דרישות ISO 27001

דרישות הליבה של ISO 27001 מטופלות בסעיפים 4.1 עד 10.2. כאן נסקור סקירה כללית של כל סעיף.

הזמן הדגמה
מְחַבֵּר
מארק שרון
עודכן ב-12 במרץ 2024
לינקדין טויטר טויטר

קבל אישור פי 5 מהר יותר עם ISMS.online

1. היקף

תקן ISO 27001 מכסה היבטים שונים של ניהול אבטחת מידע, לרבות הקמה, יישום, תחזוקה ושיפור מתמיד של ISMS בהקשר של ארגון. התקן חל על ארגונים מכל הסוגים, הגדלים והטבע.

הדרישות המפורטות בתקן ISO 27001 נועדו להבטיח שלארגונים יהיו אמצעים מתאימים להגנה על נכסי המידע שלהם. דרישות אלו מכסות מגוון רחב של תחומים.

2. הפניות נורמטיביות

ISO 27001 עצמו מבוסס על גישת ניהול סיכונים ומספק מסגרת לארגונים להקים, ליישם, לתחזק ולשפר באופן מתמיד מערכת ניהול אבטחת מידע (ISMS). ההתייחסויות הנורמטיביות ב-ISO 27001 כוללות מספר תקני ISO/IEC נוספים המספקים הנחיות לגבי היבטים שונים של ניהול אבטחת מידע. אלו כוללים:

  • ISO/IEC 27000: תקן זה מהווה התייחסות נורמטיבית ב-ISO 27001 ומשמש סקירה ואוצר מילים עבור מערכות ניהול אבטחת מידע. הוא מגדיר מונחים ומושגים מרכזיים המשמשים בכל משפחת המסמכים ISO 27000 ומתאר את ההיקף והיעדים של כל אחד מבני המשפחה.
  • ISO/IEC 27002: ידוע גם כקוד הנוהג לניהול אבטחת מידע, תקן זה מספק הנחיות לגבי בחירה והטמעה של בקרות אבטחה. הוא מציע סט מקיף של שיטות עבודה מומלצות לארגונים להגנה על נכסי המידע שלהם ולנהל סיכוני אבטחה ביעילות.
  • ISO/IEC 27005: תקן זה מתמקד בניהול סיכונים ומספק הנחיות לגבי תהליך הערכת הסיכונים וטיפול בסיכונים. זה עוזר לארגונים לזהות ולהעריך סיכוני אבטחת מידע, ולפתח תוכניות טיפול מתאימות לסיכונים כדי להפחית סיכונים אלה.
  • ISO/IEC 27006: תקן זה מספק הנחיות לגבי תהליך ההסמכה למערכות ניהול אבטחת מידע. הוא מתאר את הדרישות לגופי הסמכה ומבקרים להעריך ולאשר את תאימות הארגונים ל-ISO 27001.
  • ISO/IEC 27007: הנחיות אלו תוכננו במיוחד לביקורת מערכות ניהול אבטחת מידע. הם מספקים הנחיות לגבי תהליך הביקורת, כולל תכנון, ביצוע ודיווח על ביקורת, כדי להבטיח שה-ISMS של ארגון מיושם ומתוחזק ביעילות.
  • ISO/IEC 27008: הנחיות אלו מתמקדות בניהול אבטחת מידע. הם מספקים הדרכה על הקמה, יישום, תחזוקה ושיפור מתמיד של מערכת הניהול לאבטחת מידע בתוך ארגון.

3. מונחים והגדרות

סעיף המונחים וההגדרות משרת את המטרה לספק הבנה ושפה משותפת לכל הצדדים המעורבים ביישום התקן.

הורדה חינמית

קבל את המדריך שלך ל
ISO 27001 הצלחה

כל מה שאתה צריך לדעת על השגת ISO 27001 בפעם הראשונה

קבלו את המדריך בחינם

4. הקשר של הארגון

4.1 – הבנת הארגון וההקשר שלו

דרישת ISO 27001 4.1 מכוונת להבטיח שלארגונים תהיה הבנה מקיפה של הסביבה הפנימית והחיצונית שלהם על מנת לנהל ביעילות את סיכוני אבטחת המידע שלהם.

