כאשר אומרים תקן ניהול אבטחת מידע (מוכר גם כמערכת ניהול הגנה על המידע) מתכוונים לרוב לתקן ISO 27001. הסמכה לתקן זה משמעותה הגדרת שיטה ותהליכים לפיהם נוהג הארגון לנהל את המידע שלו (ושל עובדיו, לקוחותיו וכו') ואת האופן שמגן על מידע זה.
מטרת בלוג זה היא להכיר "מלמעלה" את התקן ואופן היישום שלו.
בהצלחה! וקריאה מהנה.
זה לא סוד שבעולם בו אנו חיים, לא ניתן להגן באופן מוחלט על הכל ובסופו של דברמי שירצה, יוכל להגיע לכל פיסת מידע... אז מה עושים בכל זאת? מתכוננים למקרה כזה! תקן ISO 27001 לא ימנע באופן מוחלט זליגת מידע החוצה, אבל יאפשר לארגון לנהלאת המידע, לנטר מה שחשוב ובכלל זה גם זליגת מידע מהארגון החוצה, וכך למזער נזקים ויותר חשוב מזה, שזה יקרה ככל הניתן קרוב לזמן אמת. כיצד קוראים לזה? מערכת ניהול אבטחת מידע או בשמו המקצועי (והנכון יותר) מערכת ניהול הגנה על המידע. מטרת מערכת ניהול כזו היא להנחות את הארגון להבין מה הצרכים שלו ובהתאם לבחון אילו כלים מאפשרים לארגון הגנה מיטבית על המידע של הארגון (כולל לקוחותיו, עובדיו וכל מה שחשוב לו...).
התקן מפרט רשימת נושאים המתייחסים לתהליכים שכל ארגון חווה במסגרת העבודה היומיומית שלו, ולפי נושאים אלו הארגון נדרש להגדיר תהליכי עבודה, עבורם ניתן באופן מובנה לייחס מהו המידע הזמין בכל שלב בתהליכים אלו, מה הסיכונים הכרוכים במידע ובתהליך, כיצד ניתן להגן על המידע, כיצד ניתן לזהות זליגה שלו ומה עושים במקרה כזה. התקן מסייע לתכנן באופן יעיל ואפקטיבי מערכת (= שיטה) לניהול אבטחת מידע באופן מותאם לצורכי הארגון, וזאת באמצעות הגדרת עקרונות פשוטים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע.
הסמכה לתקן ISO 27001 מוכיחה כי הארגון מנהל את מערך המידע שאליו נחשף וכמובן המידע שברשותו, ושנקט באמצעים המתאימים לשמירה על המידע.
יישום תקן ISO 27001 לניהול אבטחת מידע מתאימה לכל סוג ארגון, ומתבצעת באמצעות שיטה מובנית ומבוססת כללים ועקרונות.