Page 1

‫מדריך קצר להטמעת תקן ‪ ISO 27001‬בארגון‬

‫אם חשבתם ו\או רציתם להטמיע את התקן ‪ ISO 27001‬בארגון‪ ,‬אז הנה לכם מדריך קצר להטמעת‬ ‫התקן ‪ ISO 27001‬בארגון‪.‬‬ ‫למי שאינו מכיר את התקן‪ ,‬וגם לאלו שכן מכירים‪ ,‬הטמעתו בארגון יכול להפוך לתהליך ארוך‬ ‫ומסורבל‪ ,‬אם לא מתכננים אותו כראוי‪.‬‬ ‫אז להלן ‪ 42‬שלבים שיוכלו לסייע לכם בהטמעת התקן ‪ ISO 27001‬בארגון‪ ,‬בין אם זה בעזרת יועץ‬ ‫חיצוני‪ ,‬ובין אם החלטתם לקחת את המשימה הזאת על עצמכם‪.‬‬ ‫‪ .1‬הצטיידו בתקן ‪ISO 27001‬‬ ‫ראשית‪ ,‬עליכם להצטייד בתקן עצמו‪ .‬ניתן לרכוש את המסמכים ישירות ממכון התקנים‪.‬‬ ‫המסמכים הינם בעברית‪ .‬אני אישית‪ ,‬מעדיף את הספרות המקורית באנגלית‪ ,‬אבל לאלו‬ ‫ששפת האם שלהם עברית‪ ,‬ולא אנגלית‪ ,‬אז‪ ,‬עדיף לא לשבור את השיניים‪ ,‬או לשרוף זמן‬ ‫יקר על ריצות לבבילון ‪‬‬ ‫‪ .2‬תלמדו בקצרה את מהות התקן‬ ‫הסיבה לכך מאוד פשוטה‪ .‬אם החלטתם לבצע את הפרויקט בעצמכם‪ ,‬אז חשוב מאוד‬ ‫שתדעו מול מה אתם עומדים‪ ,‬ומה עליכם לבצע בתהליך הטמעת התקן בארגון‪ .‬אם‬ ‫החלטתם בכל זאת להקל עליכם‪ ,‬ולהיעזר בחברות ייעוץ חיצונית‪ ,‬אז עדיין חשוב שתדעו על‬ ‫מה הם מדברים‪ ,‬על מנת לדבר איתם באותה השפה‪ ,‬ולמנוע מצבים בהם מחייבים אתכם‬ ‫הון עתק על פעולות שאינן נחוצות להטמעת התקן‪ .‬אני תמיד בעד ללמוד ולהעשיר את‬ ‫האופקים‪ ,‬ובמקרה הזה‪ ,‬גם תזכו ללמוד לא מעט דברים‪ ,‬מכיוון שהתקן הוא מהווה מעין‬ ‫מסגרת לניהול אבטחת מידע (מקבץ המלצות‪ BEST PRACTICES-‬ל"עשה ואל תעשה" בתחום‬ ‫אבטחת המידע)‪.‬‬ ‫‪ .3‬תקבלו את ברכת הדרך של הנהלת הארגון‬ ‫חשוב מאוד להתחיל לשווק את היתרונות של התקן בארגון‪ ,‬ולקבל תמיכה מלאה מהנהלת‬ ‫הארגון‪( .‬ורצוי מאוד הנהלה בכירה‪ ,‬ולא מנהל ישיר שלכם ‪ .)‬לרוב‪ ,‬מתייחסים לנקודה זו‬ ‫כמובנת מאליו‪ ,‬אבל לרוב‪ ,‬זוהי נקודת הכשל של רוב הפרויקטים הקשורים בהטמעת התקן‬ ‫‪ ISO 27001‬בארגון‪ ,‬בגלל היעדר תמיכה כזו או אחרת מצד הנהלת הארגון (כח אדם וכסף)‪.