זה כרוך בזיהוי והערכה של הגורמים שיכולים להשפיע על יכולתו של הארגון להשיג את יעדי אבטחת המידע שלו.

על ידי הבנת ההקשר הפנימי והחיצוני שלהם, ארגונים יכולים לזהות ולהעריך את הסיכונים הקשורים למערכת ניהול אבטחת המידע שלהם.

זה מאפשר להם לפתח מערכת מותאמת ויעילה המפחיתה את הסיכונים שזוהו ומבטיחה עמידה בחוקים ובתקנות החלים.

קרא עוד על 4.1

4.2 – הבנת הצרכים והציפיות של בעלי עניין

דרישת ISO 27001 4.2 מיועדת לארגונים לזהות ולהבין את הצרכים והציפיות של מחזיקי העניין שלהם. זה כולל לקוחות, ספקים, עובדים, בעלי מניות ובעלי עניין אחרים.

המטרה היא להבטיח שמערכת ניהול אבטחת המידע (ISMS) של הארגון עומדת בדרישות של גורמים אלו.

כדי למלא דרישה זו, ארגונים חייבים תחילה לזהות את מחזיקי העניין שלהם ולהבין את הצרכים והציפיות הספציפיים שלהם.

זה כרוך בבחינת דרישות משפטיות ורגולטוריות, התחייבויות חוזיות ונושאים חיצוניים ופנימיים אחרים הרלוונטיים למטרה של הארגון ומשפיעים על יכולתו להשיג את התוצאה המיועדת של ה-ISMS שלו.

קרא עוד על 4.2

4.3 – קביעת היקף מערכת ניהול אבטחת המידע

דרישת ISO 27001 4.3 מגדירה את הגבולות וההיקף של מערכת ניהול אבטחת המידע (ISMS) של הארגון.

זה כרוך בזיהוי ותיעוד של נכסי המידע, התהליכים, הנהלים, האנשים, המערכות והרשתות הכלולים בהיקף ה-ISMS.

ההיקף צריך להקיף את כל נכסי המידע של הארגון, הן הפיזיים והן הדיגיטליים, כמו גם את התהליכים והנהלים המשמשים לניהולם.

קרא עוד על 4.3

4.4 – מערכת ניהול אבטחת מידע

דרישת ISO 27001 4.4 מתווה את המרכיבים הדרושים להקמת, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS).

ה-ISMS נועד להבטיח את אבטחת המידע והנתונים, כמו גם להגן על הזכויות והחירויות של אנשים.

ISO 27001 מספק סט מקיף של דרישות להקמת ותחזוקה של ISMS אפקטיבי המגן על הסודיות, היושרה והזמינות של המידע.

קרא עוד על 4.4

5. מנהיגות

5.1 - מנהיגות ומחויבות

דרישת ISO 27001 5.1 מסבירה שההנהלה הבכירה של הארגון חייבת להפגין מנהיגות ומחויבות למערכת ניהול אבטחת המידע (ISMS). זה כרוך בכמה תחומי אחריות מרכזיים.

ההנהלה חייבת לפקח ולהעריך את ה-ISMS כדי להבטיח את יעילותו. זה כרוך בביצוע ביקורות פנימיות ונקיטת פעולות תיקון הנדרשות כדי לטפל בכל חולשה או אי-התאמה שזוהו.

קרא עוד על 5.1

5.2 – מדיניות אבטחת מידע

דרישת ISO 27001 5.2 דורשת מארגונים להחזיק במדיניות אבטחת מידע המאושרת על ידי ההנהלה הבכירה.

