עמידה בתקן איי אס או 27001: מה נדרש בפועל ואיפה נתקעים

עמידה בתקני אבטחת מידע ISO 27001: מה נדרש בפועל – ואיפה כולם מסתבכים

אם הגעת לכאן בגלל ״עמידה בתקני אבטחת מידע ISO 27001: מה נדרש בפועל״, מעולה.

זה בדיוק המקום שבו מפסיקים לדבר בסיסמאות ומתחילים להבין מה באמת צריך לעשות.

בלי דרמה.

בלי שפה מרובעת.

וכן, גם בלי לסבול.

למה ISO 27001 בכלל מעניין? (רמז: זה לא בגלל התעודה)

ISO 27001 הוא תקן שמכריח ארגון לבנות מערכת ניהול אבטחת מידע שנשארת יציבה גם כשהמציאות עושה פרצופים.

הוא לא ״רשימת צ׳ק-בוקס״.

הוא שיטה.

ולכן מי שמגיע אליו בגישה של ״יאללה נסיים ונמשיך הלאה״, מגלה מהר מאוד שזה לא עובד.

הקטע היפה?

כשעושים את זה נכון, התקן הופך לכלי ניהולי שמסדר את הבית.

כזה שמפחית בלגן, מקצר תהליכים, ומעלה את רמת האמון מול לקוחות, ספקים ומשקיעים.

ISO 27001 על רגל אחת – ומה מסתתר מאחורי הרגל הזו

בבסיס, ISO 27001 דורש דבר אחד: להוכיח שיש לך מערכת ניהול שעובדת.

לא מצגת.

לא ״אנחנו בדרך״.

מערכת אמיתית.

המערכת הזו נקראת ISMS – Information Security Management System.

והיא בנויה מכמה אבני יסוד שחוזרות בכל ארגון, בכל גודל, ובכל תעשייה.

הקשר ארגוני – להבין מה אתה עושה, למי זה חשוב, ומה עלול להשתבש.
מנהיגות – מישהו צריך לקחת אחריות, ולא רק לשלוח מייל ״חשוב לאשר״.
תכנון – ניהול סיכונים, יעדים, ותוכנית שמחוברת למציאות.
תמיכה – אנשים, מיומנויות, מודעות, ותיעוד שניתן לחיות איתו.
תפעול – תהליכים שמבוצעים בפועל, כולל טיפול בסיכונים ושינויים.
בדיקה ושיפור – מדידות, ביקורות, ניהול אירועים, ותיקון דברים לפני שהם מתפוצצים.

רגע, מה באמת נדרש בפועל? הנה הרשימה שאנשים מפחדים ממנה

כדי לעמוד בתקן, צריך לבנות סט תהליכים ומסמכים, אבל גם להראות שהם עובדים ביום יום.

החלק ה״מפתיע״ הוא שהרבה מהדרישות די הגיוניות.

החלק הפחות מפתיע הוא שאנשים עדיין מצליחים לסבך אותן.

1) גבולות המשחק – הגדרת תחום ה-ISMS

צריך להגדיר מה נכנס לתוך היקף התקן.

מוצר אחד או כל החברה?

כל הסניפים או רק מרכז פיתוח?

שירות ענן מסוים או כל התשתית?

הטיפ הכי פרקטי: להגדיר היקף שאפשר לנהל, אבל גם שלא ייראה כמו ״קומבינה״.

2) מיפוי נכסים – מה יש לנו בכלל?

ISO 27001 אוהב סדר.

ואם אי אפשר להסביר מה הנכסים שלך, קשה להגן עליהם.

נכסים זה לא רק שרתים.

זה גם מידע, תהליכים, זהויות משתמשים, מפתחות הצפנה, קוד מקור, ספקים, וידע ארגוני.

מיפוי מערכות ושירותים קריטיים
רשימת מאגרי מידע וזרימות מידע
הבנת מי נוגע במה – ולמה

3) ניהול סיכונים – החלק שכולם חושבים שהוא ״טופס״

כאן התקן באמת בודק בגרות.

כי ניהול סיכונים טוב הוא לא דוח.

הוא מנגנון החלטה.

מה הסיכונים הכי חשובים?

מה אנחנו עושים איתם?

מי אחראי?

מתי בודקים שוב?

מה צריך כדי שזה יעבוד?

