ISO/IEC 27001 הוא התקן הבינלאומי למערכת ניהול אבטחת מידע (ISMS) – מסגרת מובנית ומבוססת-סיכון להגנה על מידע. ההסמכה מוכיחה ללקוחות, לרגולטורים ולשותפים שהאבטחה מנוהלת באופן שיטתי. הצ׳ק-ליסט הזה עובר על מה שיישום ISO 27001:2022 באמת דורש, מהגדרת ההיקף ועד ההסמכה.
1. הקשר והיקף
הגדירו את גבולות ה-ISMS: אילו יחידות, אתרים, מערכות ונתונים נכללים. זהו סוגיות פנימיות וחיצוניות ואת הצדדים המעוניינים (לקוחות, רגולטורים, עובדים) שדרישותיהם יש לעמוד בהן.
2. מנהיגות ומדיניות
הבטיחו מחויבות גלויה של ההנהלה הבכירה, הקצו תפקידים ואחריות ברורים, וקבעו מדיניות אבטחת מידע המגדירה כיוון ויעדים. ללא מחויבות הנהלה, ההסמכה נתקעת.
3. הערכת סיכונים וטיפול בהם
זהו סיכוני אבטחת מידע, נתחו והעריכו אותם מול קריטריונים מוגדרים, והחליטו כיצד לטפל בכל אחד. תעדו את ההחלטות בהצהרת ישימות (SoA) המנמקת אילו בקרות מיושמות ואילו לא.
4. בקרות נספח A (מהדורת 2022)
מהדורת 2022 מארגנת 93 בקרות בארבעה נושאים: ארגוני, אנשים, פיזי וטכנולוגי. מפו כל בקרה ישימה לסביבה – בקרת גישה, הצפנה, פיתוח מאובטח, יחסי ספקים, תיעוד וניטור וניהול אירועים.
5. תפעול, ניטור ושיפור
- הפעילו את הבקרות ושמרו ראיות שהן עובדות.
- נטרו, מדדו ובצעו מבדקים פנימיים מול התקן.
- קיימו סקירות הנהלה והניעו שיפור מתמיד, תוך תיקון אי-התאמות.
6. הסמכה
גוף מוסמך מבקר בשני שלבים: שלב 1 בוחן תיעוד ומוכנות, שלב 2 בוחן יישום. ההסמכה נשמרת במבדקי פיקוח שנתיים והסמכה מחדש כל שלוש שנים.
ISO 27001 גם עונה על חלק ניכר מחובות אבטחת המידע בישראל, ומהווה בסיס חזק לציות מקומי. Persist Security מחזיקה בהסמכת ISO 27001 ומלווה לקוחות לאורך כל הדרך דרך שירות ה-GRC וvCISO. צרו קשר להתחלת מפת הדרכים להסמכה.