‬‬ ‫ישנה בעיה גדולה מבחינת תפיסת אבטחת המידע בארץ‪ ,‬כיוון שברוב הארגונים‪ ,‬מנהל‬ ‫אבטחת המידע הינו כפוף ישירות למנמ"ר‪ ,‬דבר הפוגע במוצרה ישירה בהתנהלותו של מנהל‬ ‫אבטחת המידע מול ההנהלה הבכירה בארגון‪ .‬בעולם המודרני‪ ,‬כבר מזמן הבינו זאת‪ ,‬ומנהל‬ ‫אבטחת המידע תופס מקום כבוד בארגון‪ ,‬ולעתים רבות‪ ,‬כפוף ישירות למנכ"ל או לסמנכ"ל‪.‬‬ ‫בכל מקרה‪ ,‬החשיבות כאן היא לשווק נכון את מהותו של התקן והצורך שלו בארגון‪ ,‬כך‬ ‫שהנהלת הארגון תבין את החזר ההשקעה תמורת הטמעת התקן בארגון‪ .‬ישנם לא מעט‬ ‫אתרים שמכילים מצגות בנושא יתרונות התקן‪ ,‬ותוכלו גם לפנות אלינו לקבל סיוע בכך‪.‬‬


‫‪ .4‬התייחסו לזה כאל פרויקט‬ ‫כמו שציינתי בתחילת המאמר‪ ,‬הטמעת התקן ‪ ISO 27001‬יכול להיות תהליך ארוך ומסורבל‬ ‫(תלוי בגול הארגון ובעיקר בתחולת הפרויקט)‪ ,‬ולכן רצוי מאוד להתייחס אליו כאל פרויקט על‬ ‫כל המשתמע מכך‪ .‬תהליך הטמעת התקן יכול לצרוך לא מעט משאבים בארגון‪ ,‬ומבלי לנהל‬ ‫את זה בצורה מתודולוגית ומסודרת‪ ,‬אנו עלולים למצוא את עצמנו בבלגן גדול יותר מאשר‬ ‫מהמצב שהיינו בו עוד טרם ניסיון הטמעת התקן‪ .‬כפי שציינתי‪ ,‬הטמעת התקן יכול להיות‬ ‫תהליך ארוך (תלוי בגודלו ותחולת הפרויקט)‪ ,‬ויכול להימשך החל משלושה חודשים עד חצי‬ ‫שנה או שנה‪ ,‬ואם לא מגדירים היטב מה צריך לעשות‪ ,‬מי צריך לעשות את זה‪ ,‬ובאיזה‬ ‫מסגרת זמן‪ ,‬יתכן שלעולם לא נסיים את הפרויקטים הללו ‪.‬‬ ‫‪ .5‬תקבעו מנהל פרויקט‬ ‫זהו שלב חשוב מאוד בתהליך הטמעתו של התקן בארגון‪ ,‬מכיוון שזה יכול לחסוך המון בעיות‬ ‫פוליטיות בארגון‪ ,‬במיוחד בארגונים‪ ,‬בהם מתמחים בפוליטיקה ארגונית (ואני נמנע מלציין‬ ‫את הארגונים הללו ‪ . ) ‬מנהל הפרויקט חייב להיות דמות סמכותית בארגון‪ ,‬על מנת לגרום‬ ‫לכך שהתהליך ירוץ כשורה ולא ייעצר בכל פעם שיש קונפליקט בין שני צדדים‪.‬‬ ‫‪ .6‬הגדירו את התחולה לפרויקט (לתקן ‪)ISO 27001‬‬ ‫אם הארגון שלכם גדול (‪, )Enterprise‬אז אני אישית ממליץ לכם לבחון היטב את תחולת‬ ‫הפרויקט‪ .‬המלצתי היא להתחיל עם אגף מערכות מידע‪ ,‬ולאחר מכן לבחון כל מקרה לגופו‪.‬‬ ‫למשל‪ ,‬תוכלו לבחור אתר פיזי אחד‪ ,‬תוכלו לבחור אפליקציה מסויימת וכדומה‪ .