מפגש IT’s North הצגת תקן ISO 27001 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 1 תוכן העניינים • לשם מה יש צורך בתקן לניהול אבטחת מידע? • מהי אבטחת מידע ? • עקרונות התקן • מבנה התקן • יישום התקן בארגון • תהליך ההתעדה 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 2 הצורך בהגנה על המידע • מידע יכול להתקיים בצורות רבות. • כתוב על נייר ,מאוחסן בקבצים ,מועבר בדואר פיזי או אלקטרוני ,להיות מוצג בסרט או להיות מועבר בשיחה • אולם תמיד יש להגן עליו כראוי. 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 3 מה זה מידע ? (נכסי מידע) • ציוד (מחשבים ,שרתים ,ציוד תקשורת ,מדפסות) • מאגרי מידע ,בסיסי נתונים ,קבצים • תהליכים עסקיים • אנשים • תדמית הארגון • תוכנות • מסמכים 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 4 מה בעצם הבעיה ? • ברוב הארגונים אין הגדרת נכסים וסיווגם • אין סקרי סיכונים מסודרים ושיטתיים • הגנות רק כנגד איומים ידועים(ווירוסים ,האקרים) • הפתרונות טכנולוגיים בלבד ( ,FWבקרת גישה) • מעט חפיפה ואינטגרציה בין הפתרונות • אין בקרה על ממצאי מערכות א"מ (ניתוח לוגים) 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 5 שאלות שכל הנהלה חייבת לשאול • האם יש פרופורציה נאותה בין ערך המידע לבין ההשקעה באבטחת המידע? • האם ידוע מיהם נכסי המידע של הארגון מיקומם ,ומי מורשה לגשת אליהם • האם ידוע מי אחראי על כל נכס מידע • האם קיים ניהול תצורה מתועד המאפשר זיהוי כל צורות הגישה לכל נכס מידע . • לפי מה נבנתה מערכת אבטחת המידע בארגון ? 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 6 האם האמצעים הננקטים בארגון מספקים ? • האם כל האיומים על נכסי המידע ידועים ? • האם ידועות פרצות וחולשות בכל הרמות • (תחנות ,שרתים ,רשת ,אפליקציות ,בסיסי נתונים), • האם קיימת בקרה מתמשכת?. • האם האמצעים הקיימים מספקים? • האם המשתמשים ,עושים שימוש בתשתיות בצורה נכונה? • האם קיימת בקרה גם על מפעילים ומפתחים ? • האם המערכת מעודכנת ? 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 7 תשובה לכל השאלות שנשאלו מחייבת • שימוש בסטנדרט אחיד מקובל ושלם • הסטנדרט מהווה נקודת התייחסות אחידה לכל הגורמים בארגון • קובץ כללים לבניה וניהול מערכת אבטחת מידע. • קובץ עקרונות לאימות עמידת המערכת בדרישות 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 8 אבטחת מידע איננה רק טכנולוגיה • אבטחת מידע היא תהליך מתמשך ! • הגדרת דרישות • תכנון • ביצוע • בקרה • תחזוקה ושיפור • תהליך צריך לנהל ! 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 9 התקן מתווה עקרונות לניהול אבטחת מידע • מבוססים על: • ניהול סיכונים • התאמת אמצעי אבטחה לפי האיום האפשרי • הגדרה ויישום “תורת אבטחה ארגונית” המתאימה לאיומים ומתייחסת לכל ההיבטים: • ההיבט הטכנולוגי • ההיבט הניהולי • בקרה ושיפור מתמיד • התקן מגדיר דרישות ולא פתרונות 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 10 מבנה התקן • ת"י ISO 27001מציין דרישות למערכות ניהול אבטחת מידע • ת"י ISO 27001הוא תקן להתעדה • ת"י 27001הוא מערכת ניהול • ת"י 27001מתבסס על תפישת PDCAשל .ISO 9001:2000 • ת’י ISO 27002הוא מדריך המסביר על הבקרות האפשריות • ת"י ISO 27002אינו מציין דרישות מנדטוריות 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 11 מערכת ניהול אבטחת מידע (פרקים ) 4 – 8 • דרישות כלליות • עקרונות הקמת מנא"מ (גבולות ,סקר סיכונים ,ניהול סיכונים ,ניהול נכסים) • יישום והפעלה של מנא"מ (בחירת הבקרות והפעלתם) • ניטור וסקירה של המנא"מ (בקרת תהליכי היישום) • בקרת תיעוד ורשומות (מבנה המערכת המתועדת ,שימור ידע וראיות היישום) • אחריות הנהלה ומחויבות הנהלה • ניהול משאבים • מבדקי