כיצד להטמיע תקן ISO27001

מדריך קצר להטמעת תקן ISO 27001 בארגון.
 
אם חשבתם ו\או רציתם להטמיע את התקן ISO-27001 בארגון, אז הנה לכם מדריך קצר להטמעת התקן ISO 27001 בארגון. למי שאינו מכיר את התקן, וגם לאלו שכן מכירים, הטמעתו בארגון יכול להפוך לתהליך ארוך ומסורבל, אם לא מתכננים אותו כראוי.
 
אז להלן 20 שלבים שיוכלו לסייע לכם בהטמעת התקן ISO-27001 בארגון, בין אם זה בעזרת יועץ חיצוני, ובין אם החלטתם לקחת את המשימה הזאת על עצמכם.
 
1. הצטיידו בתקן ISO 27001.
ראשית, עליכם להצטייד בתקן עצמו. ניתן לרכוש את המסמכים ישירות ממכון התקנים. המסמכים הינם בעברית. אני אישית, מעדיף את הספרות המקורית באנגלית, אבל לאלו ששפת האם שלהם עברית, ולא אנגלית, אז, עדיף לא לשבור את השיניים, או לשרוף זמן יקר על ריצות לבבילון.
 
2. תקראו ותלמדו בקצרה את מהות התקן.
הסיבה לכך מאוד פשוטה. אם החלטתם לבצע את הפרויקט בעצמכם, אז חשוב מאוד שתדעו מול מה אתם עומדים, ומה עליכם לבצע בתהליך הטמעת התקן בארגון. אם החלטתם בכל זאת להקל עליכם, ולהיעזר בחברות ייעוץ חיצונית, אז עדיין חשוב שתדעו על מה הם מדברים, על מנת לדבר איתם באותה השפה, ולמנוע מצבים בהם מחייבים אתכם הון עתק על פעולות שאינן נחוצות להטמעת התקן. אני תמיד בעד ללמוד ולהעשיר את האופקים, ובמקרה הזה, גם תזכו ללמוד לא מעט דברים, מכיוון שהתקן הוא מהווה מעין מסגרת לניהול אבטחת מידע (מקבץ המלצות- BEST PRACTICES ל"עשה ואל תעשה" בתחוםאבטחת המידע).
 
3. תקבלו את ברכת הדרך של הנהלת הארגון.
חשוב מאוד להתחיל לשווק את היתרונות של התקן בארגון, ולקבל תמיכה מלאה מהנהלת הארגון (ורצוי מאוד הנהלה בכירה, ולא מנהל ישיר שלכם). לרוב, מתייחסים לנקודה זוכמובנת מאליו, אבל לרוב, זוהי נקודת הכשל של רוב הפרויקטים הקשורים בהטמעת התקן ISO 27001 בארגון, בגלל היעדר תמיכה כזו או אחרת מצד הנהלת הארגון (כח אדם וכסף) ישנה בעיה גדולה מבחינת תפיסת אבטחת המידע בארץ, כיוון שברוב הארגונים, מנהל אבטחת המידע הינו כפוף ישירות למנמ"ר, דבר הפוגע במוצרה ישירה בהתנהלותו של מנהל אבטחת המידע מול ההנהלה הבכירה בארגון. בעולם המודרני, כבר מזמן הבינו זאת, ומנהל אבטחת המידע תופס מקום כבוד בארגון, ולעתים רבות, כפוף ישירות למנכ"ל או לסמנכ"ל. בכל מקרה, החשיבות כאן היא לשווק נכון את מהותו של התקן והצורך שלו בארגון, כך שהנהלת הארגון תבין את החזר ההשקעה תמורת הטמעת התקן בארגון. ישנם לא מעטאתרים שמכילים מצגות בנושא יתרונות התקן, ותוכלו גם לפנות אלינו לקבל סיוע בכך.
 
4. התייחסו לזה כאל פרויקט.
כמו שציינתי בתחילת המאמר, הטמעת התקן ISO 27001 יכול להיות תהליך ארוך ומסורבל (תלוי בגול הארגון ובעיקר בתחולת הפרויקט), ולכן רצוי מאוד להתייחס אליו כאל פרויקט על כל המשתמע מכך. תהליך הטמעת התקן יכול לצרוך לא מעט משאבים בארגון, ומבלי לנהל את זה בצורה מתודולוגית ומסודרת, אנו עלולים למצוא את עצמנו בבלגן גדול יותר מאשר מהמצב שהיינו בו עוד טרם ניסיון הטמעת התקן. כפי שציינתי, הטמעת התקן יכול להיות תהליך ארוך (תלוי בגודלו ותחולת הפרויקט), ויכול להימשך החל משלושה חודשים עד חצי שנה או שנה, ואם לא מגדירים היטב מה צריך לעשות, מי צריך לעשות את זה, ובאיזה מסגרת זמן, יתכן שלעולם לא נסיים את הפרויקטים הללו.
 
