ISO/IEC 27001

ISO/IEC 27001 (נקרא בקיצור ISO 27001) הוא תקן בינלאומי לניהול אבטחת מידע. התקן פורסם במקור על ידי ארגון התקינה הבינלאומי (ISO) והנציבות הבינלאומית לאלקטרוטכניקה (IEC) בשנת 2005^[1], לאחר מכן שודרג בשנת 2013 ^[2] ושוב בשנת 2022.^[3] הוא מפרט דרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS), שמטרתה לעזור לארגונים להפוך את נכסי המידע שהם מחזיקים לבטוחים יותר.^[4] עדכון אירופי של התקן פורסם בשנת 2017.^[5] ארגונים העומדים בדרישות התקן יכולים לבחור להיות מוסמכים על ידי גוף הסמכה מוסמך לאחר השלמת ביקורת (audit) מוצלחת.

הסמכה[עריכת קוד מקור | עריכה]

מספר רשמים מוסמכים (Accredited Registrars) ברחבי העולם עשוי לאשר ISMS כמוסמך ISO/IEC 27001.^[6] הסמכה של אחד מהוריאנטים הלאומיים המוכרים של ISO/IEC 27001 (למשל הגרסה היפנית - JIS Q 27001) על ידי רשם מוסמך, מקבילה להסמכה המקורית של ISO/IEC 27001 עצמה.

במדינות מסוימות, הגופים המאמתים התאמה של מערכות הניהול לתקנים מוגדרים נקראים "גופי הסמכה", בעוד שבאחרים הם מכונים בדרך כלל "גופי רישום" (registration bodies), "גופי הערכה ורישום", "גופי הסמכה / רישום", ולפעמים "רושמים".

הסמכת ISO/IEC 27001,^[7] כמו אישורי מערכת ניהול ISO אחרים, כוללת בדרך כלל תהליך ביקורת חיצוני תלת שלבי המוגדר על ידי התקנים ISO/IEC 17021^[8] ו-ISO/IEC 27006.^[9]

מבנה התקן[עריכת קוד מקור | עריכה]

הכותרת הרשמית של התקן היא "טכנולוגיית מידע - טכניקות אבטחה - מערכות ניהול אבטחת מידע - דרישות".

ISO/IEC 27001 בגרסת 2013 כולל עשרה סעיפים קצרים בתוספת נספח ארוך, המכסה את:

היקף התקן
אופן הפניה למסמך
שימוש חוזר במונחים ובהגדרות ב- ISO/IEC 27000
הקשר ארגוני ובעלי עניין
הנהגת אבטחת מידע ותמיכה ברמה גבוהה במדיניות
תכנון מערכת לניהול אבטחת מידע, הערכת סיכונים, טיפול בסיכון
תמיכה במערכת ניהול אבטחת מידע
הפעלת מערכת ניהול אבטחת מידע
סקירת ביצועי המערכת
פעולה מתקנת

נספח A: רשימת בקרות האבטחה ויעדיהן.

מבנה זה משקף תקני ניהול אחרים כגון ISO 22301 (ניהול המשכיות עסקית), ובכך מקל על ארגונים לעמוד בתקני מערכות ניהול מרובות אם ירצו בכך.

בקרות[עריכת קוד מקור | עריכה]

בגרסת ISO 27001 משנת 2013 ישנן 114 בקרות אבטחה ב-14 קבוצות ו-35 קטגוריות בקרה:

A.5: מדיניות אבטחת מידע (2 בקרות)

A.6: ארגון אבטחת מידע (7 בקרות)

A.7: אבטחת משאבי אנוש - 6 בקרות המופעלות לפני, במהלך או אחרי העסקת עובד

A.8: ניהול נכסים (10 בקרות)

A.9: בקרת גישה (14 בקרות)

A.10: קריפטוגרפיה (2 פקדים)

A.11: ביטחון פיזי וסביבתי (15 בקרות)

