מי יהיה מעורב ביישום ISO 27001?

מהו ISO 27001?

ISO/IEC 27001:2013 - כדי לתת לגרסה הבינלאומית הנוכחית את ההתייחסות המלאה שלה - המכונה בדרך כלל ISO 27001, הוא מפרט התקן המוכר הבינלאומי עבור מערכת ניהול אבטחת מידע (ISMS).

ISO 27001 הוא חלק ממשפחת תקנים בטווח ISO 27k, המכסים מגוון רחב של נושאי מידע ואבטחת סייבר והנחיית תאימות.

משפחת ISO 27k היא בעצמה חלק ממשפחה רחבה יותר של תקני מערכות ניהול המבוססים על הנחיות ISO/IEC חלק 1 (מהדורה 11 2020) נספח SL, המגדיר מסגרת מערכת ניהול משותפת.

זה נועד לאפשר מערכת ניהול עסקית ממוקדת סיכונים התומכת בהגנה על נכסי מידע בכל צורה שהיא - למשל בתוך מערכות IT, בעותק מודפס או במדיה דיגיטלית, ואפילו בתוך הראש של אנשים. זה לא נועד לשמש כתקן אבטחה טכני.
התקן מכיל:

• "הדרישות" המחייבות (הידועות לעתים קרובות כ"סעיפי מערכת הניהול") המתאימות למסגרת הנחיות ISO חלק 1 נספח SL; ו
• נספח א - סט דוגמה של בקרות הניתנות לבחירת סיכונים המשמשות בדרך כלל כדי לעזור להפחית סיכונים לרמה נסבלת.

למידע נוסף על דרישות הליבה של ISO 27001 והבקרות נספח A שתוכל לבחור ליישם כאן.

מדוע ISO 27001 חשוב?

כל הארגונים יוצרים, מנהלים ומפיצים מידע, ולכל מידע יש ערך. הטמעת מערכת ניהול אבטחת מידע מוכרת בינלאומית תסייע בהגנה על הערך ותעניק תועלת עסקית משמעותית והחזר על ההשקעה.

הטבות כאלה עשויות לכלול:

• היכולת לפעול בשווקים מוסדרים הדורשים להדגמה אבטחת מידע.
• ההזדמנות להשתמש בהסמכה מוסמכת כמבדיל קריטי לזכייה בעסקים חדשים.
• הפחתת התקורות התפעוליות על ידי התמקדות בבקרות אבטחה היכן שהן באמת נחוצות צמצום סיכונים קריטיים וייעול תהליכי ניהול אבטחת מידע.
• הפחתה בעלויות הכרוכות בתגובה לאירועי מידע ואבטחת סייבר.
• קל יותר להוכיח עמידה בחקיקה ורגולציה והפחתה של עונשים אפשריים על הפרות של כאלה.

אילו תפקידים נדרשים להטמעת מערכת ניהול אבטחת מידע ISO 27001?

בעוד ש-ISO 27001 אינו מציין תפקידים נדרשים; יהיה צורך להקצות מספר תחומי אחריות בסיסיים להבטיח שה-ISMS תואם את התרבות והטבע של הארגון שלך ופעולותיו העסקיות ומנהלת בהצלחה סיכוני מידע ברמה נסבלת.

המונח "בעלי עניין" פירושו דברים שונים לאנשים שונים, ולעתים קרובות תשמעו על בעלי עניין ראשוניים, משניים ואפילו שלישוניים, בעלי עניין ישירים ועקיפים. תקני מערכות הניהול של ISO לא מדברים על מחזיקי עניין, אלא על "בעלי עניין", אבל זה לא אומר שלא יהיו לך בעלי עניין פנימיים ל-ISMS.

בעלי עניין ראשוניים

מכיוון ש-ISO 27001 הוא תקן מערכת ניהול עסקית בראש ובראשונה, בעלי העניין העיקריים שלך חייבים לשבת ברמת הניהול הבכירה ביותר - מדובר בכל זאת על הגנה על העסק שלך!

