ISO 27001 – למה תקן?
יחידת העלית של GSECTRA – המרצים במסלול ISO 27001 Lead Auditor והיום: הגברת מירב ורד, מנכ"לית חברת יעוץ אבטחת המידע DataSEC מקבוצת SQLink
מירב, תוכלי להסביר מהו התקן?
"זהו תקן בינלאומי מוביל העוסק בניהול אבטחת מידע. התקן גובש מתוך הבנה כי יש להנחיל בארגון פתרונות אבטחה המבוססים על ניתוח וניהול הסיכונים ומתוך ראיה כלל מערכתית, הנותנת את הדעת לכל היבטי אבטחת המידע, בכל חמשת מעגלי האבטחה (אבטחה ברמת ה-IT – המיחשוב והתקשורת, אבטחה פיזית, אבטחת רשומות – מצעים פיזיים נושאי מידע, מהימנות עובדים ואבטחה בקרב ממשקים עסקיים).
תקן ISO 27001 מביט למעשה על אבטחת המידע דרך עיני הנהלת הארגון ומהם כלפי מטה, מתוך הכרה בחשיבות יישום תשתית אבטחת המידע.
הוגי הדעות בתחום אבטחת המידע השכילו להסיק כי יש לשלב בין כלל תחומי אבטחת המידע באמצעות תשתית ניהולית מרוכזת, מתועדת ומבוקרת, המשקללת את האיומים הרלוונטיים לארגון ומיישמת פתרונות ההולמים את רמות הסיכון. הנהלת הארגון מעורבת בהתוויות עקרונות ניהול אבטחת המידע והיא מגבה את הפעילות. מעורבות זו הנה חדשנית בתפישת אבטחת המידע שרווחה בעולם, מאחר ואחריות הניהול והיישום של תחום האבטחה היו לרוב מופקדים בידי אנשי המקצוע בשטח, מבלי שקיבלו גיבוי פוליטי או תקציבי הנדרש לטיפול בסיכונים".
מה לדעתך חשיבותה של הסמכת ארגון לתקן?
"כמעט בכל ארגון קיימת פונקציה האמונה על תחום אבטחת המידע. גורם זה עושה כל שביכולתו על-מנת להעלות את רמת אבטחת המידע ולצמצם פגיעה במידע. הוא מודע לצורכי הארגון ומכיר את הכלים והתהליכים העומדים לרשותו. אך, למרות שהוא בקיא בתחומו, לרוב אין בידיו את הכלים להעריך את רמת תשתית האבטחה ואת יעילותה.
מאחר והתשתית מבוססת על ניתוח וניהול הסיכונים, הארגון מחויב להקים וליישם תשתית האופטימלית עבורו ולנתב באופן היעיל והנאות ביותר את משאבי הארגון. יתרה מכך, התקן מחייב שיפור מתמיד, המבוצע במסגרת בדיקות חוזרות ונשנות של התאמת ישימות הבקרות לסיכונים, ובדיקות התאמה של הגוף המסמיך (מדי חצי שנה). בנוסף, התקן מהווה רף בינלאומי אחיד אשר לפיו יכולים כלל הארגונים בעולם 'להתיישר לימין'.
כמו כן, לארגונים המוסמכים לתקן קיים יתרון שיווקי בולט, שהרי הם בעלי אסמכתא בינלאומית המצהירה כי המידע והמערכות הקיימים בחזקתם מאובטחים ברמה האופטימלית. אין ספק כי אסמכתא שכזו מהווה נקודת פתיחה משמעותית בהתמודדות על לקוחות או מכרזים".
מה הניסיון של חברתכם בהסמכת ארגונים לתקן 27001?
"אנו ליווינו ארגונים מובילים בארץ להסמכה לתקן. ביניהם משרד האוצר, שירותי בריאות כללית, בזק בינלאומי, כרמל אולפינים, מירס, מוטורולה, קבוצת מגדל ורבים אחרים. לצד כך, ליווינו את ממשלת זנזיבר באפריקה להסמכה לתקן ISO 27001 וכן לתקן האיכות ISO 9001. מאז 2006 אנו טסים עם Auditor של מכון התקנים למבדק שנתי. אנו עצמינו מוסמכים לשני תקנים אלו ולכן מחוייבים כלפי לקוחותינו לעמוד בסטנדרטים מחמירים של אבטחת מידע ואיכות".
