ISO 27017 | להגנה על מידע בשירותי ענן

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27017 או התקשרו ל- 03-7176281

 

מהו תקן ISO 27017?

תקן ISO 27017 עוסק בהנחיות לשימוש בשירותי ענן, הוא מספק הנחיות ספציפיות לבקרות וטיפול בסיכוני אבטחת מידע בהם.

תקן זה הינו בינלאומי ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע ומבוסס על ISO 27002 המגדיר את תחומי האחריות של לקוחות הקצה וספקי השירות בשירותי ענן, מה שמאפשר להפוך שירותים אלו לבטוחים יותר.

אנו מציעים לכם דרך קלה ופשוטה להטמעה ויישום התקן. יועצינו בעלי ניסיון רב בהטמעת תקני אבטחת מידע.

מומחי אבטחת המידע שלנו יתאימו את יישום התקן לאופיו של הארגון שלכם, תוך עמידה מלאה בדרישות התקן.

 

מהם היתרונות בהטמעת התקן?

  • מאפשר את ארגון המידע בענן, מה שמקל על איתור המידע בו ואת השימוש בו ומונע את גישתם של גורמים בלתי מורשים.
  • מעניק עמידה בדרישות סף למכרזים, עמידה בדרישות אבטחה מתקדמות ומעניק יתרון עסקי בעבודה מול לקוחות.
  • הגנה פיסית ולוגית על העסק.
  • מסייע במניעת פרצות אבטחה ובכך מצמצם נזקים אפשריים הקשורים באובדן מידע או חוסר יכולת לשחזור מידע.
  • מאפשר זיהוי וניהול סיכונים ומונע חשיפה להונאות רשת.
  • לאחר מקרי אבטחה, הוא מאפשר המשכיות עסקית מהירה.
  • מעלה את רמת המודעות של עובדי הארגון לנושא אבטחת המידע והפרטיות בארגון.

 

על מי חל תקן ISO 27017?

התקן מיועד ל-2 הגורמים הבאים:

  1. לקוח קצה – אדם הרוכש ומשתמש בשירותי הענן המסופקים על ידי ספק השירות.
  2. ספק שירות – מי שמספק את שירותי הענן ללקוח.

 

מהן החובות החלות על לקוח קצה?

שירותי ענן מספקים ללקוחות המשתמשים בהם שירות של אחסון ועיבוד של נתונים ומערכות רגישים בארגון.

עובדה זו גורמת לתלות גבוהה של הלקוח בשירות. זה מחייב הגברה של אבטחת המידע של שירותי הענן לצורך מניעת זליגת מידע מהענן ומניעה של פרצות אבטחה.

לפני תחילת העבודה, הלקוח מחויב לבקש מספק שירותי הענן ראיות לכך שהוא עומד בדרישות אבטחת המידע אליהן מתחייב.

רגע לפני שלקוח הקצה מבצע היקשרות עם ספק שירותי ענן, עליו לוודא שהוא עומד בחובות הבאות:

  1. הלקוח יבחן האם שירותי הענן המוצעים מתאימים לאחסון ושימוש במידע הרגיש שברשותו. על הלקוח לוודא כי ספק שירותי הענק עומד במדיניות אבטחת המידע תואמת למדיניות אבטחת המידע של הלקוח ושהענן מאובטח מספיק בכדי לעמוד בדרישותיו.

מדיניות אבטחת המידע תיקח בחשבון את הנושאים הבאים:

  • הגדרת בקרת הזדהות וגישה.
  • לאחר תיעוד בכתב את הקצאת התפקידים ותחומי האחריות בנושאי אבטחת מידע, יקבל הספק גישה למידע רגיש המאוחסן בענן. כגון: גיבוי מידע שוטף, ניהול אירועי אבטחת מידע, ביקורת שוטפת ועוד.
  • תהליכים שוטפים בענן יבוצעו במקביל לתהליכים של לקוחות נוספים אשר מאחסנים מידע רגיש בענן.
  • על הספק לעדכן את הלקוח היכן ממוקם הענן. במידה והענן יושב באיחוד האירופי וענן הגיבוי יושב מחוץ לאיחוד האירופי, או במידה והלקוח עצמו עובד מחוץ לאיחוד האירופי, קיימות השלכות רגולטוריות על הוצאה והעברה של המידע.
  • הגנה על מידע בעת הפסקת יחסים עם ספק השירות.
  1. לאחר שהארגון בחר בספק ענן מתאים לצרכיו, עליו לנהל רשימה של כלל הנכסים המאוחסנים בענן.
  • יש לערוך רשימה של בעלי סמכות רלוונטיים שיקבלו גישה לשירותי הענן, לתעד את פעולותיהם בענן ולהעביר להם הדרכת אבטחת מידע מקיפה המתמקדת בנהלי שימוש בו ובזיהו וניהול סיכוני אבטחת מידע.
  • הגדרת מדיניות בקרת גישה לכל שירותי הענן באמצעות שימוש במנגנון הזדהות חזק וכתיבת נהלים ספציפיים לאיבוד מידע בעקבות פעולות קריטיות.
  • במידה ובעל סמכות מסיים את עבודתו בחברה, על הלקוח לבקש תיעוד מפורט מהספק של מחיקת והסרת הגישה של המשתמש לענן.

