תקן ISO 27001, תקן חשוב ביותר בתחום אבטחת מידע, התעדכן לאחרונה.
במאמר זה נציג מדוע נדרש העדכון, מהם השינויים העיקריים בתקן, מהם יתרונות הטמעת התקן וצעדים ליישומו.
הקפדה על אבטחת מידע היא חיונית להצלחת כל ארגון!
רקע
תקן ISO 27001 הוא אחד התקנים החשובים והנפוצים ביותר בתחום אבטחת מידע והגנת הסייבר. התקן מגדיר דרישות להקמת מערכת ניהול אבטחת מידע אפקטיבית בארגונים כדי להבטיח הגנה על נכסי המידע הקריטיים שלהם.
תקן ISO 27001 הוא קריטי במיוחד עבור חברות SaaS כדי להוכיח ללקוחותיהן קיום מערך איתן לאבטחת מידע והגנת הפרטיות. הוא מספק מסגרת עבודה לניהול סיכונים, יישום בקרות הגנה אפקטיביות וביצוע מעקב שוטף. עמידה בדרישות התקן משדרת ללקוחות אמינות ומחויבות של החברה להגן על המידע שלהם ברמה הגבוהה ביותר. כמו כן, התקן יכול לשמש יתרון תחרותי מול חברות SaaS אחרות בתחום.
מהו תקן ISO 27001:2022
בשנת 2022 פורסמה גרסה מעודכנת של ISO 27001 הכוללת כמה שינויים ושיפורים לעומת גרסאות קודמות. הגרסה העדכנית, ISO 27001:2022, נכנסה לתוקף בשנת 2023 והחליפה את המהדורה משנת 2013. מטרת התקן היא לספק מסגרת עבודה להטמעת אמצעי הגנה לאבטחת נכסי מידע קריטיים בארגונים. הוא כולל דרישות ספציפיות לניהול סיכוני סייבר, תכנון ויישום בקרות אבטחה טכניות וארגוניות, ביצוע ביקורת ומעקב מתמיד ועוד. התקן מהווה כלי אסטרטגי לניהול סיכוני סייבר ברמה הגבוהה ביותר.
מדוע נדרש עדכון בתקן?
בשנים האחרונות חלו תהפוכות מרחיקות לכת בתחום טכנולוגיות התקשורת והדיגיטל.
התקן הישן, ISO 27001:2013, נוסח באופן כללי מאוד ולא העניק בהכרח מענה למגוון סוגיות עדכניות וצרכים של תחומי תעשייה שונים.
תקן ISO 27001:2022 נועד לכסות שלל תרחישים חדשים ולהעניק להם התייחסות ספציפית. התקן החדש מעניק מענה זה בארבעה היבטים מרכזיים: ניטור, הגנה שוטפת, תגובה לאירועים ותהליכי שחזור והתאוששות.
שינויים בתקן ISO 27001:2022
בהשוואה למהדורת 2013, חלקו הראשון של התקן (דרישות ממערכת ניהול אבטחת המידע – מנא"מ – ISMS) נותר עם 11 סעיפים, והשינויים בחלק זה של התקן קלים.
נספח A שלפיו מתנהלים מבדקי ההסמכה השתנה מאוד – מספר הבקרות ירד מ־114 ל־93, והוא מחולק לארבעה חלקים בלבד, לעומת 14 סעיפים במהדורת 2013. עם זאת, לאחר מבט מעמיק יותר, מתברר כי השינויים בנספח A אינם מהותיים.
להלן סקירה קצרה של השינויים בחלקו הראשון של התקן (מערכת ניהול אבטחת המידע):
- סעיף 4.2 (הבנת הצרכים והציפיות של בעלי עניין), נוסף סעיף (ג) הדורש ניתוח לאילו מדרישות בעלי העניין יש לטפל באמצעות ה־ISMS.
- סעיף 4.4 (מערכת ניהול אבטחת מידע), נוסף ביטוי המחייב תכנון תהליכים ואינטראקציות ביניהם כחלק מה־ISMS.
- סעיף 5.3 (תפקידים ארגוניים, אחריות וסמכויות) נוסף ביטוי להבהרת שתקשורת התפקידים נעשית באופן פנימי בתוך הארגון.
- סעיף 6.2 (יעדי אבטחת מידע ותכנון להשגתן) נוסף סעיף (ד) המחייב מעקב אחר יעדים.
- נוסף סעיף 6.3 (תכנון שינויים) המחייב שעל כל שינוי ב־ISMS להיעשות בצורה מתוכננת.
- סעיף 7.4 (תקשורת) נמחק סעיף (ה) שחייב הגדרת תהליכי תקשורת.
- סעיף 8.1 (תכנון ובקרה תפעוליים) נוספו דרישות חדשות לקביעת קריטריונים לתהליכי אבטחה וליישום תהליכים על פי אותם קריטריונים. באותו סעיף נמחקה הדרישה ליישום תוכניות להשגת יעדים.
- סעיף 9.3 (סקירת ההנהלה), נוסף סעיף (9.3.2 ג') המבהיר כי תשומות של בעלי עניין צריכות להיות על פי צורכיהם וציפיותיהם, ורלוונטיות ל־ISMS.
- סעיף 10 (שיפור), תתי הסעיפים החליפו מקום, כך שהראשון הוא שיפור מתמיד (10.1), והשני הוא אי־התאמה ופעולה מתקנת (10.2), בעוד שהטקסט של אותם סעיפים לא השתנה.