מתודולוגיה ברורה – איך מודדים סיכון, ואיך מחליטים מה ״גבוה״.
רישום עקבי – Risk Register שאפשר לתחזק בלי לבכות.
טיפול – הפחתה, העברה, קבלה או הימנעות, עם נימוק.
הוכחות – החלטות, אישורים, ומעקב אחרי ביצוע.

4) Statement of Applicability – המסמך שמגלה אם אתה אמיתי

זה מסמך שממפה אילו בקרות אבטחה רלוונטיות אליך, ואיך אתה מיישם אותן.

הוא מחובר לנספח הבקרות של התקן.

הוא גם המקום שבו אי אפשר ״למרוח״.

כי אם כתבת שיש לך בקרה, המבדק ירצה לראות אותה.

ואם כתבת שאין לך, תצטרך להסביר למה, וזה חייב להיות הגיוני.

הבקרות עצמן – מה באמת מצפים לראות בשטח?

הבקרות נראות לפעמים כמו רשימת משאלות של מישהו שאוהב נהלים.

אבל בפועל, כשמתרגמים אותן נכון, הן פשוט הרגלים בריאים.

5) מי נכנס לאן? הרשאות, זהויות, וגישות

כאן רוצים לראות משמעת.

ניהול מחזור חיי משתמש – הצטרפות, שינוי תפקיד, עזיבה
עקרון מינימום הרשאות
אימות חזק היכן שצריך
ביקורת תקופתית על הרשאות

ומה הקטע הכי חשוב?

שהתהליך יהיה עקבי.

לא ״בפיתוח אנחנו מסודרים, בשיווק זה בערך״.

6) ניהול שינויים – כי ״רק תיקון קטן״ הוא משפט מפורסם

תהליכי שינוי צריכים להיות מתועדים.

לא כבדים.

כן עקביים.

מי מאשר שינוי?
איך בודקים לפני פריסה?
מה עושים אם צריך Rollback?
איך מתעדים את ההחלטות?

7) ספקים ושרשרת אספקה – החברים שבאים עם חוזה

ISO 27001 לא נותן לך להתעלם מספקים.

כי בפועל, הרבה סיכונים חיים אצל צד ג׳.

בדיקות ספקים לפני התקשרות
דרישות אבטחה בחוזה
תהליך מעקב תקופתי
ניהול הרשאות לספקים והפרדה בין סביבות

8) אירועי אבטחה – מה עושים כשקורה משהו?

אין ארגון שחי בעולם אמיתי בלי אירועים.

הציפייה היא לא ״שלא יקרה״.

הציפייה היא שתדע להגיב.

תהליך דיווח ברור
סיווג אירועים לפי חומרה
חקירה ותיעוד
פעולות מתקנות ומניעת חזרה
למידה ארגונית (כן, גם אם זה קצת מביך)

תיעוד – כמה צריך? התשובה: מספיק כדי לעבוד, לא כדי להרדים

ISO 27001 דורש ״מידע מתועד״.

אבל הוא לא אומר לך לכתוב אנציקלופדיה.

המבחן הוא פשוט: האם מישהו אחר יכול להבין, לבצע, ולבדוק?

אם המסמך רק נראה טוב אבל אף אחד לא משתמש בו, הוא פחות עוזר.

מדיניות אבטחת מידע קצרה וברורה
נהלי ליבה: גישה, שינויים, גיבויים, ספקים, אירועים
רישומים: סיכונים, חריגות, תוצאות ביקורות, הדרכות

הדרכות ומודעות – כן, גם אנשים הם חלק מהמערכת

התקן דורש מודעות.

לא מצפה שכולם יהפכו לאנשי סייבר.

כן מצפה שידעו להתנהל נכון.

תכלס?

הדרכה טובה היא קצרה, מחוברת לעבודה, ומרגישה שימושית.

הדרכת קליטה לכל עובד חדש
רענון תקופתי
מסרים ממוקדים: פישינג, סיסמאות, שיתוף מידע
מדידה פשוטה: מי השלים ומתי

ביקורות פנימיות והנהלה – החלק שבו מגלים אם זה חי

כדי לעמוד בתקן צריך לבצע ביקורת פנימית על ה-ISMS.

זה לא עונש.

זה כמו בדיקת דופק.

בנוסף יש ״סקר הנהלה״.

שם ההנהלה בודקת האם המערכת עוזרת להשיג מטרות, מה חסר, ומה לשפר.

