ISO 27001 - אבטחת מערכות מידע
הקדמה - מהו תקן ISO 27001?
תקן ISO 27001 (איזו 27001) הינו תקן בינלאומי לניהול איכות בהקשר של שמירה על ביטחון המידע אותו הארגון מחזיק בקרבו ואיננו שלו. בשנים האחרונות אנו עדים לעלייה בכמות מפגעים בהקשר של אבטחת מידע אשר מביאים לכדי אירועי כופרה, דבר אשר עלול להביא לכדיי נזק של ממש בהיבטים של מוניטין, פגיעה עסקית ופגיעה כספית. מטרת התקן היא לכנס את הארגון לכדיי התנהלות תקינה ומשופרת בכל הנוגע לשמירה על המידע הדיגיטלי והקשיח אותו הוא מחזיק בקרבו למען היערכות מיטבית לכשאירוע שכזה, חלילה – ייקרה.
היתרונות בהסמכה לתקן ISO 27001
שיפור הרווחיות
זכאות להתמודדות במכרזים
שיפור המוניטין
הטמעת גישת השיפור המתמיד
שיפור בסדר ובארגון
בקרת תהליכים
אבני הדרך העיקריות בתהליך ההסמכה ISO 27001
יצירת תיק איכות
עריכת מבדקים פנימיים
ביצוע סקר הנהלה
הגדרת מטרות איכות ואכיפת ביצוע
סקר עמידה בדרישות ע"פ דין
ניהול סיכונים תפעולי
כתיבת נהלים והוראות עבודה
הדרכות איכות והטמעת דרישות התקן בקרב העובדים
סקר סיכוני אבטחת מידע בתחום הסייבר
ניהול משאבים טכנולוגיים מעולם התוכנה והמחשוב
סקר נקודות תורפה
חקר תאונות וביצוע פעולות מתקנות
תהליך ההסמכה לתקן ISO 27001 בהסבר עיקרי ופשוט
בירור צרכים ומיפוי תהליכים
היכרות הדדית ראשונית | הבנת הצורך הארגוני ומורכבותו | הבנת ומיפוי תהליכי הליבה הישימים למערכת ניהול האיכות
יצירת תיק איכות
כתיבת נהלי איכות | כתיבת הוראות עבודה | ביצוע סקרי איכות | תהליך ניהול סיכונים
הדרכת והטמעת דרישות התקן בקרב אנשי הארגון
הדרכת דרישות התקן | הטמעת נהלי הארגון והוראות העבודה
ביצוע סקרי סיכונים
סקר נקודות תורפה | סקר סיכוני אבטחת מידע בתחום הסייבר
עריכת מבדקים פנימיים
דגימת פעילות הליבה הן עיונית והן תפעולית | זיהוי פערים אל מול דרישות התקן או נהלי הארגון | כתיבת דו"ח מסכם
ביצוע סקר הנהלה
הכנת תשומות הדיון | הפקת מסקנות והחלטות תפעוליות | הגדרת מטרות איכות
ביצוע מבדק הסמכה
סקירת מעטפת האיכות | סקירת תיק האיכות | דגימת וסקירת תהליכי הליבה
טיפול באי התאמות והערות
כתיבת דו"ח פעולה מתקנת עבור הסוקר | תיקון והעשרת רשומות האיכות כמתבקש
קבלת תעודה
סיום התהליך | קבלת תעודה רשמית ממכון ההתעדה
מדוע לבחור בנו?
מקצועיות
שיבוץ מהנדס איכות בעל הכשרה כעורך מבדקים בכיר ע"י מכון התקנים
שיבוץ מהנדס איכות בעל שנים של ניסיון בליווי חברות
שיבוץ מהנדס איכות בעל השכלה בהנדסה בלבד
מחיר | אחריות כספית
התחייבות לעלות ליווי מהנמוכות בארץ
התחייבות בחוזה לצליחת תהליך ההסמכה לתקן
פשטות | התאמה לארגון
הטמעת תהליכי ניהול איכות חדשניים בהתאמה לאופי הפעילות
יצירת והטמעת תיק איכות בהתאמה מדויקת להתנהלות הארגונית
שאלות חשובות
תהליך
בוודאי. כל עסק רשאי לעבור הסמכה לתקן, בין אם מדובר בחברה בע"מ ובין אם בעוסק מורשה קטן וללא עובדים.
סך כל הזמן אותו תצטרכו להשקיע מסתכם במפגשי ההכנה ובימיי המבדק. מלבד זאת, את כל "שיעורי הבית" אנחנו עושים במקומכם.
זה משתנה בין תחומיי הפעילות. בדר"כ כמות ימיי המבדק נעה בין 1-2 בתהליך הסמכה ובין 1-2 בתהליך פיקוח שנתי.
כן, אך מאוד לא מומלץ. צריך להבין שמעבר למשאבים והזמן הרב שהדבר ידרוש מכם (בהשוואה לעלות ניהול הפרויקט ע"י גורם חיצוני מנוסה ומוסמך), קיים הסיכוי גבוה להיכשל במבדק, דבר אשר יוביל לכדי מבדק חוזר, שהשלכותיו רבות: כפל תשלום למכון ההסמכה, כפל אנרגיה ומשאבים במלאכת הביצוע ופגיעה במורל בקרב עובדי החברה.
התמחור לליווי מלא לתהליך משתנה בין ארגון לארגון ובין תחום לתחום, באופן טבעי בהתאם לרמת מורכבות התהליך (ייצור? תכן ופיתוח? שירות? סחר ומכר?). בכל אופן, אנו מתחייבים לתמחור מהזולים בשוק.
בארגונים בהם התהליכים אינם מאוד מורכבים וכמות העובדים איננה רבה, ניתן להגיע מוכנים למבדק תוך כ-4 שבועות.
מקצועי
על מנת להיות מוסמכים לתקן עליכם לבנות מערכת ניהול איכות אשר תכלול בעיקר תיק נהלים, הוראות עבודה, מדריך איכות, מבדקים פנימיים, סקרי הנהלה, סקרי סיכונים, סקר ספקים, סקר לקוחות ועוד.. אנו ב-Captain ISO נלווה אתכם בכל התהליך ונבנה בעבורכם את מערכת האיכות במינימום מאמץ מצדכם עד להסמכה לתקן.
מבדקים פנימיים הם למעשה סקירת תהליכי הליבה של הארגון, לדוגמא: קשרי לקוח, רכש, ייצור ופיתוח ובהתאם לשיטת הסקירה המקובלת בתקן.
זהו סקר סיכונים בהקשר של תשתיות הארגון, IT, מניפולציות (תכסיסים) הנגרמות ע"י הגורם האנושי, סקר איומים (Treat hunting) וסקר פגיעויות (Vulnerability). את תהליך זה נבצע כמקובל בתקינת האיכות במודל FMEA.
תיק איכות הוא אוגדן רשומות האיכות הנדרש בהצגה לסוקר ביום המבדק. התיק מכיל נהלים, הוראות עבודה, סקרי איכות בנושאים שונים ומבדקים פנימיים.
סקר הנהלה הוא התכנסות ההנהלה הבכירה למען דיון בנושאים שונים כנדרש בתקן וקבלת החלטות תפעוליות בהתאם.
מטרת סקר זה היא לזהות כשלים ונקודות תורפה במערכות המידע והמחשוב, לאמוד את חומרתם, לפעול להקטנתם, למניעת הישנותם ובסופו של דבר לבחון שוב את מידת חומרתם לאחר הפעילות להפחתה אשר ביצענו.