5. תקבעו לכם מנהל פרויקט מטעם הארגון שלכם.
זהו שלב חשוב מאוד בתהליך הטמעתו של התקן בארגון, מכיוון שזה יכול לחסוך המון בעיות פוליטיות בארגון, במיוחד בארגונים, בהם מתמחים בפוליטיקה ארגונית (ואני נמנע מלציין את הארגונים). מנהל הפרויקט חייב להיות דמות סמכותית בארגון, על מנת לגרום לכך שהתהליך ירוץ כשורה ולא ייעצר בכל פעם שיש קונפליקט בין שני צדדים.
 
6. הגדירו את התחולה לפרויקט (לתקן ISO 27001).
אם הארגון שלכם גדול (Enterprise), אז אני אישית ממליץ לכם לבחון היטב את תחולת הפרויקט. המלצתי היא להתחיל עם אגף מערכות מידע, ולאחר מכן לבחון כל מקרה לגופו.למשל, תוכלו לבחור אתר פיזי אחד, תוכלו לבחור אפליקציה מסויימת וכדומה. מה שהכי חשוב, הוא לבחור חלקים בארגון שיש להם חשיבות לעבור את ההסמכה לתקן. להמלצות, טיפים ושאלות כיצד לבחור את התחולה, תוכלו לפנות אלינו לאיגוד.
 
7. הגדירו וכתבו את מדיניות אבטחת המידע של המנא"מ (ISMS).
מסמך מדיניות הינו מסמך המציג את העקרונות והצהרות הנהלת הארגון בנוגע לניהול מנא"מ (ISMS). זה לא מסמך שתפקידו לפרט בפרטי פרוטות מה צריך לעשות, אלא יותר ברמת המאקרו. אז מה מטרת המסמך אם כך? המטרה היא שהנהלת הארגון תוכל להגדיר מה בדיוק היא רוצה להשיג (מטרות) וכיצד הוא מתכוון לנהל את אבטחת המידע בארגון.
 
8. הגדירו לעצמכם מתודולוגיה להערכת וניהול סיכונים.
תהליך הערכת הסיכונים הינה המשימה הכי מורכבת בפרויקט ISO-27001 – המטרה היא להגדיר את העקרונות לזיהוי הנכסים בארגון, פגיעויות (חולשות), איומים, השפעות האיומים על הנכסים, סבירות, רמות סיכון ומהי רמת הסיכון שמקובלת על הארגון. אם לא מגדירים את הדברים הללו, מהר מאוד אתה מוצא את עצמך במצב שבו תוצאות הסקר (ממצאים) אינם משקפים את המציאות.
 
9. תבצעו תהליך של הערכת סיכונים וטיפול בממצאים.
בשלב זה עליכם להטמיע את המתודולוגיה להערכת סיכונים אשר בחרתם (הגדרתם) בשלב הקודם (8). זה יכול לקחת לארגון גדול כמה חודשים, אז כדאי לתכנן את התהליך הנ"ל היטב. המטרה היא לקבל תמונת מצב אמיתית בנוגע לאיומים וסיכונים שחלים על הארגון שלך (נכסים). המטרה של תהליך טיפול בסיכונים הינה למזער את הסיכונים אשר אינם מקובלים על הארגון (על הנהלת הארגון) – בד"כ זה מתבצע ע"י תכנון שימוש בבקרות אשר נמצאות בנספח Annex A) A) בתקן. בשלב זה, חובה לרשום דוח הערכת סיכונים, אשר יתעד את כל השלבים שבוצעו כולל את תהליך הטיפול בסיכונים. כמו כן, במידה וישנם סיכונים שיאוריים (Residual Risk), צריכים לדאוג שיהיה לכך אישור בכתב, או כמסמך נפרד, או כחלק ממסמך הצהרת הישימות (Statement of Applicability)
 