אם זה נעשה נכון, זה נהיה מנגנון שמשפר ביצועים ולא רק אבטחה.

שאלות ותשובות זריזות (אבל חכמות)

כמה זמן לוקח להגיע להסמכה?

זה תלוי בהיקף, בבשלות תהליכים, ובכמה רוצים לעשות את זה חכם ולא בפאניקה.

ארגון עם בסיס טוב יכול להתקדם מהר יחסית.

ארגון בלי תשתית תהליכית יידרש קודם לעשות סדר, וזה דווקא יתרון לטווח ארוך.

האם חייבים ליישם את כל הבקרות?

לא.

חייבים להחליט בצורה מנומקת מה רלוונטי ומה לא, ולתעד זאת ב-Statement of Applicability.

הבחירה חייבת להתאים לסיכונים ולהקשר העסקי.

מה ההבדל בין ״מדיניות״ ל״נוהל״?

מדיניות אומרת ״מה הכיוון״ והעקרונות.

נוהל אומר ״איך עושים את זה בפועל״.

אם המדיניות ארוכה מדי, היא בדרך כלל מנסה להיות נוהל בתחפושת.

איך מוכיחים שהדברים קורים באמת?

עם ראיות קטנות ושגרתיות.

לוגים, טיקטים, דוחות גיבוי, רשומות הדרכה, תוצאות סקירות הרשאות, פרוטוקולים של החלטות.

לא צריך דרמה.

צריך עקביות.

מה הטעות הכי נפוצה בפרויקטים של ISO 27001?

לבנות ״תיקייה יפה״ במקום לבנות הרגלים ותהליכים שמחזיקים לאורך זמן.

התקן אוהב מציאות.

פחות אוהב הצגות.

האם ISO 27001 מתאים גם לסטארטאפ קטן?

כן, אם עושים התאמה חכמה.

התקן סקיילבילי.

אפשר להתחיל מהיקף ממוקד, לבנות בסיס נכון, ולהתרחב.

מה צריך להכין לפני שמביאים גוף מבדק?

לוודא שה-ISMS רץ תקופה סבירה, שיש ניהול סיכונים פעיל, שהבקרות המרכזיות עובדות, ושבוצעה ביקורת פנימית וסקר הנהלה.

ואז, לנשום.

איך הופכים את ISO 27001 למשהו שבאמת עובד ולא רק ״פרויקט״?

הסוד הוא לשלב את זה בעבודה הרגילה.

לא להעמיס טקסים.

לבנות מינימום תהליכים שמכסים מקסימום סיכון.

ולמדוד דברים שאפשר למדוד בלי לייצר עוד עבודה מיותרת.

שגרה קבועה – סקירת סיכונים, הרשאות, ספקים, ואירועים בקצב קבוע.
בעלות אמיתית – לכל בקרה יש אחראי, לא ״כולם״ ולא ״ה-IT״.
אוטומציה איפה שאפשר – גיבויים, ניטור, ניהול זהויות, טיקטים.
תיעוד רזה – מסמך קצר שעובדים איתו מנצח מסמך מושלם שאף אחד לא פותח.

שתי נקודות מעניינות למי שאוהב להעמיק (ולא רק לסמן וי)

לפעמים שווה לקרוא זוויות נוספות על אבטחת מידע וניהול תהליכים.

למשל, אפשר להכיר את אילון אוריאל דרך פרופיל שמרכז פעילות מקצועית.

ואם בא לך תוכן שמתעמק ברעיונות, תהליכים וכתיבה מקצועית, יש גם עמוד מחבר של אילון אוריאל שמרכז מאמרים רלוונטיים.

סיכום – מה נשאר לך לעשות מחר בבוקר?

אם אתה רוצה עמידה אמיתית ב-ISO 27001, תחשוב על זה כעל בניית מערכת שמגינה על העסק ועושה סדר, לא כמרוץ לתעודה.

תגדיר היקף הגיוני.

תמפה נכסים.

תנהל סיכונים כמו שמקבלים החלטות בעולם אמיתי.

תיישם בקרות בצורה פרקטית.

ותמדוד, תבדוק, ותשפר – בלי להיכנס לדיכאון נהלים.

ככה מגיעים להסמכה, אבל יותר חשוב: ככה בונים ביטחון אמיתי שמחזיק לאורך זמן.