אתם, בעלי העניין העיקריים, צפויים לכלול:

• "C" או ייצוג ונותן חסות ברמת הוועד המנהל.
• בעל עניין בכיר בסיכון – אולי קצין מידע בכיר (SIRO) או תפקיד דומה האחראי לפיקוח על כל הסיכונים העסקיים, שסיכון המידע מהווה חלק ממנו.
• אדם או צוות אחראי על ה-ISMS - אולי ראשי קצין אבטחת מידע (CISO), מנהל אבטחת מידע (ISM) או דומה, שמתאים לתרבות ולטרמינולוגיה של הארגון שלך ולמבנה הקיים שלו.
• "מיישם מוביל" או משאב מועמד דומה אחראי על ניהול היישום של ה-ISMS.

בעלי עניין משניים

בעלי עניין משניים יהיו אלה שיהיו אחראים על חלק מה-ISMS. זה יכלול נציגי נושא מכל הארגון ואולי שותפיו ואפילו ספקים.

רשימת בעלי העניין המשניים תיקבע על פי גודל ואופי הארגון שלך, אך עשויה לכלול:

• מומחי מידע ואבטחת סייבר הרלוונטיים לפעילות הארגון שלך.
• אבטחת IT ומשאב טכני.
• ייצוג משאבי אנוש.
• ביטחון גופני ייצוג - אולי "מתקנים" או דומה
• ייצוג משפטי ותאימות
• ביקורת פנימית
• נציגים ממחלקות עסקיות האחראיות על התהליכים העסקיים הקריטיים שלך - ה-ISMS צריך לעבוד עם אלה, לא להפוך לחוסם. אז שיתוף מנהלים עסקיים ברחבי הארגון יהיה בסיסי להשגת זה.
• נציגים מספקים או שותפים שיש להם גישה למידע של הארגון.

הוגדר תפקיד מיישם מוביל

תפקיד "המפעל המוביל" הוא הפרט האחראי לפקח על יישום ה-ISMS וככזה צריך להיות מישהו עם הידע והיכולת הנדרשים למשימה.

הם יצטרכו להבין את תקן ISO 27001 ותקני הנחיות נלווים מאותה משפחה. הם גם יצטרכו להכיר את תהליכי המפתח ליישום, הפעלה, ניטור ו שיפור ה-ISMS כדי להבטיח שה-ISMS יעיל ואפקטיבי.

באופן מסורתי, מדובר ב"קנויה" בצורה של יועץ מומחה או "מדוגר" על ידי שליחת איש צוות קיים אחד או יותר בקורס הדרכה ליישם מוביל ISO 27001. שתי אלה בדרך כלל הן אפשרויות יקרות.

פלטפורמת ISMS.online מספק מספר כלים שעוזרים למלא את פער הידע והיכולות שעוזרים לצמצם או לבטל את הצורך בהוצאה כזו. אלו כוללים:

• את העתיד תוכן מעשי - מדיניות ובקרות מתועדות שתוכלו לאמץ, להתאים או להוסיף אליהן בקלות, וזה אומר שייתכן שיהיה לכם עד 77% מהתיעוד שאתם צריכים מהיום הראשון.
• את העתיד "שיטת תוצאות מובטחות" (ARM) - שהיא מפת דרכים שנוצרה על ידי מומחה לנושא שמובילה אותך ביישום ה-ISMS שלך בצורה הגיונית ויעילה.
• כלים מוכנים מראש - כמו שלנו רישום סיכונים שכולל:
  • בנק לדוגמה של למעלה מ-100 נפוצים סיכוני אבטחת מידע,
  • מפת המתעניינים שלנו,
  • המסלולים שלנו לניהול אירועים, פעולות מתקנות ושיפורים,
  • והמרשם החוקי והרגולטורי שלנו, המכיל בדרך כלל חקיקה ורגולציה רלוונטיים.
• את העתיד "מאמן וירטואלי" - תוספת אופציונלית המספקת ייעוץ והכוונה של מומחים באמצעות הסבר קונטקסטואלי מקושר לתוכן, אודיו וטקסט.

גלה כיצד פלטפורמה פשוטה, מאובטחת ובת קיימא של ISMS.onlines יכולה להתאים לצרכים שלך כאן.