10. כתבו מסמך הצהרת ישימות (SOA).
ברגע שהנכם מסיימים את תהליך הטיפול בסיכונים, אתם בעצם תוכלו לדעת בדיוק אילו בקרות מנספח A ( Annex A (תצטרכו ליישם ואילו בקרות לא יהיה בהן צורך. ישנם 355 בקרות, ובד"כ, לא תצטרכו את כולן. (מטרת מסמך הצהרת ישימות) לעתים נקרא SOA הוא למפות את כל הבקרות ולהגרי אילו בקרות ישימות מבחינת הארגון שלכם ואילו בקרות לא, וכמובן תצטרכו להוסיף מספר עמודות אשר יצדיקו את ההחלטה שלכם, נוספות כגון: מהי הסיבה לכך שהבקרה אינה ישימה, איזה מטרות אתם רוצים להשיג בעזרת הבקרות הללו, והסבר קצר אודות תהליך ההטמעה של המנא"מ (ISMS) כמו כן, לא פחות חשוב, המסמך הזה חייב להיות מאושר וחתום ע"י הנהלת הארגון (ההנהלה הבכירה). להלן דוגמא לטבלה מתוך מסמך הצהרת ישימות (SOA):
 
11. כתבו תוכנית לטיפול בסיכונים (RTP).
טוב, בדיוק כשחשבתם שכבר ביימתם עם כל המסמכים שקשורים לסיכונים, אז הנה, עוד מסמך אחד שתצטרכו על מנת לעבור את תהליך ההסמכה. מסמך "תוכנית טיפול בסיכונים" (Risk Treatment Plan) – שמטרתו היא להגדיר בדיוק כיצד אתם הולכים להטמיע את הבקרות שציינתם במסמך הצהרת הישימות, מי הולך להטמיע אותן, מתי ועם איזה משאבים. מסמך זה מהווה בעצם תוכנית הטמעה המתמקד בבקרות, שבלעדיו תתקשו להתקדם הלאה בפרויקט.
 
12. הגדירו כיצד תמדדו את האפקטיביות של הבקרות.
משימה נוספת שבד"כ ארגונים מפחיתים מחשיבותה – זה מדידת האפקטיביות של הבקרות. הנקודה כאן היא שאם אתה לא יכול למדוד מה עשית, אז כיצד תוכל הליות בטוח שהשגת את המטרה שלך? ולכן, עליך לוודא שאכן הגדרת לעצמך כיצד אתה הולך לבדוק ולמדוד שהשגת את המטרה שלך, עבור כל בקרה שמצוינת במסמך הצהרת הישימות (SOA).
 
13. הטמיעו את הבקרות ונהלים מנדטוריים.
קל יותר לדבר מאשר לבצע. זהו השלב שבו עליך להטמיע את 6 השלבים הראשוניים של התקן (Management Clauses) ובנוסף את הבקרות הישימות והרלוונטיות עבור הארגון שלכם מתוך נספח A (מוגדר בתקן כ-ANNEX A). לרוב, זו יכולה להיות המשימה בעלת הסיכון הגבוה ביותר בפרויקט שלכם) הטמעת ISO-27001 בארגון (– היות ומדובר כאן בהפעלת ויישום טכנולוגיות חדשות) בקרות, אבל מעל הכל, מדובר בהטמעת התנהגות חדשה בתוך הארגון שלכם. לעתים קרובות, יש צורך במדיניות ונהלים חדשים, וכידוע לנו, לרוב, האנשים נוטים להתנגד לשינויים במערכת – ומה שהופך את השלב הבא, לחיוני ביותר בכדי כישלון בפרויקט.
 
14. הטמיעו ובצעו תוכנית להגברת המודעות בנושא אבטחת מידע.
אם הנכם רוצים שהמשתמשים יטמיעו את כל מסמכי המדיניות והנהלים החדשים בארגון, ראשית, עליכם להסביר להם למה יש בכלל צורך בכל השינויים הללו, וכמו כן גם רצוי גם להדריך ולהכשיר את אותם המשתמשים כדי שיוכלו לבצע את המוטל עליהם. היעדר תהליך זה בפרויקט, מהווה סיבה שנייה לכישלון בפרויקט.
 
