לייעוץ עם מומחה חייגו:

03-5278778

Persist Security

לייעוץ עם מומחה חייגו:

03-5278778

ISO 27001 לעסקים: מה נדרש כדי לעבור הסמכה (בפועל)

רוב העסקים ניגשים ל ISO 27001 מתוך מטרה פשוטה: להוכיח ללקוחות, לשותפים ולרגולטורים שהם יודעים להגן על מידע. בפועל, ההסמכה לא בוחנת אם יש לכם “עוד מוצר אבטחה”, אלא אם יש לכם שיטה עקבית שמחזיקה לאורך זמן, גם כשיש תחלופת עובדים, שינוי ספקים או מעבר ענן.

הבשורה הטובה היא שהדרישות ברורות, ואפשר להפוך אותן לתוכנית עבודה מאוד מעשית.

מה ISO 27001 באמת דורש, במילים של ארגון עסוק

ISO 27001 הוא תקן למערכת ניהול אבטחת מידע (ISMS). המשמעות היא שמדובר במסגרת ניהולית שמגדירה איך מקבלים החלטות אבטחה, איך מודדים, איך מתקנים, ואיך מוכיחים את זה בביקורת.

התקן בנוי מסעיפים 4 עד 10 (הקשר ארגוני, מנהיגות, תכנון, תמיכה, תפעול, הערכת ביצועים ושיפור) ובנוסף נספח A שמכיל קטלוג בקרות. בביקורת מחפשים עקביות בין שלושה דברים: סיכונים, בקרות, וראיות שמראות שהבקרות פועלות.

לפעמים המשפט הכי מדויק הוא: “תראו שהבטחתם, עשיתם, בדקתם, ותיקנתם”.

היקף (Scope) שמחזיק בביקורת ולא מתפרק בשיחה הראשונה

החלטת ה Scope היא אחת ההכרעות הכי “עסקיות” בתהליך. היא קובעת מה נכנס להסמכה, מה בחוץ, ומה הממשקים בין העולמות. Scope רחב מדי יכביד, Scope צר מדי ייראה מלאכותי, ויגרור שאלות.

Scope טוב מגדיר גבולות בצורה שאפשר לחיות איתה: אתרים, יחידות ארגוניות, מערכות, שירותים, סביבות ענן, ותלויות בספקים. הוא גם מגדיר מה נחשב “מידע” בהקשר שלכם: קוד מקור, מאגרי לקוחות, מסמכי הנהלה, נתוני תשלום, לוגים, ועוד.

כדאי לנסח Scope כך שיתכתב עם המציאות התפעולית. אם שירות קריטי נשען על ספק צד ג’, אי אפשר להתנהג כאילו הוא לא קיים, צריך להגדיר ממשק, אחריות, ודרך בקרה.

ניהול סיכונים שמייצר החלטות ולא מצגת

התקן לא מבקש שתנבאו את כל האיומים בעולם. הוא מבקש שתהיה לכם מתודולוגיה, קריטריונים, ותהליך שחוזר על עצמו. ניהול סיכונים “עובר” כשאפשר לראות שרשרת הגיונית: נכס, איום, פגיעות, הערכת סיכון, החלטת טיפול, בקרה, ומדידה.

לרוב מתחילים במלאי נכסים (Asset Inventory) ברמה שמתאימה לארגון. לא חייבים אלפי שורות. כן חייבים יכולת לענות לשאלה: איפה המידע שלנו נמצא, מי אחראי עליו, ומה התלות הטכנולוגית.

אחרי זה בוחרים קריטריונים: מה נחשב סיכון גבוה, מה תיאבון הסיכון, ואיך מחשבים סבירות והשפעה. השלב שמפריד בין תהליך “על הנייר” לתהליך עובד הוא תיעוד החלטות: למה בחרנו להפחית כאן, למה קיבלנו סיכון שם, ומה הלו”ז.

טבלה קצרה שממחישה מה מבקר מצפה לראות:

רכיב מה מבקר יחפש טיפ מעשי
מתודולוגיית סיכונים קריטריונים קבועים, סקאלה, תיאבון סיכון להוסיף דוגמה מחושבת אחת במסמך עצמו
Risk Register קשר בין נכסים לסיכונים, בעלות ותאריך עדכון להוסיף עמודת “ראיה” שמפנה ללוג/נוהל/בדיקה
תוכנית טיפול (RTP) פעולות, בעלי תפקיד, דדליין, סטטוס לבנות מנגנון מעקב חודשי קצר
BIA/השפעה עסקית נימוק עסקי ולא רק טכני לנסח השפעה בשפה של שירותים והכנסות

סט מסמכים: מספיק כדי לשלוט, לא מספיק כדי להיחנק

ISO 27001 אוהב תיעוד, אבל הוא לא דורש ספרייה אינסופית. הוא דורש “מידע מתועד” שמאפשר להפעיל את המערכת ולשחזר החלטות.