‬מה שהכי‬ ‫חשוב‪ ,‬הוא לבחור חלקים בארגון שיש להם חשיבות לעבור את ההסמכה לתקן‪ .‬להמלצות‪,‬‬ ‫טיפים ושאלות כיצד לבחור את התחולה‪ ,‬תוכלו לפנות אלינו לאיגוד‪.‬‬ ‫‪ .7‬הגדירו וכתבו את מדיניות אבטחת המידע של המנא"מ (‪)ISMS‬‬ ‫מסמך מדיניות הינו מסמך המציג את העקרונות והצהרות הנהלת הארגון בנוגע לניהול‬ ‫מנא"מ (‪ .)ISMS‬זה לא מסמך שתפקידו לפרט בפרטי פרוטות מה צריך לעשות‪ ,‬אלא יותר‬ ‫ברמת המאקרו‪ .‬אז מה מטרת המסמך אם כך? המטרה היא שהנהלת הארגון תוכל להגדיר‬ ‫מה בדיוק היא רוצה להשיג (מטרות) וכיצד הוא מתכוון לנהל את אבטחת המידע בארגון‪.‬‬ ‫‪ .8‬הגדירו לעצמכם מתודולוגיה להערכת וניהול סיכונים‬ ‫תהליך הערכת הסיכונים הינה המשימה הכי מורכבת בפרויקט ‪ – .ISO 27001‬המטרה היא‬ ‫להגדיר את העקרונות לזיהוי הנכסים בארגון‪ ,‬פגיעויות (חולשות)‪ ,‬איומים‪ ,‬השפעות האיומים‬ ‫על הנכסים‪ ,‬סבירות‪ ,‬רמות סיכון ומהי רמת הסיכון שמקובלת על הארגון‪ .‬אם לא מגדירים‬ ‫את הדברים הללו‪ ,‬מהר מאוד אתה מוצא את עצמך במצב שבו תוצאות הסקר (ממצאים)‬ ‫אינם משקפים את המציאות‪.‬‬


‫‪ .9‬תבצעו תהליך של הערכת סיכונים וטיפול בממצאים‬ ‫בשלב זה עליכם להטמיע את המתודולוגיה להערכת סיכונים אשר בחרתם (הגדרתם) בשלב‬ ‫הקודם (‪ .)8‬זה יכול לקחת לארגון גדול כמה חודשים‪ ,‬אז כדאי לתכנן את התהליך הנ"ל‬ ‫היטב‪ .‬המטרה היא לקבל תמונת מצב אמיתית בנוגע לאיומים וסיכונים שחלים על הארגון‬ ‫שלך (נכסים)‪.‬‬ ‫המטרה של תהליך טיפול בסיכונים הינה למזער את הסיכונים אשר אינם מקובלים על‬ ‫הארגון (על הנהלת הארגון)‪ – .‬בד"כ זה מתבצע ע"י תכנון שימוש בבקרות אשר נמצאות‬ ‫בנספח ‪ )Annex A( A‬בתקן‪.‬‬ ‫בשלב זה‪ ,‬חובה לרשום דוח הערכת סיכונים‪ ,‬אשר יתעד את כל השלבים שבוצעו כולל את‬ ‫תהליך הטיפול בסיכונים‪ .‬כמו כן‪ ,‬במידה וישנם סיכונים שיאוריים (‪ ,)Residual Risk‬צריכים‬ ‫לדאוג שיהיה לכך אישור בכתב‪ ,‬או כמסמך נפרד‪ ,‬או כחלק ממסמך הצהרת הישימות‬ ‫(‪.)Statement of Applicability‬‬ ‫‪ .11‬כתבו מסמך הצהרת ישימות (‪)SOA‬‬ ‫ברגע שהנכם מסיימים את תהליך הטיפול בסיכונים‪ ,‬אתם בעצם תוכלו לדעת בדיוק אילו‬ ‫בקרות מנספח ‪ )Annex A( A‬תצטרכו ליישם ואילו בקרות לא יהיה בהן צורך‪ .