשר נדרש ומוגן כראוי מפני אובדן סודיות, שימוש לא מורשה או פגיעה אפשרית בשלמות.
עצם השלכת תוכן ה-ISMS בכונן השיתופי של הצוות והשלמתו לא מבוקרת או עם הרשאות גישה לא יעילות יובילו כמעט בוודאות לבעיות עבור הארגון בביקורת. באופן דומה, השארת אותו בכונן אישי בלתי נגיש למי שצריך לדעת על ה-ISMS תהיה בעיה באותה מידה, ולכן יש לתת את הדעת על תחומים רבים לשליטה יעילה. ISO מחפש ארגון שיתייחס להיבטים הבאים:
- בהירות שיתוף והפצה, בקרות על גישה לחלק מה-ISMS או כולו - בהתחשב בהרשאות הגישה לקריאה, עדכון, אישור, מחיקה וכו' עשויות להיות שונות בהתאם לתפקיד בעל העניין
- אחסון ושימור, כולל שליטה בשינויים (הצגת גרסאות ישנות יותר, אישורים היסטוריים וכו')
- גם שמירה וסילוק דורשים התייחסות
דרישה זו מתיישרת גם עם הסקירה הרגילה של מדיניות המודגשת בנספח A.5.1.2, שגם עליה נגע להלן.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
כמה צריך לכתוב כדי שתיעוד של ה-ISMS ייחשב כמקובל על ידי מבקר?
שאלה אחת שנשאלת לעתים קרובות לגבי תיעוד ניהול אבטחת מידע היא 'כמה זה מספיק'. התשובה הקצרה היא שמדובר באיכות, לא בכמות. כל עוד הארגון עומד בדרישות המסוכמות להלן, ויכול להוכיח שהוא אינו זקוק לתיעוד רב-משמעי, המבקר ללא ספק ייקח זאת בחשבון במהלך ביקורת - למשל בגלל שמדובר בארגון קטן עם מעט משתתפים סביב ה-ISMS , יציב, ברור, מטופח ופשוט בתפעול.
האם תיעוד למערכת ניהול אבטחת המידע הוא 'מסמכים בסגנון מילים' או שמא מותרות צורות תוכן אחרות?
שאילתות לגבי סוג התיעוד הצפוי היא אחת השאלות הנפוצות האחרות לגבי תיעוד סעיף 7.5 עבור מערכת ניהול אבטחת המידע. למעשה ISO 27001 מציין בבירור בהערה בצד את סעיף 7.5.1:
"היקף המידע המתועד עבור מערכת ניהול אבטחת מידע יכול להיות שונה מארגון אחד למשנהו עקב:"
- גודל הארגון וסוג הפעילויות, התהליכים, המוצרים והשירותים שלו;
- מורכבות התהליכים והאינטראקציות ביניהם; ו
- כשירותם של אנשים.
מספר ספקי 'ערכת כלים' של תיעוד אבטחת מידע ISO 27001 הנציחו את המיתוס שמידע מתועד עבור ISMS חייב להיות מסמכי word וגיליונות אקסל. ברור שמסמכים אלה יכולים לקבל מקום ב-ISMS (למשל, היכן שיש לתקשר גם תמונות או תהליכים מורכבים), אך יש להשתמש בהם במשורה בהתחשב בהופעתם של כלים מקוונים טובים יותר.
שירותים מקוונים כמו ISMS.online מאפשרים ניהול מסמכים בצורה מסורתית יותר, ומציעים גם דרכים יעילות יותר לניהול תיעוד שיכולות להראות שליטה ותיאום טובים יותר, דרכים טובות יותר לשיתוף ופרסום לקהלים, והופכות את כל תהליך ניהול התיעוד לדרישות סעיף 7.5 להלן לקל הרבה יותר. משמעות הדבר היא גם שהימים הישנים של בזבוז זמן עם עמודים ראשיים של מסמכים המציגים את כל שינויי הגרסאות והאישורים באמצעות דואר אלקטרוני חלפו מזמן!
הצטרפות 7.5 עם בקרות נספח A
כאשר אתה מחשיב את דרישות סעיף 7.5 גם משתלבות עם יעדי הבקרה הנספחים, הגיוני עוד יותר לחשוב על מערכת ניהול מתואמת היטב במקום מסמכים מיושנים וכוננים משותפים לאחסון. דוגמאות להיכן לצרף את סעיף 7.5 עם בקרות נספח A כוללות:
נספח א' 5.1.1
בנוסף להגדרה, מדיניות אבטחת מידע צריכה להיות מאושרת על ידי ההנהלה, מתפרסמת ומוכרת לעובדים ולגורמים חיצוניים רלוונטיים. לא קל להוכיח אישור למסמכים כשלעצמם, ופרסום מסמכים כבדי משקל לא צפוי להיקלט או להיות מובן על ידי בעלי העניין גם אם הם הועברו (מה שמותיר את הארגון בסיכון של אי ציות ואיום של הפסד עקב בורות).