הנהלה גבוהה

"הכל מתחיל מלמעלה" - ISO 27001 הוא בראש ובראשונה מערכת ניהול עסקית שנועדה לנהל את ההגנה על נכסי המידע של הארגון ולהפחית את סיכוני המידע לרמה נסבלת.

ללא תמיכה מההנהלה ברמה העליונה, אין זה סביר שהיישום והתפעול של ה-ISMS יהיו מוצלחים, יעילים או יעילים.

ISO 27001 מגדיר חלק סעיפי יסוד שבאחריות ההנהלה הבכירה, ובכלל זה:

• 5.1 מנהיגות ומחויבות – מחויבות ההנהלה העליונה לשילוב אבטחת מידע בתוך הארגון ותהליכיו
• תמיכה 7 - אספקת משאב מספיק ומוכשר עבור ה-ISMS
• 9.3 סקירת הנהלה - התחייבות להנהלה הבכירה לבדוק על בסיס שנתי לפחות את יעילות ה-ISMS

צוות אבטחת מידע / ממשל

היסוד להטמעה ותפעול מוצלח של ה-ISMS יהיה צוות אבטחת המידע והממשל המוטל על הניהול הכולל של ה-ISMS ומרכיביו.

לרוב מדובר בצוותים שתפקידם העיקרי מתמקד באבטחת מידע וממשל. עם זאת, אם הארגון שלך קטן, סביר להניח שמדובר באדם אחד שיש לו גם עבודה יומית אחרת.

פלטפורמת ISMS.online יכולה לעזור לספק את הידע, הכשירות והביטחון במקום שבו משאבים ברמת המומחים אינם זמינים ולהבטיח שה-ISMS לא יהפוך לתקורה מכבידה.

מחלקת IT או ספקים

ככל שמידע רב מאוחסן, מעובד ומועבר על או באמצעות מערכות IT, רשתות ויישומים, יהיה צורך להבטיח שאינטראקציה מתאימה עם מחלקות IT ו/או ספקים מובנית ב-ISMS בשלב מוקדם.

רבים מהבקרות שיושמו כדי להגן על נכסי המידע שלך יהיו בקרות טכניות שתוכננו, פותחו, יושמו ומופעלים על ידי מחלקת ה-IT או הספקים שלך.

ניהול הציפיות וחלוקת האחריות להיבטים הטכניים של מידע ואבטחת סייבר יהיו קריטיים להצלחת ה-ISMS.

מבקר/ים פנימיים

ISO 27001, כמו בכל תקני מערכת הניהול ISO, מחייב ארגון לקיים תוכנית של ביקורות פנימיות לאימות הפעולה האפקטיבית של ה-ISMS ואת יכולתו להפחית את סיכוני המידע לרמה נסבלת.

לכל הפחות, סעיפי ניהול ה-ISMS (4-10) חייבים להיבדק מדי שנה, ובקרות נספח A להיבדק בתוך תקופת ההסמכה (3 שנים עבור אישורים מוסמכים של UKAS).

בחירת המבקרים הפנימיים חייבת להבטיח אובייקטיביות - כלומר אינך יכול לבקר את עבודתך שלך - וכשירות - המבקר חייב להיות בעל הידע והיכולת לבצע את הביקורת.

שירות המאמן הוירטואלי שלנו מגיע בנוי מראש עם כל מה שאתה צריך לדעת על ביקורות פנימיות או קרא את שלנו מדריך פשוט ל-ISO 27001:2013 ביקורת פנימית עם הדרכה ורעיונות איך אתה יכול להשיג את המטרה שלך.

קצין הגנה על נתונים

השמיים קצין הגנה על נתונים בדרך כלל אחראית להבטחת הניהול, השימוש וההגנה המתאימים של מידע אישי מזהה (PII) בתוך הארגון. מידע כזה יתייחס לצוות הארגון, ולעתים קרובות לזה של לקוחותיו.

אחריות זו כוללת בבירור הבטחה שקיימים בקרות ותהליכים נאותים של מידע ואבטחת סייבר כדי להגן על סוג זה של מידע.

תפקיד קצין הגנת המידע אינו מצוין או מחייב במסגרת ISO 27001, עם זאת, חקיקה ורגולציה רלוונטיים אחרים כגון חוק הגנת המידע הבריטי (2018) וה- תקנה כללית להגנה על נתונים (GDPR) דורש תפקיד מסוג זה. בנוסף, ציות ובקרות אחרות במסגרת ISO 27001 מרמזים מאוד על הצורך בתפקיד כזה.