אצל רוב הארגונים, ליבת המסמכים כוללת: Scope, מדיניות אבטחת מידע מאושרת הנהלה, מתודולוגיית סיכונים, רישום סיכונים, תוכנית טיפול, הצהרת ישימות (SoA), מטרות אבטחה ומדדים, תוצאות ביקורות פנימיות, סקר הנהלה, ותיעוד אירועים ופעולות מתקנות.

אחרי שמייצרים שלד, משלימים נהלים תפעוליים לפי הצורך: הרשאות, ספקים, גיבויים, שינויים, פיתוח מאובטח, עבודה מרחוק, ניהול תקריות, מחזור חיי משתמש, ועוד.

במקום לנסות לנחש “מה חייב”, הרבה ארגונים מצליחים עם סט בסיסי שנראה כך:

  • מדיניות אבטחת מידע
  • Scope והקשרים חיצוניים
  • מתודולוגיית ניהול סיכונים
  • Risk Register ותוכנית טיפול
  • Statement of Applicability
  • נוהל תקריות ותיעוד אירועים
  • תוצאות ביקורת פנימית וסקר הנהלה

כדי שהמסמכים לא יהפכו למצגת שלא נוגעים בה, שווה לקבע כמה עקרונות כתיבה ותפעול:

  • בעלות על מסמך: שם ותפקיד של מי שמעדכן ומאשר
  • מחזור עדכון: תאריך סקירה הבא ומתי מעדכנים “מחוץ למחזור”
  • קישור לראיות: איפה רואים שהנוהל באמת מיושם (מערכת, דו”ח, לוג)
  • גרסאות: שינוי גרסה עם תיאור קצר, בלי דרמה

SoA: המסמך שמנצח או מפסיד ביקורת

הצהרת הישימות (Statement of Applicability) היא המקום שבו אתם אומרים: אילו בקרות מנספח A אתם מיישמים, אילו לא, ולמה. מבקרים נוטים לשאול עליו הרבה, כי הוא “מפת ההבטחות” של הארגון.

SoA טוב הוא לא רשימת סימונים. הוא כולל הצדקות קצרות, ובאידיאל גם הפניה ליישום: נוהל רלוונטי, מערכת טכנולוגית, או תהליך תפעולי. אם כתבתם שאתם מיישמים בקרה של לוגים, צריך לראות מקור לוגים, שמירה, סקירה, וטיפול בחריגות. אם כתבתם שאתם לא מיישמים בקרה מסוימת, הנימוק צריך להיות קשור לסיכונים, לא ל”לא בא לנו”.

נספח A בפועל: לבחור בקרות שמתחברות לסיכון

נספח A (בגרסת 2022) מחלק את הבקרות לארבע קבוצות: ארגוניות, אנשים, פיזיות, טכנולוגיות. המשמעות הפרקטית: אפשר להרכיב תוכנית מאוזנת ולא ליפול למלכודת של “רק מוצרי סייבר”.

מה שבדרך כלל נותן קפיצה אמיתית בהבשלה:

בקרות ארגוניות נוגעות לספקים, תהליכי שינוי, מדיניות סיווג מידע, וניהול נכסים. בקרות על אנשים נוגעות להדרכות, קבלה וסיום העסקה, וכללי עבודה. בקרות פיזיות כוללות גישה למשרד, ציוד, וסביבה תומכת. בקרות טכנולוגיות כוללות ניהול זהויות, הקשחות, הצפנה, הגנה על תחנות קצה, ניטור, וגיבויים.

כאן גם נכנסים פתרונות שמוכרים מעולמות SOC ו SIEM: איסוף לוגים, קורלציה, תגובה לאירועים, ודיווח שוטף. ארגונים שמשלבים SIEM-SOC כחלק מה ISMS מצליחים להציג ראיות איכותיות מאוד בביקורת, כי יש תיעוד מתמשך של ניטור וטיפול.

בדיקות חדירה גם משתלבות טוב כראיה: לא “כדי לעבור ISO”, אלא כדי להראות שאתם מאמתים הנחות סיכון ומתקנים חולשות בצורה מנוהלת.

מדדים וראיות: מה מראים כששואלים “איך אתם יודעים שזה עובד?”

ISO 27001 דורש ניטור ומדידה. זה לא חייב להיות כבד, כן חייב להיות עקבי. מבקר ירצה לראות מטרות אבטחה, מדדים, תוצאות, ופעולות כשלא עומדים ביעד.

מדדים נפוצים שארגונים מצליחים איתם: אחוז עמידה בעדכוני אבטחה, זמן ממוצע לסגירת חולשה קריטית, שיעור עובדים שעברו הדרכת מודעות, זמן תגובה לאירוע, הצלחת שחזור גיבוי בבדיקה, וכמות חריגות הרשאות שנמצאו בבקרה תקופתית.

החלק המפתיע: לפעמים “ראיה” היא לא מספר, אלא עקביות תפעולית. טיקט שנפתח בעקבות התראה, תיעוד החלטה לקבל סיכון עם נימוק עסקי, או תיעוד של תרגול תקרית ולקחים, אלו דברים שמראים מערכת חיה.