‬ישנם ‪355‬‬ ‫בקרות‪ ,‬ובד"כ‪ ,‬לא תצטרכו את כולן)‪.‬‬ ‫מטרת מסמך הצהרת ישימות (לעתים נקרא ‪ )SOA‬הוא למפות את כל הבקרות ולהגרי אילו‬ ‫בקרות ישימות מבחינת הארגון שלכם ואילו בקרות לא‪ ,‬וכמובן תצטרכו להוסיף מספר‬ ‫עמודות אשר יצדיקו את ההחלטה שלכם‪ ,‬נוספות כגון‪ :‬מהי הסיבה לכך שהבקרה אינה‬ ‫ישימה‪ ,‬איזה מטרות אתם רוצים להשיג בעזרת הבקרות הללו‪ ,‬והסבר קצר אודות תהליך‬ ‫ההטמעה של המנא"מ (‪.)ISMS‬‬ ‫כמו כן‪ ,‬לא פחות חשוב‪ ,‬המסמך הזה חייב להיות מאושר וחתום ע"י הנהלת הארגון‬ ‫(ההנהלה הבכירה)‪.‬‬ ‫להלן דוגמא לטבלה מתוך מסמך הצהרת ישימות (‪:)SOA‬‬ ‫‪ .11‬כתבו תוכנית לטיפול בסיכונים (‪)RTP‬‬ ‫טוב‪ ,‬בדיוק כשחשבתם שכבר ביימתם עם כל המסמכים שקשורים לסיכונים‪ ,‬ז הנה‪ ,‬עוד‬ ‫מסמך אחד שתצטרכו על מנת לעבור את תהליך ההסמכה‪ .‬מסמך "תוכנית טיפול בסיכונים"‬ ‫(‪ – )Risk Treatment Plan‬שמטרתו היא להגדיר בדיוק כיצד אתם הולכים להטמיע את‬ ‫הבקרות שציינתם במסמך הצהרת הישימות‪ ,‬מי הולך להטמיע אותן‪ ,‬מתי ועם איזה‬ ‫משאבים‪.‬‬ ‫מסמך זה מהווה בעצם תוכנית הטמעה המתמקד בבקרות‪ ,‬שבלעדיו תתקשו להתקדם‬ ‫הלאה בפרויקט‪.‬‬ ‫‪ .12‬הגדירו כיצד תמדדו את האפקטיביות של הבקרות‬ ‫משימה נוספת שבד"כ ארגונים מפחיתים מחשיבותה – זה מדידת האפקטיביות של‬ ‫הבקרות‪ .‬הנקודה כאן היא שאם אתה לא יכול למדוד מה עשית‪ ,‬אז כיצד תוכל הליות בטוח‬ ‫שהשגת את המטרה שלך?‬ ‫ולכן‪ ,‬עליך לוודא שאכן הגדרת לעצמך כיצד אתה הולך לבדוק ולמדוד שהשגת את המטרה‬ ‫שלך‪ ,‬עבור כל בקרה שמצוינת במסמך הצהרת הישימות (‪.)SOA‬‬


‫‪ .13‬הטמיעו את הבקרות ונהלים מנדטוריים‬ ‫קל יותר לדבר מאשר לבצע‪ .‬זהו השלב שבו עליך להטמיע את ‪ 6‬השלבים הראשוניים של‬ ‫התקן (‪ )Management Clauses‬ובנוסף את הבקרות הישימות והרלוונטיות עבור הארגון‬ ‫שלכם מתוך נספח ‪.)Annex A( A‬‬ ‫לרוב‪ ,‬זו יכולה להיות המשימה בעלת הסיכון הגבוה ביותר בפרויקט שלכם (הטמעת ‪ISO‬‬ ‫‪ 27001‬בארגון) – היות ומדובר כאן בהפעלת ויישום טכנולוגיות חדשות (בקרות)‪ ,‬אבל מעל‬ ‫הכל‪ ,‬מדובר בהטמעת התנהגות חדשה בתוך הארגון שלכם‪.