מי יבקר את ה-ISMS שלנו עבור הסמכת ISO 27001?

אם אתה מחפש להשיג מוכר ומכובד הסמכה עבור ה-ISMS שלך - הכרחי כדי להפיק ממנו את התועלת המרבית - תצטרך להעסיק גוף הסמכה מוסמך ISO 27001 כדי לבצע את הביקורות הנדרשות להסמכה.

מהם גופי הסמכה ISO 27001?

גופי ההסמכה מספקים למבקרים את הכישורים, הידע והיכולת לערוך את מבדקי ההסמכה ולהבטיח שההסמכה מוסמכת ברמה עקבית.

ארגונים כאלה מופיעים בדרך כלל באתר האינטרנט של גוף ההסמכה הטריטוריאלי. בבריטניה, גוף ההסמכה הוא שירות ההסמכה של בריטניה (UKAS), והם מפקחים על גופי ההסמכה המוסמכים בבריטניה.

כמה זמן ייקח לבנות את ה-ISMS?

כמו בכל פרויקט משמעותי, הזמן שייקח יהיה תלוי במה שצריך לעשות וביכולת והיכולת של המשאבים שהועמדו לרשותו.

עבור ISO 27001, ה"מה צריך לעשות" מוגדר היטב במסגרת התקן, והמשאבים שיעמדו לרשותך ייקבעו על ידי הארגון שלך.

בדרך כלל, עבור ארגון קטן עד בינוני עם כמה מדיניות ובקרות קיימות מראש, בניית ISMS יכולה להימשך בין 6 חודשים לשנה (תלוי ברמות המשאבים). לפעמים, זה אפילו ארוך יותר אם המשאבים הזמינים צריכים לפצל את זמנם בין משרות אחרות. פרויקט של 150 יום (שווה ערך למשרה מלאה) הוא די נפוץ.

השמיים פלטפורמת ISMS.online יכול לעזור להפחית משמעותית את רמות המשאבים שלך. בהתאם לכמות התוכן הניתן לפעולה שתוכל לאמץ או להתאים בקלות, ניתן לצמצם את בניית ה-ISMS שלך ב-75% או 80%. חלק מהלקוחות יכולים לעבור מהתחלה קבועה להיות מוכנים להתחיל בתהליך ביקורת ההסמכה תוך 6 שבועות.

כמה זמן ייקח לקבל אישור ISO 27001?

לאחר בניית ה-ISMS שלך, תהליך ביקורת ההסמכה מתרחש בשני שלבים כאשר מסגרת זמן של חודשיים היא דבר נפוץ. בדרך כלל התהליך הדו-שלבי הוא:

• ביקורת שלב 1 - סקירת תיעוד ISMS
• תקופת פעולה מתקנת - בדרך כלל 4-6 שבועות בין שני השלבים כדי לאפשר לארגון לבצע את כל הפעולות המתקנות הנובעות מביקורת שלב 1
• ביקורת שלב 2 – ביקורת "הסמכה" ראייתית
• סקירת גוף הסמכה והסמכה - בדרך כלל 2-4 שבועות. גוף ההסמכה יבדוק את הביקורת באופן פנימי ויגיש את הביקורת ל-UKAS אשר עשויה לדגום את הביקורת באופן אופציונלי לבדיקה.

איך אני בוחר גוף הסמכה?

גורמים רבים ישפיעו על בחירתך בגוף ההסמכה.

החשוב שבהם יהיה להבטיח שגוף ההסמכה יהיה מוסמך. אפשר לקבל הסמכה לא מוסמכת. עם זאת, תהיה לכך יושרה וערך מוגבלים. אנו ממליצים בחום לא ללכת במסלול זה.

אם אתה כבר מחזיק בתעודות אחרות, כגון:

• ISO 9001 (ניהול איכות)
• ISO 14001 (ניהול סביבתי)
• ISO 45001 (ניהול בריאות ובטיחות תעסוקתית)*

סביר להניח שתפנה תחילה לגוף ההסמכה הקיים שלך כדי לראות אם הם גם מוסמכים ל-ISO 27001.

*הערה - אם כבר יש לך אישורים לתקנים אחרים של מערכת ניהול, ייתכן שתפיק תועלת משילובם באחד "מערכת ניהול משולבת" - ופלטפורמת ISMS.online יכולה לעזור להשיג זאת.

אילו משאבים אצטרך ליישום ISO 27001?

זיהינו לעיל כמה תפקידים שיהיו מעורבים בהטמעת ה-ISMS שלך, אבל בעצם תצטרך:

• משאב מוכשר (כגון מיישם מוביל) - עם הידע של התקן - פלטפורמת ISMS.online יכולה לספק הרבה מהיכולת הנדרשת באמצעות התוכן והכלים הבנויים מראש.
• קיבולת של משאבים אחרים - כגון נציגי נושא מ-IT, משפטי, מתקנים, הנהלה בכירה ומחלקות עסקיות.

זה חלק חיוני בתכנון הטמעת ISMS שלך שתשקול את הכשירות, הקיבולת, הביטחון והמשמעת של המשאבים שלך אם ברצונך להשיג יישום מוצלח, יעיל ואפקטיבי במסגרת זמן סבירה.

בהנחה שנקבל הסמכה, אילו משאבים נזדקק לתחזוקה?

ISMS מוסמך הוא מסע מתמשך, לא יעד. ככזה, זה ידרוש רמת משאבים מסוימת כדי לשמור עליו. ככל ש-ISMS ישתלב יותר בתהליכים היומיומיים של הארגון, וככל שהאחריות תהיה יותר מאוחדת, כך היא תפחת.

מעבר להיבטי הבקרה המשולבים של ה-ISMS, יהיה עליך לוודא שהתהליכים הקריטיים של ה-ISMS מופעלים:

• ניהול סיכונים - סקירה שוטפת של סיכונים כדי להבטיח שהטיפולים יישארו הולמים ופרופורציונליים.
• ביקורת פנימית - התפעול השוטף של תוכנית ביקורת פנימית המכסה את כל התקן, לכל הפחות, בתוך תקופת ההסמכה (3 שנים עבור הסמכה מוסמכת של UKAS), ובתדירות גבוהה יותר מבקרת אותם תחומי פעולה או סיכון חיוניים.

• סקירה מנהלתית - סקירת ניהול ברמה העליונה של ה-ISMS על בסיס שנתי לפחות כדי להבטיח את היעילות והאפקטיביות של ה-ISMS בהשגת היעדים המונהגים על ידי העסק שנקבעו לאבטחת מידע.
• פעולה מתקנת ו שיפור מתמשך - תהליכים כדי להבטיח שה-ISMS משתפר ללא הרף עם הזמן ואי-התאמות יתוקנו במסגרת זמן סבירה.

מה נצטרך לעשות כשהתקן יתעדכן?

זה יהיה תלוי באופי העדכון. כל תקני מערכות הניהול ISO נצפו ומתעדכנים מעת לעת.

אם התקן נמצא מתאים במידה רבה, אז יכול להיות שבוצעו רק עדכונים קלים בנוסח.

עם זאת, לפעמים התקן עובד מחדש מסיבה כלשהי. זה מביא לעדכון גדול שעשוי לדרוש ביקורת "מעבר" מגרסה אחת של התקן לגרסה החדשה.

הפעם האחרונה שבה התרחש מבנה מחדש גדול של ISO 27001 היה בשנת 2013 (השינוי מגרסה 2005 לגרסת 2013). מכיוון שזו הייתה שיפוץ גדול, ניתנה תקופת מעבר של שנתיים לארגונים.

מכיוון ששינוי כזה יכול ליצור כמויות גדולות של עבודה ועלות עבור ארגונים רבים, ISO מנסה להימנע משינויים כה משמעותיים בכל מקום אפשרי.

יהיו העדכונים אשר יהיו, גוף ההסמכה שלך אמור ליידע אותך מה עליך לעשות.

היה סמוך ובטוח, אנו נעדכן את פלטפורמת ISMS.online כדי לשקף את הגרסה הנוכחית של התקן בכל פעם שזה יקרה.

מה אם העסק שלי ישנה את המוצרים/שירותים שאנו מציעים?

בהתאם למידת המשמעותיות של השינויים, ייתכן שתדרוש ביקורת יוצאת דופן על ידי גוף ההסמכה כדי לוודא שההסמכה שלך מכסה את המוצרים והשירותים החדשים במסגרת ה-ISMS.

עם זאת, מקובל שגוף ההסמכה ישלב ביקורת זו עם ביקורת מעקב תקופתית או בביקורת ההסמכה הבאה שלכם.

חשוב לציין שייתכן שהמוצרים או השירותים החדשים שלך לא יהיו מכוסים על ידי ההסמכה הקיימת שלך עד שניתן אישור מגוף ההסמכה.

מה אם נפתח משרד חדש במדינה זרה?

בדומה לשינויים במוצרים/שירותים לעיל, סביר להניח שתדרוש רמה מסוימת של ביקורת נוספת מגוף ההסמכה שלך כדי לוודא שהפעילות שלך במדינה החדשה מכוסה במסגרת ההסמכה.

גורם מכריע אחד שיש לקחת בחשבון כדי להרחיב את ISO 27001 שלך כך שיכלול פעילות במדינות חדשות הוא שכמעט בוודאות יהיו חקיקה ורגולציה שונה לאבטחת מידע שיש לקחת בחשבון.

איזו מחלקה צריכה להיות הבעלים של ה-ISMS?

אין תשובה נכונה או לא נכונה לשאלה זו, והיא תהיה תלויה לחלוטין במבנה הארגון שלך ובתרבות שלו. עם זאת, יש כמה נקודות עיקריות שיש לקחת בחשבון:

• ISO 27001 הוא תקן מערכת ניהול עסקית - אז אולי עדיף להציב בעלות במחלקה חוצת עסק כמו סיכונים או תאימות.
• ניתן להציב בעלות בתוך ה-IT. עם זאת, לעתים קרובות זה יכול להוביל לאבטחת מידע, להפוך לבעיה של IT בלבד ועלול לפספס את ההיבטים העסקיים של התקן.
• ניתן למקם את ה-ISMS בתוך מחלקה ספציפית של "אבטחת מידע", אולם הדבר עלול להוביל ל"סילוד" של הפעילות, ליצירת אינטראקציה גרועה עם העסק הרחב יותר או להיראות כמבנה "שיטור" אשר הופך במהרה ל- חוסם ולא מאפשר.

דרך טובה אחת שיכולה לעבוד עבור ארגונים רבים היא שהבעלות תהיה ברמה העליונה של הארגון. ניתן לאגד את פעולת ה-ISMS בכל הארגון אך לתאם על ידי משאב מוביל, כגון CISO או מנהל אבטחת מידע.

איך ISMS.online יכול לעזור לי ליישם את ISO 27001 מהר יותר?

על ידי ביטול מיסטיקה של ISO 27001 והגישה להטמעת ISMS, פלטפורמת ISMS.online יכולה להאיץ את היישום שלך על ידי מיקוד המאמצים שלך במקום הנכון ובזמן הנכון.

בנוסף, על ידי אספקת פתרון ISMS הכל-במקום אחד, ניתן לחסוך זמן רב על ידי לא צורך לחפש כלים מרובים, להקים מאגרי תיעוד מורכבים ולהטמיע תהליכים חדשים - כל אלה נמצאים בדיוק במארז. יום 1.

פלטפורמת ISMS.online יכולה לעזור לצמצם משמעותית את הזמן הנדרש ליישום ISMS על ידי מתן כל מה שאתה צריך כדי להשיג אישור ISO 27001 בפעם הראשונה.

כיצד ISMS.online מקל על יישום ISO 27001?

פלטפורמת ISMS.online מבטלת את המיסתורין של ISO 27001 ומיישמת ומפעילה ISMS תואם ISO 27001 ומוסמך. עם מידע זה והקשר במקום הנכון, פלטפורמת ISMS.online תעזור לך לאמץ בקלות, להתאים או להוסיף לתוכן לדוגמה שלנו, ולהפוך את המסע שלך להסמכה להרבה יותר קל.