ביקורת פנימית וסקר הנהלה: לא טקס, אלא מנוע שיפור

לפני שמזמינים גוף הסמכה, צריך לבצע ביקורת פנימית על ה ISMS ולתעד אי התאמות ופעולות מתקנות. ביקורת טובה לא נמדדת בכמה “סימונים” יצאו ירוקים, אלא אם היא מצאה את הדברים שמחר היו יוצאים בביקורת החיצונית.

אחרי הביקורת הפנימית מגיע סקר הנהלה: מפגש מתועד שבו ההנהלה רואה תמונת מצב, סיכונים משמעותיים, עמידה במטרות, סטטוס פעולות מתקנות, ושינויים שדורשים החלטה. זה גם המקום להחליט על תקציב, סדרי עדיפויות, ושינויים ב Scope.

כשזה עובד, ההנהלה לא “חותמת” אלא מובילה.

איך נראית הסמכה מול גוף חיצוני, שלב אחרי שלב

התהליך מול גוף ההסמכה מחולק לרוב לשני שלבים. שלב 1 הוא סקירת מוכנות תיעודית והבנת ההיקף. שלב 2 הוא ביקורת שטח מעמיקה שמוודאת יישום.

בדרך כלל זה מתקדם כך:

  1. סקירת מסמכים ומוכנות (Stage 1)
  2. ביקורת יישום וראיות בשטח (Stage 2)
  3. טיפול באי התאמות והצגת תיקונים
  4. קבלת תעודה וביקורות מעקב תקופתיות

חשוב להיערך ל Stage 2 כאילו זה “יום עבודה רגיל”. המבקר ירצה לדבר עם בעלי תפקידים, לראות תהליכים רצים, ולבדוק מדגם ראיות. כשכל הראיות מרוכזות ומקושרות למסמכים, זה הופך לשיחה מקצועית במקום מרדף אחרי קבצים.

מוקשים נפוצים: למה ארגונים נכשלים למרות שיש להם אבטחה טובה

אחת הסיבות הנפוצות היא פער בין נייר למציאות. נוהל הרשאות שנשמע מצוין, אבל אין ביקורת הרשאות בפועל. SoA שמצהיר על בקרה, אבל אין ראיות. Risk Register שמכיל סיכונים כלליים מדי, בלי קשר לנכסים ולשירותים.

מוקש נוסף הוא ספקים. ארגון יכול להיות מסודר מאוד פנימית, אבל אם ספק ענן, ספק פיתוח או מוקד שירות מחזיקים מידע, צריך חוזים, דרישות אבטחה, ותהליך בדיקה. זה לא “עוד מסמך”, זו הרחבה של הגבולות האמיתיים של הארגון.

וגם התרבות האנושית: הדרכת מודעות חד פעמית לא מחזיקה. תוכנית מודעות שמתקיימת במחזורים קצרים, עם תרגול, סימולציות, ומדידה, מייצרת שינוי שמרגישים גם בביקורת.

איפה נכנסת כאן Persist Security ומה שווה לבקש ממי שמלווה אתכם

ליווי טוב ל ISO 27001 לא מסתכם בכתיבת תבניות. הוא מחבר בין GRC, תשתיות, תפעול, ואנשים, ובונה שגרה שאפשר לנהל גם אחרי שמקבלים תעודה.

בפועל, ארגונים נעזרים בשירותים כמו ניתוח פערים, הקמת ISMS, בניית SoA, שילוב תהליכי רגולציה וציות, חיבור לניטור SIEM-SOC, בדיקות חדירה תקופתיות, ותוכנית מודעות לעובדים. במקרים שבהם יש דרישות מקומיות כמו תיקון 13 או דרישות לקוחות ספציפיות, אפשר לשלב אותן בתוך אותה מערכת ניהול, כך שלא תנהלו שתי מערכות במקביל.

הערך הגדול הוא קיצור זמן ההטמעה בלי לקצר תהליכים: ראיות נקיות, תהליך סיכונים חד, ובקרות שמתוחזקות כחלק מהעבודה היומיומית.

מה לעשות כבר עכשיו כדי להתקדם בקצב נכון

כדאי להתחיל בבחירת Scope ובמיפוי שירותים שמייצרים ערך ללקוחות, ואז לשבת על מלאי נכסים מינימלי שמכסה את אותם שירותים. מיד אחר כך להגדיר מתודולוגיית סיכונים קצרה, לקבוע תיאבון סיכון, ולבנות Risk Register ראשון שאפשר לשפר במחזורים.

במקביל, לנסח מדיניות אבטחת מידע בגובה העיניים, לקבוע 3 עד 6 מטרות אבטחה עם מדדים שאפשר למדוד כבר החודש, ולבחור סט בקרות ראשוני מנספח A שמטפל בסיכונים הגבוהים ביותר.

ברגע שיש לכם את זה, הביקורת כבר לא נראית כמו אירוע מאיים. היא פשוט בדיקה של מערכת שאתם מנהלים באופן מודע, מקצועי, ומתועד.

תמונה של פז שורץ

פז שורץ

מנכ״ל פרסיסט סקיורטי

:אנא מלאו פרטים למעבר לשיחת וואטסאפ