סקר סיכונים וניהול סיכונים לפי ISO 27001
סקר סיכונים הוא תהליך שיטתי לזיהוי, ניתוח והערכת סיכוני אבטחת מידע ולתמיכה בקבלת החלטות על טיפול (Treatment). בתקן ISO 27001 הוא חלק מרכזי מהוכחת ניהול מבוסס סיכון.
הקשר העסקי והצורך הארגוני
ארגונים צריכים להראות כיצד הם קובעים את רמת הסיכון ומה עושים על מנת להפחיתו או להעבירו — במישור טכנולוגי, ארגוני ומשפטי.
סקר רשלני יוצר תכנית בקרות שלא משרתת את העסק — או מצד שני — תוכנית יקרה ולא נחוצה.
סיכונים ואתגרים נפוצים
סקר «חד-פעמי» ללא עדכון שוטף כשמשתנים נכסים, ספקים או ארכיטקטורה.
קיטלוג סיכונים גנרי שלא מקושר לנכסי מידע ותהליכים קריטיים בארגון.
ניהול ובקרה, תהליך ומסגרת עבודה
יש להגדיר מתודולוגיה עקבית (קריטריונים להכלה/דירוג), תפקידים ואחריות, ותיעדוף טיפול על בסיס תוצאות.
יש לקשר את התוצאות לבחירת בקרות ולניטור יעילות לאורך זמן.
איך אנחנו יכולים לסייע
בניית תהליך סקר מותאם לארגון — סדירות, כלים, רמת פירוט ותבניות דיווח לנהלה.
ליווי יישום תוכנית טיפול ומעקב אחר סגירת פערים כחלק מה-ISMS.