נספח א' 5.1.2
סקירת המדיניות לאבטחת מידע. תקן ISO 27001 אומר שיש לבחון את המדיניות באופן קבוע במרווחי זמן מתוכננים (או אם מתרחשים שינויים משמעותיים) כדי להבטיח את התאמתם המתמשכת. מבקרי ISO בלתי תלויים יצפו לראות את הבדיקה הזו נעשית לפחות מדי שנה עבור כל מדיניות.
נספח א' 18.2
בקרה זו, המתוארת בנספח א', עוסקת בסקירות אבטחת מידע, וכאשר היא מבוצעת היטב, היא משתלבת בצורה מסודרת עם סעיף 7.5 לניהול תיעוד של מערכת ניהול מידע (ISMS), כולל סקירות עצמאיות, בדיקות תאימות, ובמידת הצורך גם תאימות טכנית. סקירה, בקרת גרסאות, הצגת עדכונים ולאחר מכן אישור מסמכים מיושנים כאשר הם אינם צריכים להיות מסמכים כשלעצמם, יכולים להאט מאוד את מנהלי מערכת ניהול המידע. זה יכול גם לעכב או לאבד את מעורבות הצוות ולהוביל לאי תאימות.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
כיצד לנהל תיעוד ב-ISMS שלך?
קל להבין לא נכון את סעיף 7.5 ולהסתובב סביבו, מה שמוביל לכשל בביקורת, או אולי להנדס פיתרון ולהקדיש זמן רב מדי לבניית מבנה מערכת ניהול שקשה מדי לתחזק אותו בשינוי הראשון. מתכנן המקרים העסקיים של ISMS.online בוחן את האפשרויות של בנייה לעומת קנייה, אז בדוק אם אתה חושב ליצור פתרון משלך.
קשה מאוד להשיג את כל הדרישות של סעיף 7.5 וגם את הבקרות הקשורות בנספח א'. זו הסיבה שארגונים רבים מחפשים פתרון תוכנה ייעודי ל-ISMS ורוצים משהו עם המאפיינים של ISMS.online.
אחרי הכל, לא תבזבז זמן על בניית מערכת CRM או פיננסים משלך כאשר אחרים כבר השקיעו זמן בפיתוח הפתרון הנכון שניתן לספק ישירות מהקופסה תמורת חלק קטן מהעלות של פתרון עשה זאת בעצמך. לא חלק מיכולות הליבה של הארגון.
ISMS.online מספק מבנה קל למעקב עבור כל התיעוד הנדרש. הוא פועל בדיוק באותו מבנה כמו התקן עצמו, כך שאתם ומבקר יכולים לנווט בקלות ובמהירות אל התיעוד הנדרש. הוא כולל תפקידים והרשאות מובנים לגישה, עריכה, אישור ושיתוף. יש גם בקרת גרסאות אוטומטית ותזכורות לסקירות. אפילו הלכנו צעד אחד קדימה וכללנו תיעוד מדיניות ובקרה שתוכלו לאמץ, להתאים ולהוסיף אליו, ישירות מהקופסה.
שימוש בפתרון התוכנה ISMS.online יאפשר לכם להתמקד ביעדי ה-ISMS שלכם. ISMS.online מקל על עבודת הניהול, כך שתוכלו ליצור, לשלוט, לתאם, לנהל ולשתף בקלות את התיעוד שלכם עם בעלי עניין, כולל באמצעות חבילות מדיניות המגבירות את הביטחון העצמי בתאימות. זה גם יעניק לכם את כל הכלים לביצוע תהליכי העבודה הרבים הנדרשים על פי התקן. זו גם הסיבה שאנו אומרים שהמסמכים שאנו מספקים הם "ניתנים ליישום". הם יותר מתבניות מסמכים פשוטות המאפשרות לכם לפרש ולמצוא דרך להדגים את התהליכים שלכם. ISMS.online הוא פתרון ISMS שלם במקום אחד.
קבל הסמכה עד פי 5 מהר יותר עם ISMS.online
תאימות לא צריכה להיות מסובכת - ISMS.online נועד לעזור לך להשיג הסמכת ISO 27001 במהירות ובמחיר סביר ללא צורך בהכשרה.
ייעלנו את תהליך ה-ISO 27001 עם שיטת התוצאות המובטחות שלנו, התחלה של 80%, מאמן וירטואלי משלך 24/7, קליטה קלה ותמיכה של מומחים.
הזמינו הדגמה של הפלטפורמה כדי לראות כיצד ISMS.online יכול לעזור לעסק שלכם.