 

ומה לגבי החובות החלות על ספקי קצה?

1.הספק מחויב להעביר ללקוח מידע על מדיניות אבטחת המידע שלו וכיצד היא מוטמעת בשירותי הענן הניתנים ללקוח.

המדיניות צריכה לכלול:

  • הגדרת בקרות גישה.
  • דרישות אבטחת המידע.
  • ניהול סיכונים בעקבות גישת משתמשים ישירה, לקוחות שונים ובידוד שרתים ושירותים לפי סוג השרות הניתן לכל אחד מהם.
  • עדכונים שוטפים בדבר שינויים בשרות, אופן ההתקשרות בעת פריצת אבטחה.

2.ספק שירותי הענן מחויב להעביר הדרכת אבטחת מידע לעובדי החברה שתתמקד בהגדרת נהלי שימוש בענן ובזיהוי וניהול סיכונים.

  1. המיקום הגאוגרפי של שירותי הענן יימסר ללקוח הקצה על ידי הספק.
  2. ישנה חובה לתיעוד חלוקת התפקידים ותחומי אחריות מוגדרים בתחום אבטחת המידע, כמו כן יסופק מנגנון הזדהות חזקה לאחראים.
  3. בתום ההתקשרות בין הספק ללקוח, על הספק לספק את הנתונים בדבר מחיקת מאגר המידע מהענן.
  4. במקרה בו הספק משתמש בשירותיו של ספק שירותי ענן נוסף, חלה עליו החובה לוודא כי רמת אבטחת המידע תואמת את דרישות הארגון.

 

ליווי על ידי מיטב המומחים בתחום:

בכדי להטמיע את התקן בהצלחה בארגונכם, אנו ב-Hermeticon נעמיד לרשותכם יועץ מנוסה בתחום. המומחים שלנו כוללים מומחים רגולטוריים ומומחי אבטחת מידע בעלי ניסיון עשיר, אשר יספקו לכם מענה מקיף ומקצועי.

אנו מציעים לכם שירות כולל שיהפוך את העבודה לקלה, פשוטה והכי חשוב – יעילה.

 

בסוף התהליך תקבלו מאתנו:

  • נהלי חירום לטיפול באבטחת מידע בהתאם לאופי הארגון שלכם.
  • סקר סיכונים מקיף.
  • מנגנון בקרה מובנה לניהול אבטחת המידע בארגונכם.

הסירו דאגה מליבכם ותנו לנו לקחת אתכם צעד צעד אל עמידה מלאה בדרישות התקן.

 

אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני או התקשרו ל- 03-7176281

בסוף התהליך תקבלו גם:

  • סקר סיכונים מקיף לאבטחת המידע שלכם
  • מנגנון בקרה מובנה ומסודר לניהול אבטחת המידע
  • תכנית המשכיות עסקית

יתרונות לביצוע התהליך עם Hermeticon:

ליווי ע"י מיטב המומחים בתחום

מיטב המומחים מהתחום יספקו עבורכם מענה מקיף ברמה הרגולטורית, הטכנית והמשפטית.

פתרונות בשלל תחומי אבטחת מידע וסייבר

אנו יודעים לספק את הפתרונות הטכנולוגיים המיטביים והנכונים ביותר לארגונכם.

ליווי ע"י חטיבת מבדקי חוסן

חטיבת מבדקי החוסן מונה מומחים לתקיפה המבוססת על ניסיון והיכרות עם מערכות ההגנה המתקדמות בשוק.

שירות מותאם לגודל הארגון וצרכיו

לאורך השנים צברנו ניסיון רב. אנו מסוגלים לספק מבט על אבטחת המידע בארגון שלוקח את כל החולשות הקיימות בארגון ולהעלות אותן למודעות ההנהלה.
טופס תחתון

מעוניינים להתייעץ עם מומחה בתחום אבטחת מידע?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00