SEODude

עמידה בתקני אבטחת מידע ISO 27001: מה נדרש בפועל

עמידה בתקני אבטחת מידע ISO 27001: מה נדרש בפועל

למה ISO 27001 בכלל מעניין? (רמז: זה לא בגלל התעודה)

ISO 27001 על רגל אחת – ומה מסתתר מאחורי הרגל הזו

רגע, מה באמת נדרש בפועל? הנה הרשימה שאנשים מפחדים ממנה

1) גבולות המשחק – הגדרת תחום ה-ISMS

2) מיפוי נכסים – מה יש לנו בכלל?

3) ניהול סיכונים – החלק שכולם חושבים שהוא ״טופס״

4) Statement of Applicability – המסמך שמגלה אם אתה אמיתי

הבקרות עצמן – מה באמת מצפים לראות בשטח?

5) מי נכנס לאן? הרשאות, זהויות, וגישות

6) ניהול שינויים – כי ״רק תיקון קטן״ הוא משפט מפורסם

7) ספקים ושרשרת אספקה – החברים שבאים עם חוזה

8) אירועי אבטחה – מה עושים כשקורה משהו?

תיעוד – כמה צריך? התשובה: מספיק כדי לעבוד, לא כדי להרדים

הדרכות ומודעות – כן, גם אנשים הם חלק מהמערכת

ביקורות פנימיות והנהלה – החלק שבו מגלים אם זה חי

שאלות ותשובות זריזות (אבל חכמות)

כמה זמן לוקח להגיע להסמכה?

האם חייבים ליישם את כל הבקרות?

מה ההבדל בין ״מדיניות״ ל״נוהל״?

איך מוכיחים שהדברים קורים באמת?

מה הטעות הכי נפוצה בפרויקטים של ISO 27001?

האם ISO 27001 מתאים גם לסטארטאפ קטן?

מה צריך להכין לפני שמביאים גוף מבדק?

איך הופכים את ISO 27001 למשהו שבאמת עובד ולא רק ״פרויקט״?

שתי נקודות מעניינות למי שאוהב להעמיק (ולא רק לסמן וי)

סיכום – מה נשאר לך לעשות מחר בבוקר?

נכתב על ידי:

SEODude

עמידה בתקני אבטחת מידע ISO 27001: מה נדרש בפועל

למה ISO 27001 בכלל מעניין? (רמז: זה לא בגלל התעודה)

ISO 27001 על רגל אחת – ומה מסתתר מאחורי הרגל הזו

רגע, מה באמת נדרש בפועל? הנה הרשימה שאנשים מפחדים ממנה

1) גבולות המשחק – הגדרת תחום ה-ISMS

2) מיפוי נכסים – מה יש לנו בכלל?

3) ניהול סיכונים – החלק שכולם חושבים שהוא ״טופס״

4) Statement of Applicability – המסמך שמגלה אם אתה אמיתי

הבקרות עצמן – מה באמת מצפים לראות בשטח?

5) מי נכנס לאן? הרשאות, זהויות, וגישות

6) ניהול שינויים – כי ״רק תיקון קטן״ הוא משפט מפורסם

7) ספקים ושרשרת אספקה – החברים שבאים עם חוזה

8) אירועי אבטחה – מה עושים כשקורה משהו?

תיעוד – כמה צריך? התשובה: מספיק כדי לעבוד, לא כדי להרדים

הדרכות ומודעות – כן, גם אנשים הם חלק מהמערכת

ביקורות פנימיות והנהלה – החלק שבו מגלים אם זה חי

שאלות ותשובות זריזות (אבל חכמות)

כמה זמן לוקח להגיע להסמכה?

האם חייבים ליישם את כל הבקרות?

מה ההבדל בין ״מדיניות״ ל״נוהל״?

איך מוכיחים שהדברים קורים באמת?

מה הטעות הכי נפוצה בפרויקטים של ISO 27001?

האם ISO 27001 מתאים גם לסטארטאפ קטן?

מה צריך להכין לפני שמביאים גוף מבדק?

איך הופכים את ISO 27001 למשהו שבאמת עובד ולא רק ״פרויקט״?

שתי נקודות מעניינות למי שאוהב להעמיק (ולא רק לסמן וי)

סיכום – מה נשאר לך לעשות מחר בבוקר?

פוסטים קשורים לנושא:

נכתב על ידי: