ISO/IEC 27001

מתוך ויקיפדיה, האנציקלופדיה החופשית

ISO/IEC 27001 (נקרא בקיצור ISO 27001) הוא תקן בינלאומי לניהול אבטחת מידע. התקן פורסם במקור על ידי ארגון התקינה הבינלאומי (ISO) והנציבות הבינלאומית לאלקטרוטכניקה (IEC) בשנת 2005[1] ולאחר מכן שודרג בשנת 2013.[2] הוא מפרט דרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS), שמטרתה לעזור לארגונים להפוך את נכסי המידע שהם מחזיקים לבטוחים יותר.[3] עדכון אירופי של התקן פורסם בשנת 2017.[4] ארגונים העומדים בדרישות התקן יכולים לבחור להיות מוסמכים על ידי גוף הסמכה מוסמך לאחר השלמת ביקורת (audit) מוצלחת.

הסמכה[עריכת קוד מקור | עריכה]

מספר רשמים מוסמכים (Accredited Registrars) ברחבי העולם עשוי לאשר ISMS כמוסמך ISO/IEC 27001.[5] הסמכה של אחד מהוריאנטים הלאומיים המוכרים של ISO/IEC 27001 (למשל הגרסה היפנית - JIS Q 27001) על ידי רשם מוסמך, מקבילה להסמכה המקורית של ISO/IEC 27001 עצמה.

במדינות מסוימות, הגופים המאמתים התאמה של מערכות הניהול לתקנים מוגדרים נקראים "גופי הסמכה", בעוד שבאחרים הם מכונים בדרך כלל "גופי רישום" (registration bodies), "גופי הערכה ורישום", "גופי הסמכה / רישום", ולפעמים "רושמים".

הסמכת ISO/IEC 27001,[6] כמו אישורי מערכת ניהול ISO אחרים, כוללת בדרך כלל תהליך ביקורת חיצוני תלת שלבי המוגדר על ידי התקנים ISO/IEC 17021[7] ו-ISO/IEC 27006.[8]

מבנה התקן[עריכת קוד מקור | עריכה]

הכותרת הרשמית של התקן היא "טכנולוגיית מידע - טכניקות אבטחה - מערכות ניהול אבטחת מידע - דרישות".

ISO/IEC 27001 בגרסת 2013 כולל עשרה סעיפים קצרים בתוספת נספח ארוך, המכסה את:

  1. היקף התקן
  2. אופן הפניה למסמך
  3. שימוש חוזר במונחים ובהגדרות ב- ISO/IEC 27000
  4. הקשר ארגוני ובעלי עניין
  5. הנהגת אבטחת מידע ותמיכה ברמה גבוהה במדיניות
  6. תכנון מערכת לניהול אבטחת מידע, הערכת סיכונים, טיפול בסיכון
  7. תמיכה במערכת ניהול אבטחת מידע
  8. הפעלת מערכת ניהול אבטחת מידע
  9. סקירת ביצועי המערכת
  10. פעולה מתקנת
נספח A: רשימת בקרות האבטחה ויעדיהן.

מבנה זה משקף תקני ניהול אחרים כגון ISO 22301 (ניהול המשכיות עסקית), ובכך מקל על ארגונים לעמוד בתקני מערכות ניהול מרובות אם ירצו בכך.

בקרות[עריכת קוד מקור | עריכה]

ישנן 114 בקרות אבטחה ב-14 קבוצות ו-35 קטגוריות בקרה:

A.5: מדיניות אבטחת מידע (2 בקרות)
A.6: ארגון אבטחת מידע (7 בקרות)
A.7: אבטחת משאבי אנוש - 6 בקרות המופעלות לפני, במהלך או אחרי העסקת עובד
A.8: ניהול נכסים (10 בקרות)
A.9: בקרת גישה (14 בקרות)
A.10: קריפטוגרפיה (2 פקדים)
A.11: ביטחון פיזי וסביבתי (15 בקרות)
A 12: אבטחת תפעול (14 בקרות)
A.13: אבטחת תקשורת (7 בקרות)
A.14: רכישת מערכות, פיתוח ותחזוקה (13 בקרות)
A.15: קשרי ספקים (5 בקרות)
A.16: ניהול אירועי אבטחת מידע (7 בקרות)
A.17: היבטים של אבטחת מידע בניהול רציפות עסקית (4 בקרות)
A.18: תאימות, עם דרישות פנימיות, כגון מדיניות, ועם דרישות חיצוניות, כגון חוקים (8 בקרות)

הבקרות משקפות שינויים בטכנולוגיה המשפיעים על ארגונים רבים - למשל, מחשוב ענן - אך כאמור ניתן להשתמש ולהיות מוסמך לתקני ISO/IEC 27001: 2013 ולא להשתמש באף אחד מהבקרים הללו.

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ "ISO/IEC 27001 International Information Security Standard published". bsigroup.com. BSI. בדיקה אחרונה ב-21 באוגוסט 2020. 
  2. ^ Bird, Katie. "NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS". iso.org. ISO. בדיקה אחרונה ב-21 באוגוסט 2020. 
  3. ^ "ISO/IEC 27001:2013". ISO. ISO. בדיקה אחרונה ב-9 ביולי 2020. 
  4. ^ "BS EN ISO/IEC 27001:2017 – what has changed?". www.bsigroup.com. BSI Group. בדיקה אחרונה ב-29 במרץ 2018. 
  5. ^ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (אוקטובר 2013). "ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais". 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE): 1–4. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. 
  6. ^ The ISO/IEC 27001 Certification Process.
  7. ^ ISO/IEC 17021.
  8. ^ ISO/IEC 27006.