מדיניות זו משמשת קו מנחה לניהול אבטחת המידע של הארגון וצריכה להתחשב בגורמים שונים כגון אסטרטגיה עסקית, תקנות, חקיקה וסיכונים ואיומים נוכחיים וצפויים באבטחת מידע.

זה אמור לכסות תחומים כמו העברת מידע, תצורה מאובטחת וטיפול בהתקני קצה של משתמשים, אבטחת רשת, ניהול אירועי אבטחת מידע, גיבוי, הצפנה וניהול מפתחות, סיווג וטיפול במידע, ניהול נקודות תורפה טכניות ופיתוח מאובטח.

קרא עוד על 5.2

5.3 – תפקידים ארגוניים, אחריות וסמכויות

דרישת ISO 27001 5.3 מתארת ​​את הדרישה מארגונים להגדיר ולהקצות תפקידים, אחריות ורשויות הקשורות לאבטחת מידע.

זה חיוני כדי להבטיח שכל האנשים והקבוצות בתוך הארגון מודעים לתפקידים ולאחריות הספציפיים שלהם בכל הקשור לאבטחת מידע.

המסמך מדגיש את הצורך בהפרדת תפקידים, כלומר, אנשים או קבוצות שונות צריכים להיות אחראים להיבטים שונים של אבטחת מידע.

זה עוזר למנוע מכל אדם בודד שליטה מוגזמת על אבטחת המידע של הארגון. יתרה מזאת, המסמך דורש מארגונים להבטיח שאנשי הצוות עברו הכשרה נאותה ובעלי הכישורים הדרושים למילוי תפקידיהם ואחריותם.

קרא עוד על 5.3

6. תכנון

6.1 - פעולות לטיפול בסיכונים והזדמנויות

דרישת ISO 27001 6.1 מתמקדת בהבטחה שארגונים מזהים, מעריכים, מטפלים ומנטרים סיכונים והזדמנויות אבטחת מידע.

הדבר כרוך בגישה שיטתית לניהול סיכונים ולנקיטת פעולות מתאימות כדי להפחית אותם.

דרישה זו מדגישה את החשיבות של גישה יזומה ומקיפה לניהול סיכוני אבטחת מידע על מנת להגן על נתונים אישיים ולהבטיח את שלמותן וזמינותן של מערכות המידע.

קרא עוד על 6.1

6.2 – יעדי אבטחת מידע ותכנון להשגתן

דרישת ISO 27001 6.2 דורשת מארגונים לקבוע יעדי אבטחת מידע ולפתח תוכנית להשגתן.

יעדים אלו צריכות להיות ספציפיות, ניתנות למדידה, ניתנות להשגה, רלוונטיות ומוגבלות בזמן (SMART), וצריכות להתאים ליעדים העסקיים הכוללים של הארגון. התוכנית צריכה לתאר את הצעדים, המשאבים וציר הזמן הדרושים כדי להגיע ליעדים הרצויים.

יש צורך בבדיקה שוטפת של יעדי ותוכניות אבטחת מידע כדי להבטיח את הרלוונטיות והיעילות שלהם. יש לשקול כל שינוי בארגון ולשלב בתוכניות לפי הצורך.

קרא עוד על 6.2

קבל headstart של 81%.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה

7. תמיכה

7.1 – משאבים

דרישת ISO 27001 7.1 מבטיחה שלארגון יש את המשאבים הדרושים לשמירה על אבטחת מערכות המידע שלו.

זה כולל זיהוי ותיעוד של כוח האדם, החומרה, התוכנה ומשאבים אחרים הדרושים לאבטחת מידע.

על הארגון לוודא שהמשאבים הללו זמינים ונגישים בעת הצורך.

כפי שתואר קודם עם דרישה 5.3, תקן ISO 27001 אינו מחייב למעשה שה-ISMS חייב להיות מאויש במשאבי משרה מלאה, אלא רק שהתפקידים, האחריות והסמכויות מוגדרים בבירור ובבעלותם - בהנחה שהרמה הנכונה של המשאב תיושם כמו שצריך. נדרש.