A 12: אבטחת תפעול (14 בקרות)

A.13: אבטחת תקשורת (7 בקרות)

A.14: רכישת מערכות, פיתוח ותחזוקה (13 בקרות)

A.15: קשרי ספקים (5 בקרות)

A.16: ניהול אירועי אבטחת מידע (7 בקרות)

A.17: היבטים של אבטחת מידע בניהול רציפות עסקית (4 בקרות)

A.18: תאימות, עם דרישות פנימיות, כגון מדיניות, ועם דרישות חיצוניות, כגון חוקים (8 בקרות)

הבקרות משקפות שינויים בטכנולוגיה המשפיעים על ארגונים רבים - למשל, מחשוב ענן - אך כאמור ניתן להשתמש ולהיות מוסמך לתקני ISO/IEC 27001: 2013 ולא להשתמש באף אחד מהבקרים הללו.

בתקן ISO 27001 משנת 2022 ישנן 93 בקרות הבטחה ב4 קבוצות:

5: בקרות ארגוניות

6: בקרות ניהול עובדים

7: בקרות פיזיות

8: בקרות טכנולוגיות

ראו גם[עריכת קוד מקור | עריכה]

ISO/IEC 27701

הערות שוליים[עריכת קוד מקור | עריכה]

^ "ISO/IEC 27001 International Information Security Standard published". bsigroup.com. BSI. נבדק ב-21 באוגוסט 2020. {{cite web}}: (עזרה)
^ Meiran, Galis. "ISO 27001 מול SOC 2: מה ההבדל?". soc2.co.il. The Compliance Guy. נבדק ב-13 בספטמבר 2023. {{cite web}}: (עזרה)
^ Bird, Katie. "NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS". iso.org. ISO. נבדק ב-21 באוגוסט 2020. {{cite web}}: (עזרה)
^ "ISO/IEC 27001:2013". ISO. ISO. נבדק ב-9 ביולי 2020. {{cite web}}: (עזרה)
^ "BS EN ISO/IEC 27001:2017 – what has changed?". www.bsigroup.com. BSI Group. נבדק ב-29 במרץ 2018. {{cite web}}: (עזרה)
^ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (באוקטובר 2013). "ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais". 2013 47th International Carnahan Conference on Security Technology (ICCST). Medellin: IEEE: 1–4. doi:10.1109/CCST.2013.6922072. ISBN 978-1-4799-0889-9. {{cite journal}}: (עזרה)
^ The ISO/IEC 27001 Certification Process.
^ ISO/IEC 17021.
^ ISO/IEC 27006.

[1] "ISO/IEC 27001 International Information Security Standard published". bsigroup.com. BSI. נבדק ב-21 באוגוסט 2020. {{cite web}}: (עזרה)

[2] Meiran, Galis. "ISO 27001 מול SOC 2: מה ההבדל?". soc2.co.il. The Compliance Guy. נבדק ב-13 בספטמבר 2023. {{cite web}}: (עזרה)

[3] Bird, Katie. "NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS". iso.org. ISO. נבדק ב-21 באוגוסט 2020. {{cite web}}: (עזרה)

[4] "ISO/IEC 27001:2013". ISO. ISO. נבדק ב-9 ביולי 2020. {{cite web}}: (עזרה)

[5] "BS EN ISO/IEC 27001:2017 – what has changed?". www.bsigroup.com. BSI Group. נבדק ב-29 במרץ 2018. {{cite web}}: (עזרה)

[6] Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (באוקטובר 2013). "ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais". 2013 47th International Carnahan Conference on Security Technology (ICCST). Medellin: IEEE: 1–4. doi:10.1109/CCST.2013.6922072. ISBN 978-1-4799-0889-9. {{cite journal}}: (עזרה)

[7] The ISO/IEC 27001 Certification Process.

[8] ISO/IEC 17021.

[9] ISO/IEC 27006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]