‬‬ ‫לעתים קרובות‪ ,‬יש צורך במדיניות ונהלים חדשים‪ ,‬וכידוע לנו‪ ,‬לרוב‪ ,‬האנשים נוטים להתנגד‬ ‫לשינויים במערכת – ומה שהופך את השלב הבא‪ ,‬לחיוני ביותר בכדי כישלון בפרויקט‪.‬‬ ‫‪ .14‬הטמיעו ובצעו תוכנית להגברת המודעות בנושא אבטחת מידע‬ ‫אם הנכם רוצים שהמשתמשים יטמיעו את כל מסמכי המדיניות והנהלים החדשים בארגון‪,‬‬ ‫ראשית‪ ,‬עליכם להסביר להם למה יש בכלל צורך בכל השינויים הללו‪ ,‬וכמו כן גם רצוי גם‬ ‫להדריך ולהכשיר את אותם המשתמשים כדי שיוכלו לבצע את המוטל עליהם‪.‬‬ ‫היעדר תהליך זה בפרויקט‪ ,‬מהווה סיבה שנייה לכישלון בפרויקט‪.‬‬ ‫‪ .15‬חובה לתפעל את המנא"מ (‪)ISMS‬‬ ‫זהו החלק שבו‪ ,‬התקן ‪ ISO 27001‬הופך להיות חלק אינטגראלי בשגרת היום יום שלכם‬ ‫בארגון‪ .‬המילה הכי חיונית כאן הינה" רשומות‪-‬תיעוד"‪ .‬הסוקרים (‪ )Auditors‬מאוד אוהבים‬ ‫תיעוד – ללא תיעוד‪ ,‬יהיה לכם מאוד קשה להוכיח שפעילות מסוימת אכן מתבצעת כפי‬ ‫שאתם טוענים שהיא מתבצעת‪.‬‬ ‫כמו כן‪ ,‬התיעוד גם עוזר לכם מלכתחילה – ניתן להיעזר בתיעוד על מנת לנטר מה קורה‬ ‫בארגון‪ ,‬כך תוכל לדעת בוודאות האם העובדים (וספקים חיצוניים) אכן עושים את המוטל‬ ‫עליהם‪.‬‬ ‫‪ .16‬חובה לנטר את פעילות המנא"מ (‪)ISMS‬‬ ‫מה קורה אצלכם בארגון? האם המנא"מ (‪ )ISMS‬אצלכם עובד כראוי? כמה אירועי אבטחת‬ ‫מידע יש לכם בארגון? מאיזה סוג? האם כל הנהלים ננקטים בצורה נאותה?‬ ‫כאן בעצם אנו בודקים לראות האם הבקרות והמטרות שהצבנו לעצמנו‪ ,‬באמת השגנו אותם‪,‬‬ ‫ובצורה מלאה‪.‬‬ ‫אם לא‪ ,‬אז אנו לפחות יודעים שמשהו לא תקין‪ ,‬ואז נוכל לבצע פעולות מתקנות ו\או מונעות‪.‬‬ ‫‪ .17‬יש לבצע ביקורות פנימיות‬ ‫ברוב המקרים‪ ,‬מרבית האנשים אינם מודעים לעובדה שהם עושים משהו בצורה לא שגויה‬ ‫(או לפעמים הם מודעים לכך‪ ,‬אבל מעדיפים לשמור את זה בשקט‪ ,‬כדי שאחרים לא יידעו על‬ ‫כך)‪ .‬אבל לא להיות מודע על בעיות שקיימות או פוטנציאל למימוש של סכנות ואיומים‬ ‫בארגון‪ ,‬יכול לגרום נזק רב לארגון‪.‬‬ ‫ולכן עלינו לבצע ביקורת פנימית בכדי למצוא ליקויים ולוודא שלכל הממצאים שנמצאו‪,‬‬ ‫ננקטים פעולות מתקנות\מונעות‪.‬‬ ‫המטרה כאן היא לא להעניש מישהו‪ ,‬אלא למצוא ליקויים‪ ,‬ולתקן אותם מיידית לפני שייגרם‬ ‫לנו נזק כלשהו בארגון‪.‬‬