קרא עוד על 7.1

7.2 – כשירות

דרישת ISO/IEC 27001 7.2 מתאר כיצד הארגון יבטיח שיש לו:

  • קבע את הכשירות של האנשים שעושים את העבודה על ה-ISMS שיכולה להשפיע על הביצועים שלו.
  • אנשים שנחשבים כשירים על בסיס ההשכלה, ההכשרה או הניסיון הרלוונטיים.
  • במידת הצורך, נקטו בפעולה לרכישת הכשירות הדרושה והעריכו את יעילות הפעולות.
  • שמר ראיות לאמור לעיל למטרות ביקורת.

    • על ידי הבטחת הצוות המוכשר, ארגונים יכולים לנהל ביעילות את ביצועי אבטחת המידע שלהם ולהגן על נתונים אישיים.

    קרא עוד על 7.2

7.3 - מודעות

דרישת ISO 27001 7.3 קובעת שארגונים חייבים להבטיח שכל הצוות מודע לחשיבותה של אבטחת מידע ולתפקידים ואחריות שלהם בשמירה עליה.

זה כולל מתן הכשרה וחינוך בנושאי אבטחת מידע, הבטחת הצוות להבין את מדיניות האבטחה והנהלים של הארגון, ואת ההשלכות של אי ביצועם.

תקן ISO 27001 מבקש אישור לכך שהאנשים שעושים את העבודה מודעים ל:

  • מדיניות אבטחת המידע.
  • תרומתם לאפקטיביות ה-ISMS כולל יתרונות משיפור הביצועים שלו.
  • מה קורה כאשר מערכת ניהול אבטחת המידע אינה תואמת את דרישותיה.

    • על ידי הבטחת הצוות המוכשר, ארגונים יכולים לנהל ביעילות את ביצועי אבטחת המידע שלהם ולהגן על נתונים אישיים.

    קרא עוד על 7.3

7.4 – תקשורת

דרישת ISO 27001 7.4 מתמקדת בצורך של ארגונים לבסס שיטות תקשורת אפקטיביות כדי להבטיח עמידה ביעדי אבטחת המידע. זה כולל תקשורת עם בעלי עניין רלוונטיים, הממונה במקרה של הפרת מידע אישי ובין כל הצדדים המעורבים.

דרישת ISO 27001 7.4 מחפשת את הדברים הבאים:

  • מה לתקשר לגבי ה-ISMS.
  • מתי זה יועבר.
  • מי יהיה חלק מהתקשורת הזו.
  • מי עושה את התקשורת.
  • איך כל זה קורה כלומר באילו מערכות ותהליכים ישמשו כדי להוכיח שזה קורה ויעיל
קרא עוד על 7.4

7.5 – מידע מתועד

דרישת ISO 27001 7.5 עבור ISO 27001 מבקשת ממך לתאר את מערכת ניהול אבטחת המידע שלך ולאחר מכן להדגים כיצד התוצאות המיועדות שלה מושגות עבור הארגון.

חשוב להפליא שכל מה שקשור ל-ISMS יהיה מתועד ומתוחזק היטב, קל למצוא אותו, אם הארגון רוצה להשיג אישור ISO 27001 עצמאי מגוף כמו UKAS.

מבקרים מוסמכים ISO לוקחים ביטחון רב מתחזוקה טובה של מערכת ניהול אבטחת מידע מובנית היטב.

קרא עוד על 7.5

8. מבצע

8.1 – תכנון ובקרה תפעוליים

דרישת ISO 27001 8.1 מתמקדת בהבטחת אבטחת המידע של הארגון על ידי תכנון ובקרה על פעולותיו.

זה כולל זיהוי והערכת סיכונים הקשורים לפעילות הארגון ויישום בקרות אבטחה מתאימות כדי להפחית סיכונים אלה.