בנספח A של התקן השינויים הם מתונים, מכיוון שרוב הבקרות נשארו זהות (35 מהם) או ששמן בלבד שונה (23). עוד 57 בקרות אוחדו, מה שהפחית את מספר הבקרות, אך הדרישות בתוך אותן בקרות נותרו כמעט זהות. לבסוף, בקרה אחת פוצלה לשתי בקרות נפרדות, בעוד שהדרישות נשארו זהות וכן יש 11 בקרות חדשות, שהיו נחוצות בגלל המגמות בתחום ה־IT והאבטחה.
שינויים במסמכים רלוונטיים
בגלל השינויים בבקרות התקן ובחלוקתם לארבע קבוצות בנספח A, יידרשו שינויים במסמכי המבדק הפנימי ובהצהרת הישימות (SOA).
נוסף לכך, יהיה צורך בשינויים בנהלים במקרה שלא קיימת בהם התייחסות לבקרות שהתווספו או שקיימת בהם התייחסות לבקרות שהשתנו או הושמטו.
שינויים מהותיים בגרסה החדשה
אחד השינויים המרכזיים בגרסה המעודכנת הוא הרחבה ניכרת של הדרישות הנוגעות לניהול סיכוני אבטחת מידע בשרשרת האספקה. התקן החדש דורש ביצוע מיפוי מקיף של כלל השותפים העסקיים מחוץ לארגון, בין אם הם ספקים, לקוחות, יועצים, גופים ממשלתיים ועוד. בהתבסס על מיפוי זה, יש להעריך את רמת הסיכונים הנשקפת מכל שותף, ולפעול בהתאם לניהול, מזעור ומעקב אחר סיכונים אלו.
שינוי נוסף הוא הרחבת הדרישות בנוגע להערכת האפקטיביות של בקרות אבטחת המידע. התקן קובע כי יש לבצע מדידה והערכה של יעילות הבקרות הקיימות באמצעות מגוון כלי מעקב וניטור, החל מניתוח דוחות ורישומי פעילות שוטפים וכלה בביצוע בדיקות חדירה ומבדקי חוסן יזומים.
גרסת 2022 כוללת גם הבהרות נרחבות יותר בנושא הגדרת היקף מערכת ניהול אבטחת המידע (ISMS). בפרט, מודגש כי היקף ה־ISMS צריך להיות מותאם למטרות העסקיות של הארגון, לדרישות הציות הרגולטוריות שחלות עליו ולסיכוני אבטחת המידע שאותרו בתהליך הערכת הסיכונים.
מעבר לכך, ISO 27001:2022 כולל דגש מיוחד על שילוב היבטים של אבטחת מידע והגנת הפרטיות כבר בשלב התכנון והפיתוח של מערכות ומוצרים חדשים בארגון. גישה זו, הידועה בשם "אבטחה על ידי תכנון (Security by Design)", מבטיחה הטמעה טובה יותר של אמצעי אבטחה והגנת הפרטיות, וחוסכת עלויות ומורכבות בהמשך הדרך.
למה חשוב לארגונים ליישם את תקן אבטחת מידע ISO 27001
הטמעת תקן אבטחת מידע ISO 27001:2022, היא השקעה חשובה ביותר עבור ארגונים. להטמעת התקן יתרונות רבים ומהותיים.
- הגנה על מידע רגיש – הטמעת התקן מבטיחה הגנה על מידע רגיש מפני גישה של
אנשים שאינם מורשים, חשיפה של מידע רגיש, שינוי או מחיקה ללא רשות ואף
השתלטות עוינת על פעילות החברה.
2. מחויבות לתקני איכות – עמידה בתקן אבטחת מידע ISO 27001:2022 מדגישה את
מחויבות הארגון לאבטחה ועמידה בדרישות החוק והרגולציה ומשפרת את המוניטין
של הארגון.
3. ניהול סיכונים – יישום תקן אבטחת מידע מספק גישה שיטתית לזיהוי, הערכה
והפחתת סיכונים הנוגעים לאבטחת מידע. גישה זו מסייעת לארגונים להיות
פרואקטיביים בניהול סיכונים ומניעת תקריות לפני התרחשותם. - יתרון תחרותי – הטמעת ISO 27001 יכולה לספק יתרון תחרותי לארגונים על ידי
הוכחת מחויבותם לאבטחה ויכולתם להגן על מידע רגיש. יתרון זה יכול לעזור לארגונים
להגדיל את כמות הלקוחות שלהם ולשמר לקוחות קיימים, מאחר שארגונים רבים מודעים לחשיבות אבטחת המידע ומעוניינים לעבוד עם חברות שפועלות על פי דרישות התקן.
מתי יש לעבור לגרסת התקן החדשה
על פי מסמך ״דרישות המעבר לתקן ISO/IEC 27001:2022״ מפורום ההסמכה הבין־לאומי, עבור חברות שכבר מוסמכות ל־ISO 27001:2013 המעבר ל־ISO 27001:2022 נדרש להסתיים עד 31 באוקטובר 2025.
גופי ההתעדה חייבים להתחיל לאשר חברות לפי ISO 27001:2022 החל מה־ 31 באוקטובר 2023.
מעוניינים בליווי מקצועי להסמכה והטמעת תקן ISO 27001? פנו למומחי איי פי וי סקיוריטי!
לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.
