03-9450630
דף הבית > מידע מקצועי > כל מה שצריך לדעת על תקן 2022:ISO 27001

כל מה שצריך לדעת על תקן 2022:ISO 27001

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27001 או התקשרו ל- 03-7176281

 

תקן 2022:ISO 27001 לעומת ISO 27001:2013 – מה השתנה?

באוגוסט 2021 פרסם ארגון התקינה הבינלאומי (ISO) את הגרסה העדכנית ביותר של תקן ISO/IEC 27001:2022, המחליף את הגרסה הקודמת, ISO/IEC 27001:2013.

ISO 27001 הוא תקן עולמי המפרט את הדרישות למערכת ניהול אבטחת מידע (ISMS). הוא מספק גישה שיטתית לניהול מידע רגיש.

התקן מסייע לארגונים לזהות, להפחית ולנהל סיכוני אבטחה כדי להבטיח את הסודיות, השלמות והזמינות של המידע.

במהלך כמעט עשור עולם אבטחת המידע, הסייבר והפרטיות עבר אבולוציה משמעותית ביותר, לצד התפתחויות טכנולוגיות של תשתיות IT, כלי הגנה וסביבות עבודה – ובראשן מעבר של ארגונים רבים לעבודה בסביבות ענן.

אמנם, התקן מנוסח באופן כללי והינו תקן לניהול אבטחת מידע, כך שהוא מתאים לכל ארגון, אך עדיין ניכר היה שהתקן נשאר מעט מאחור ולא הוטמעו בו עדכונים הנדרשים כתוצאה מהשינויים שקרו בעולם.

עתה, בעדכון האחרון נראה יישום והתייחסות בהיבטים שלא קיבלו התייחסות במהדורה הקודמת, והתקן למעשה הותאם לחידושים בעולם אבטחת המידע, בכל ארבעת הרבדים – הגנה, ניטור, תגובה והתאוששות.

הכירו את תקן אבטחת מידע, סייבר ופרטיות:

השינוי הראשון שמלמד על מגמות העדכון הוא שהתקן כבר לא נקרא תקן אבטחת מידע, אלא "אבטחת מידע, סייבר ופרטיות", ובכך הוא מרחיב את תחומי העיסוק של המערך, ודורש מצוות ההטמעה לתת מענה מקצועי גם לתחומים אלו.

תחום אבטחת המידע הוא רב ממדים, רב פנים ונדרשות בו מיומנויות והתמחויות מתחומים שונים. למרות שבד"כ מקושר לעולמות IT וטכנולוגיה, למעשה לתחום זה נגיעה כמעט בכל תהליך ארגוני, כמו ניהול משאבי אנוש, ניהול אבטחה פיזית, רכש והתקשרויות ועוד.

 

מפת מאפיינים לכל בקרה:

בגרסת התקן החדשה נוספה מפת מאפיינים לבקרות השונות של התקן. מפה זו מאפשרת למנהלי אבטחת מידע לבחון סיכונים ולבסס מערך מנוהל לפי ורטיקלים ברורים. אותה מפת המאפיינים מגדירה חמישה סוגי מאפיינים לכל בקרה (סוג הבקרה, מאפיין CIA, מאפיין סייבר, מאפיין תפעולי, מאפיין תחום א"מ):

ובנוסף, נעשתה חלוקת לארבעה תחומי על:

  • אנשים
  • אבטחה פיזית
  • טכנולוגיה
  • ארגון

תוספת זו מייצרת מודל מטריציוני ומחזקת את התועלת לארגון באימוץ התקן כבסיס מתודולוגי לבניית מערך ניהול אבטחת מידע. בסיס כזה מסייע בבניית תוכניות עבודה, חלוקת משימות ותהליכים לפי מודל ברור.

 

הצהרת ישימות (SOA):

הצהרת הישימות (SOA) תיבנה בהתאם לסיווגים הבאים, לצורך מיקוד מיטבי בבחינת בשלות הארגון:

ישנם שינויים סמנטיים בחלוקת הסעיפים של התקן, סעיפים שאוחדו עם סעיפים אחרים ומעט בקרות שהוסרו.

 

שינויים מהותיים בתקן ISO 27001:2022:

השינויים המשמעותיים מצויים בסט הבקרות החדשות, אשר מפורטות בתקן הנלווה ISO 27001:2022 ומתייחסות למגוון היבטים שלא קיבלו התייחסות בגרסה הקודמת:

 

חשוב לציין כי לא כל הבקרות ישימות עבור כל הארגונים, כך למשל בקרות בנושא פיתוח מאובטח ישימות רק עבור ארגוני פיתוח תוכנה.

מצוות ההטמעה נדרשת העמקה של אפיון תהליכי המידע בארגון וכנגזרת מכך זיהוי של מידת ישימות הבקרה לארגון.

עם זאת, בקרות שנמצאו ישימות נדרשות להטמעה בצורה יסודית ורחבה על מנת להבטיח את האפקטיביות שלהן.

כך לדוגמא, במסגרת בקרת זמינות המידע, לא יהיה מספק להגדיר קריטריונים של זמינות (RTO/RPO) אלא לייצר תשתית טכנית מתאימה שתתמוך בהגדרות אלו מצד אחד, ומצד שני לבסס תהלכי הטמעה וניהול הנושא כדי לוודא מוכנות, למשל בתכנון תרגילים.

 

לסיכום:

ISO/IEC 27001:2022 כולל מספר דרישות חדשות שארגונים צריכים לעמוד בהן כדי להשיג הסמכה.

הגרסה החדשה מדגישה את החשיבות של הערכת סיכונים וטיפול בסיכונים, ביקורת פנימית, ניטור וביקורת של מערכת ניהול אבטחת המידע באופן משולב עם תחומי הסייבר והפרטיות.

הדרישות החדשות מדגישות את חשיבות אבטחת שרשרת האספקה ​​ואת הצורך של ארגונים לוודא שהספקים והקבלנים שלהם עומדים בדרישות מערכת ניהול אבטחת המידע.

הגרסה החדשה של התקן היא עדכון משמעותי שארגונים צריכים לקחת בחשבון בעת ​​פיתוח ויישום מערכת ניהול אבטחת המידע שלהם.

Gilad Beery

Gilad Beery

לכל המאמרים של
טופס תחתון

מעוניינים לקבל ייעוץ להטמעת תקן 2022:ISO 27001?

Fill in your information or contact us and we'll be happy to be at your service!

  • טלפון

    03-9450630

  • Mordechai Rozanski 18
    Rishon Lezion

  • Sun - Thu
    08:00-17:00