הארגון חייב גם לפתח וליישם מדיניות ונהלים כדי להגן על המידע שלו מפני גישה לא מורשית, שימוש, חשיפה, שינוי או הרס.

קל מאוד להדגים ראיות נגד דרישה זו אם הארגון כבר 'הראה את פעולתו'. בפיתוח מערכת ניהול אבטחת המידע לעמידה בדרישות 6.1, 6.2 ובפרט 7.5 כאשר כל ה-ISMS מובנה ומתועד היטב, זה משיג גם 8.1 בו זמנית.

קרא עוד על 8.1

8.2 – הערכת סיכוני אבטחת מידע

דרישת ISO 27001 8.2 דורשת מארגונים לבצע הערכת סיכונים באבטחת מידע (ISRA) במרווחי זמן מתוכננים או כאשר מתרחשים שינויים משמעותיים.

מטרת דרישה זו היא להבטיח שארגונים מודעים לסיכונים פוטנציאליים למערכת ניהול אבטחת המידע שלהם ויכולים לנקוט בצעדים הדרושים כדי להפחית אותם.

התהליך כולל זיהוי, הערכה וניהול סיכונים לנכסי המידע של הארגון. זה כולל ניתוח נכסי המידע של הארגון, זיהוי איומים ופגיעויות הקשורות לנכסים אלה, והערכת ההשפעה הפוטנציאלית של פרצת אבטחה.

קרא עוד על 8.2

8.3 – טיפול בסיכוני אבטחת מידע

דרישת ISO 27001 8.3 מתארת ​​את הדרישה מארגונים לזהות, להעריך ולטפל בסיכוני אבטחת מידע.

זה כולל זיהוי והערכת סיכונים הקשורים לעיבוד נתונים אישיים ויישום אמצעי אבטחה מתאימים כדי להפחית סיכונים אלה. אמצעים אלה יכולים לכלול בקרת גישה, הצפנה וגיבוי נתונים.

ארגונים צריכים להבטיח שכל תהליכים, מוצרים או שירותים המסופקים חיצונית, הרלוונטיים למערכת ניהול אבטחת המידע, נשלטים. יש לשמור גם מידע מתועד של תוצאות הטיפול בסיכוני אבטחת מידע.

קרא עוד על 8.3

9. הערכת ביצועים

9.1 – ניטור, מדידה, ניתוח והערכה

דרישת ISO 27001 9.1 דורשת מארגונים להעריך את ביצועי ה-ISMS ולהסתכל על האפקטיביות של מערכת ניהול אבטחת המידע.

אם הארגון מבקש הסמכה ל-ISO 27001, המבקר העצמאי העובד בגוף הסמכה המשויך ל-UKAS (או גוף מוסמך דומה בינלאומי להסמכת ISO) יבחן מקרוב את התחומים הבאים:

  • מה היא החליטה לנטר ולמדוד, לא רק את היעדים אלא גם את התהליכים והבקרות.
  • כיצד היא תבטיח תוצאות תקפות במדידה, ניטור, ניתוח והערכה.
  • מתי המדידה, הניטור, ההערכה והניתוח מתרחשים ומי עושה זאת.
  • איך התוצאות מתרגלות.

כמו כל דבר אחר עם תקני ISO/IEC כולל ISO 27001, מידע מתועד הוא הכל חשוב - אז תיאורו ואז הדגמה שזה קורה, הם המפתח להצלחה!

קרא עוד על 9.1

9.2 – ביקורת פנימית

דרישה 9.2 של ISO 27001 אומרת שארגון יבצע ביקורות פנימיות במרווחי זמן מתוכננים כדי לספק מידע אם מערכת ניהול אבטחת המידע:

  • תואם את הדרישות של הארגון עצמו עבור מערכת ניהול אבטחת המידע שלו; ועומד בדרישות התקן הבינלאומי ISO 27001.
  • האם ה-ISMS מיושם ומתוחזק ביעילות.

