מה זה ISO 27001
ISO/IEC 27001 מגדיר דרישות למערכת ניהול אבטחת מידע (ISMS) כדי להגן על נכסי מידע — טכנולוגיים, ארגוניים ומשפטיים — באופן שיטתי וניתן לביקורת.
הקשר העסקי והצורך הארגוני
התקן נועד לארגונים בכל גודל ותחום. הוא מאפשר לתרגם סיכונים לבקרות, נהלים ומדדים, ולהציג ללקוחות ולשותפים עסקיים שליטה עקבית.
בישראל, ISO 27001 נפוץ במיוחד אצל SaaS, חברות טכנולוגיה, פיננסים ובריאות — כאשר נדרשים להוכיח עמידה או התקדמות בשלות.
סיכונים ואתגרים נפוצים
בלבול בין «כלי אבטחה» לבין מערכת ניהול — רכישת מוצרים בלי מדיניות, בעלות ומדידה.
תיעוד גנרי שלא משקף את המצב בפועל — חשיפה בביקורת ופגיעה באמון.
ניהול ובקרה, תהליך ומסגרת עבודה
התקן מבוסס על תכנון מבוסס סיכון (Risk-based): זיהוי נכסים, איומים, פגיעות והערכת השפעה והסתברות.
בקרות נבחרות בהתאם לסיכון ולדרישות חוקיות/חוזיות; נדרשות ראיות תפעוליות ליישום.
איך אנחנו יכולים לסייע
מיפוי מצב קיים (As-is), פערים מול יעדים, ותוכנית תיקונים.
בניית חבילת נהלים ותבניות ראיות, ליווי אימוץ בארגון, והכנה לביקורת חיצונית כשזה ביעד.
שאלות נפוצות
ISO 27001 ו־ISO 27002 — מה ההבדל?
27001 הוא דרישות תקן ל-ISMS; 27002 מספק הנחיות והמלצות בקרה שעוזרות לבחור וליישם בקרות תואמות.