‫‪ .18‬חובה לבצע סקר הנהלה‬ ‫הנהלת הארגון אינה צריכה להגדיר את הפיירוולים בארגון‪ ,‬או את האנטי וירוס‪ ,‬אבל היא‬ ‫צריכה לדעת ולהיות מודעת למה שקורה בארגון מבחינת ניהול המנא"מ‪ .‬האם כל עובד‬ ‫מבצע את המוטל עליו‪ ,‬האם המנא"מ מביאה את התוצאות שהצבנו לעצמנו מלכתחילה‪,‬‬ ‫וכו'‪ .‬בהתבסס על סקר זה (סקר הנהלת הארגון)‪ ,‬הנהלת הארגון צריכה להסיק מסקנות‬ ‫ולנקוט באמצעים‪.‬‬ ‫‪ .19‬יש לנקוט בפעולות מתקנות ומונעות‬ ‫מטרת המנא"מ היא לוודא שכל מה שלא נמצא תקין (‪ )non-conformities‬יתוקן‪ ,‬או לפחות‬ ‫ינקטו פעולות מתקנות‪ ,‬מונעות או מפצות‪.‬‬ ‫ולכן‪ ,‬התקן ‪ ,ISO 27001‬דורש שפעולות מתקנות ומונעות יבוצעו באופן סיסטמטי‪ ,‬מה שאומר‬ ‫שצריכים למצוא את שורש הבעיה (‪ ,)Root cause‬לתקן ולוודא שאכן זה תוקן‪.‬‬

‫‪ .21‬תכינו תוכנית עבודה תלת שנתית להמשך תהליך הביקורת‬ ‫ההסמכה לתקן ניתנת למשך ‪ 5‬שנים‪ ,‬כאשר במהלך תקופה זו‪ ,‬אתם עלולים לזכות מדי פעם‬ ‫לביקורות מצד הגוף המבקר\מסמיך (כגון מכון התקנים)‪.‬‬ ‫ההמלצה היא שתכינו תוכנית עבודה תלת שנתית לתפעול המנא"מ‪ ,‬זה מאוד יקל עליכם הן‬ ‫מבחינת הסוקר‪ ,‬והן מבחינת ביצוע תפקידכם בניהול ותפעול המנא"מ‪.‬‬ ‫מקווה שהמדריך הזה עזר ויעזור לכם‪ ,‬ואולי גם יחסוך לכם קצת תקציב (ייעוץ)‪ ,‬כך שתוכלו‬ ‫לבזבז אותו בפעילויות אחרות‪.‬‬ ‫בכל מקרה‪ ,‬לכל שאלות הבהרה‪ ,‬תוכלו לפנות אלי במייל‪danny@titans2.com :‬‬ ‫הכותב הינו סוקר מוסמך בינלאומי ל‪ ISO 27001 LEAD AUDITOR-‬ו‪BS25999 LEAD -‬‬ ‫‪ .AUDITOR‬הוא הסמיך וייעץ לארגונים רבים בארץ ובחו"ל‪ ,‬וכותב בעצמו הסמכות ומסמיך‬ ‫סוקרים עתידיים להיות סוקרים מובילים בארגון (‪.)Lead Auditors‬‬

כיצד להטמיע את ההתקן ISO27001  

כיצד להטמיע את ההתקן

Read more
Read more
Similar to
Popular now
Just for you