על קצה המזלג: מה חשוב לדעת על ISO 27001

מאת מאורו ישראל, חבר במועצה המייעצת של GSECTRA, מבקר ראשי ומוסמך ISO 27001

אתה יכול להיות האדם שבודק את ניהול האבטחה של מערכות המידע: לשם כך נחוצה הסמכת מבקר ראשי (ISO 27001 Lead Auditor certification). חברת GSECTRA מציעה קורס רשמי בן שבוע אחד שבסופו נערכת בחינה בכתב ובעל פה. הקורס מתאים למי שעובדים בחברת ייעוץ ומבקשים לספק שירותי ביקורת. למי שמגיעים מצד המשתמשים מוצעת הסמכת ISO 27001 Lead Implementer. גם קורס הסמכה זה נמשך שבוע ובסיומו מקבלים הסמכה אישית ליישום התקן בארגון. הארגון עצמו יכול לקבל הסמכת ISO 27001, שמשמעותה כי ניהול האבטחה של מערכת המידע פועל היטב וכל השלבים בוצעו ללא ליקויים חמורים. תהליך ההסמכה נמשך שלוש שנים והוא תקף לאתר אחד, לעסק אחד או לכל החברה – בהתאם להיקף הנבחר. אפשר להתחיל בקנה מידה קטן כדי להתרגל לשיטה ולאחר מכן להרחיב את התהליך לחברה כולה. זו הדרך הבטוחה ביותר להצלחה.

מדי שישה חודשים נערכת ביקורת ביניים שבמסגרתה נבדקים כל הליקויים הקלים וההערות – ולא המערכת כולה. אם אחד הליקויים לא תוקן מעלים את דרגת החומרה שלו, כלומר ליקוי קל הופך לחמור והערה הופכת לליקוי קל. המשמעות היא שאפשר לקבל הסמכה גם עם ליקוי קל, אך אם הוא לא תוקן תוך 6 חודשים מושעית ההסמכה. כלל זה תקף לארגונים ולא ליחידים. יחידים צריכים רק להוכיח מדי שלוש שנים שהם ערכו ביקורות או יישומים בפועל.

אני ממליץ לכם בחום – כיחידים או כחברה – לקבל הסמכת ISO 27001. כך תבססו מסגרת איתנה לשיפור האבטחה ולהפיכה למק אלן, ולא לריינוסה.

מאורו ישראל משמש כמומחה לאבטחת מידע מזה למעלה מ-25 שנים, ובין השאר עסק בקורסים להגברת המודעות לאבטחה, פריצה אתית וביקורות אבטחה. כיום מאורו הוא מומחה ידוע ברחבי העולם לאבטחת מידע, עורך בלוגים ומרצה.