15. חובה לתפעל את המנא"מ (ISMS).
זהו החלק שבו, התקן ISO 27001 הופך להיות חלק אינטגראלי בשגרת היום יום שלכם בארגון. המילה הכי חיונית כאן הינה" רשומות-תיעוד". הסוקרים (Auditors) מאוד אוהבים תיעוד – ללא תיעוד, יהיה לכם מאוד קשה להוכיח שפעילות מסוימת אכן מתבצעת כפי שאתם טוענים שהיא מתבצעת. כמו כן, התיעוד גם עוזר לכם מלכתחילה – ניתן להיעזר בתיעוד על מנת לנטר מה קורה בארגון, כך תוכל לדעת בוודאות האם העובדים (וספקים חיצוניים) אכן עושים את המוטל עליהם.
 
16. חובה לנטר את פעילות המנא"מ. (ISMS)
מה קורה אצלכם בארגון? האם המנא"מ (ISMS) אצלכם עובד כראוי? כמה אירועי אבטחת מידע יש לכם בארגון? מאיזה סוג? האם כל הנהלים ננקטים בצורה נאותה? כאן בעצם אנו בודקים לראות האם הבקרות והמטרות שהצבנו לעצמנו, באמת השגנו אותם, ובצורה מלאה. אם לא, אז אנו לפחות יודעים שמשהו לא תקין, ואז נוכל לבצע פעולות מתקנות ו\או מונעות.
 
17. יש לבצע ביקורות פנימיות.
ברוב המקרים, מרבית האנשים אינם מודעים לעובדה שהם עושים משהו בצורה לא שגויה (או לפעמים הם מודעים לכך, אבל מעדיפים לשמור את זה בשקט, כדי שאחרים לא יידעו על כך). אבל לא להיות מודע על בעיות שקיימות או פוטנציאל למימוש של סכנות ואיומים בארגון, יכול לגרום נזק רב לארגון. ולכן עלינו לבצע ביקורת פנימית בכדי למצוא ליקויים ולוודא שלכל הממצאים שנמצאו, ננקטים פעולות מתקנות\מונעות. המטרה כאן היא לא להעניש מישהו, אלא למצוא ליקויים, ולתקן אותם מיידית לפני שייגרם לנו נזק כלשהו בארגון.
 
18. חובה לבצע סקר הנהלה.
הנהלת הארגון אינה צריכה להגדיר את הפיירוולים בארגון, או את האנטי וירוס, אבל היא צריכה לדעת ולהיות מודעת למה שקורה בארגון מבחינת ניהול המנא"מ. האם כל עובד מבצע את המוטל עליו, האם המנא"מ מביאה את התוצאות שהצבנו לעצמנו מלכתחילה, וכו'. בהתבסס על סקר זה (סקר הנהלת הארגון), הנהלת הארגון צריכה להסיק מסקנות ולנקוט באמצעים.
 
19. יש לנקוט בפעולות מתקנות ומונעות.
מטרת המנא"מ היא לוודא שכל מה שלא נמצא תקין (non-conformities) יתוקן, או לפחות ינקטו פעולות מתקנות, מונעות או מפצות. ולכן, התקן ISO-27001 , דורש שפעולות מתקנות ומונעות יבוצעו באופן סיסטמטי, מה שאומר שצריכים למצוא את שורש הבעיה (Root cause), לתקן ולוודא שאכן זה תוקן.
 
20. תכינו תוכנית עבודה תלת שנתית להמשך תהליך הביקורת.
ההסמכה לתקן ניתנת למשך 3 שנים, כאשר במהלך תקופה זו, אתם עלולים לזכות מדי פעם לביקורות מצד הגוף המבקר\מסמיך (כגון מכון התקנים). ההמלצה היא שתכינו תוכנית עבודה תלת שנתית לתפעול המנא"מ, זה מאוד יקל עליכם הן מבחינת הסוקר, והן מבחינת ביצוע תפקידכם בניהול ותפעול המנא"מ. מקווה שהמדריך הזה עזר ויעזור לכם, ואולי גם יחסוך לכם קצת תקציב ייעוץ כך שתוכלו לבזבז אותו בפעילויות אחרות.
 
בכל מקרה, לכל שאלות הבהרה, תוכלו לפנות אלי במייל: info@issa.org.il
 
הכותב הינו סוקר מוסמך בינלאומי ל- ISO 27001 LEAD AUDITOR ו- BS25999 LEAD AUDITOR . הוא הסמיך וייעץ לארגונים רבים בארץ ובחו"ל, וכותב בעצמו הסמכות ומסמיך.
סוקרים עתידיים להיות סוקרים מובילים בארגון (מה שנקרא ISO 27001 LEAD AUDITOR)
התקשרו אלינו 077-5150340
כתבו לנו info@issa.org.il