דרישה זו מבטיחה שארגונים מעריכים ומשפרים באופן קבוע את מערכת ניהול אבטחת המידע שלהם כדי להגן על נכסי המידע שלהם ולעמוד ביעדי האבטחה שלהם.

קרא עוד על 9.2

9.3 – סקירת הנהלה

דרישת ISO 27001 9.3 מחייבת ארגונים לערוך סקירות ניהול שוטפות כדי להבטיח את ההתאמה השוטפת, ההתאמה והיעילות של מערכת ניהול אבטחת המידע שלהם.

בדיקות אלו צריכות להתבצע במרווחי זמן מתוכננים, לפחות מדי שנה, ועליהן לערב הנהלה בכירה או נציג ייעודי.

מטרת סקירת ההנהלה היא להעריך את מדיניות אבטחת המידע, הנהלים והבקרות של הארגון, כמו גם הערכת הסיכונים ותהליכי ניהול הסיכונים שלו.

זה כרוך גם בהערכה של תאימות הארגון לחוקים ולתקנות החלים.

במהלך הסקירה, על הארגון להעריך את האפקטיביות של מערכת ניהול אבטחת המידע שלו ולזהות את כל השינויים הדרושים כדי להבטיח עמידה בתקן ISO 27001. הסקירה צריכה לשקול גם את ביצועי הארגון בעמידה ביעדי אבטחת המידע שלו.

קרא עוד על 9.3

10. שיפור

10.1 - אי התאמה ופעולה מתקנת

דרישת ISO 27001 10.1 קובעת שארגונים חייבים להקים תהליך לזיהוי, תיעוד וטיפול בכל חריגה מתקן ISO 27001, המכונה אי-התאמה.

אי התאמות יכולות לכלול כשל בעמידה בדרישות התקן, ליקויים במערכת ניהול אבטחת המידע או כל בעיה אחרת העלולה להוביל לפריצת אבטחה.

כאשר מזוהה אי התאמה, על הארגון לנקוט בפעולה מתקנת כדי לטפל בה. הפעולה המתקנת צריכה להיות מתאימה לחומרת האי-התאמה ומיועדת למנוע מבעיות דומות להתרחש בעתיד.

יש לבדוק את יעילות הפעולה המתקנת על בסיס קבוע כדי להבטיח שהאי-התאמה לא תחזור על עצמה.

קרא עוד על 10.1

10.2 – שיפור מתמיד

דרישת ISO 27001 10.2 קובעת שארגונים חייבים לשפר ללא הרף את מערכת ניהול אבטחת המידע שלהם (ISMS).

משמעות הדבר היא שארגונים צריכים לסקור ולעדכן באופן קבוע את ה-ISMS שלהם כדי להבטיח את יעילותו והתאמתו ליעדי הארגון, לדרישות החוק והרגולציה ולתקן ISO 27001.

יש לעקוב ולבחון את תהליך השיפור המתמיד כדי להבטיח את יעילותו, ולבצע כל השינויים הדרושים כדי לשפר את ההתאמה, ההתאמה והיעילות של ה-ISMS.

קרא עוד על 10.2

אנו נדריך אותך בכל שלב

הכלי המובנה שלנו לוקח אותך מההגדרה ועד להסמכה עם אחוזי הצלחה של 100%.

הזמן הדגמה

קפוץ לנושא

מארק שרון

מארק הוא ראש אסטרטגיית חיפוש ויצירת בינה מלאכותית ב-ISMS.online, שם הוא מפתח תוכן Generative Engine Optimized (GEO), הנחיות מהנדסים וזרימות עבודה סוכניות כדי לשפר מערכות חיפוש, גילוי וידע מובנה. עם מומחיות במסגרות תאימות מרובות, SEO, NLP ו-AI יצירתי, הוא מעצב ארכיטקטורות חיפוש שמגשרות בין נתונים מובנים עם אינטליגנציה נרטיבית.

טויטר

דרישות ISO 27001

ISO 27001 נספח A בקרות

לגבי ISO 27001

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!