מנא'מ פנימיים • סקר הנהלה של המנא'מ • שיפור המנא'מ 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 12 מבנה תקן 27002 בקרות בקרות מדיניות אבטחה בקרת גישה התארגנות לצורך אבטחת מידע רכישה ,פיתוח ותחזוקה של מערכות ניהול נכסים ניהול אירועי אבטחת מידע ניהול תקשורת ותפעול ניהול המשכיות עסקית אבטחה פיזית וסביבתית התאמה אבטחת משאבי אנוש 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 13 יתרונות • • • • • • • • חסכון כספי ניכר הנובע משיפור זמינות המערכות שיפור במניעת הונאות ,זמינות השרות ,מניעת שיבוש במידע ועוד . בנית מערכת א"מ מבוססת איומים ומתודולוגיה. ניהול סיכונים שוטף ,צמצום בכמות ההפתעות בקרה מובנית בתהליכי אבטחת המידע. ניהול א"מ לפי יעדים ובדיקת אפקטיביות המערכת. שמירת עדכניות המערכת. שיפור מתמיד. 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 14 היערכות ויישום • הגדרת מדיניות אבטחת מידע וכתיבת מסמך • הגדרת תחום • זיהוי סיכונים ,לימוד חוקים ,תקנות ,ותקנים המחייבים. • ביצוע סקר נכסים (חמרה ,תכנה ,תהליכים) • בחירת מטרות ואמצעי בקרה וכתיבת הצהרת ישימות. • כתיבת נהלי תפעול ,תגובה וניהול. • הטמעת הנהלים ,הפעלת המערכת ,מבדקים פנימיים • מבדק התעדה חיצוני 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 15 התעדה :יצירת קשר עם מכון התקנים • הזמנה הסוקר לפגישת הכרות\שיווק ראשונה • בקשה להצעת מחיר – מרים ארז סניף חיפה • אישור הצעת המחיר • קביעת לוחות זמנים יחד עם הסוקר 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 16 התעדה :שלב א • הכרת הארגון ,סיור במתקניו ,הכרות עם צוות הפרויקט • הגדרת תחום ההתעדה (מוצרים\שירותים ,חטיבה ,לקוח ,אתר). • בדיקת התאמת התיעוד מול דרישות התקן • תכנון מבדק ההתעדה(שלב ב) • תוצר :דוח בדיקת תיעוד +סיכום תוכנית שלב ב 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 17 בית ספר גבוה לטכנולוגיה :שלב א • הוצג המוסד אקדמי ,והמכונים • התקיימה הכרות עם הצוות :מנהל א"מ ,יועץ ,נציג הנהלה • הוגדר תחום" :המערך המנהלי ,האקדמי והמחקרי בבית הספר הגבוה לטכנולוגיה בירושלים" • הובהרו הנכסים ,הסיכונים ( ,עובדים שהם גם סטודנטים ,פעילות מחקרית) ואירועים שקרו • נבדקה התאמת התיעוד מול דרישות התקן – נדרשו תיקונים מהותיים • נקבע זמן מספיק להיערכות לאחר שהתברר לארגון דרישות התקן • הוגש דוח בדיקת תיעוד (טעון שיפור) • סיכום תוכנית שלב ב (רשימת הנושאים שייסקרו להשלמת המבדק הראשוני) 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 18 התעדה :שלב ב • ביצוע מבדק מלא בכל האתרים הרלוונטיים • הכנת דוח מבדק • דרישה לפעולה מתקנת (לאי התאמות) • הכנת תוכנית פעולה מתקנת לממצאי המבדק 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 19 בית ספר גבוה לטכנולוגיה :שלב ב • ביצוע מבדק מלא במכון לב • הכנת דוח מבדק מפורט לפי סעיפי התקן • דרישה לפעולה מתקנת (לאי התאמות) • סיווג נכסים ,ניהול סיסמאות ,הרשאות לפי תפקידים, מחשוב מרחוק • הוכנה תוכנית פעולה מתקנת לממצאי המבדק 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 20 כניסה לתקופת מעקב • בסיום תהליך האישור הראשוני • התקשרות ומעקב שנתי • בהתאם לתוכנית פיקוח שתוגדר • חתימה על הסכם פיקוח • ההסכם הוא תנאי לקבלת האישור 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 21 בית ספר גבוה לטכנולוגיה :כניסה לתקופת מעקב • נבדקה התאמת הפעולות המתקנות שסופקו על יד הארגון • הוגדר על ידי הסוקר היקף הפיקוח והמעקב שנתי • הארגון חתם על הסכם פיקוח • הארגון קיבל תעודה 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 22 תודה על ההקשבה ובהצלחה ביישום מכון התקנים לשירותכם 29מאי 12 מפגש - IT's North -הצגת תקן ISO 27001 23
© Copyright 2024