מה בעצם השתנה בתקן האבטחה הבינלאומי?

מוכנים לאוקטובר? עיבוד תמונה: dreamstime

תקן ISO 27001 הוא התקן הבינלאומי המוביל לניהול אבטחת מידע בארגונים, והוא משמש בסיס לניהול סיכוני אבטחת מידע ושמירה על מידע רגיש. מאז שפורסם לראשונה אי שם ב-2005 הוא עבר עדכונים ושיפורים, האחרון שבהם הוא ISO 27001:2022, שפורסם ב-25 באוקטובר 2022 ומביא עמו שינויים משמעותיים במטרה להתאים את התקן לעידן הטכנולוגי המודרני ולסיכוני אבטחת המידע החדשים.

הגרסה החדשה מחייבת את הארגונים שפועלים לפי התקן לעדכן את גרסתם לגרסה החדשה עד אוקטובר 2025, אחרת הם עשויים לאבד את הסמכתם. פקיעת התוקף של גרסת 2013 תביא לכך שארגונים שלא יעשו את המעבר לא יעמדו בדרישות אבטחת המידע העדכניות, דבר שעשוי לפגוע באמון הלקוחות וביכולת לעבוד עם שותפים אסטרטגיים.

מהם ההבדלים המרכזיים בין הגרסאות?

1. שינויים במבנה התקן

בגרסה החדשה – ISO 27001:2022 – שונו סעיפים מסוימים בחלק הראשי של התקן לעומת ISO 27001:2013, במיוחד בנוגע לניהול שינויים ולתיעוד. בנוסף, המינוח הותאם לשפה מודרנית ומובנת יותר, דבר שמקל על אימוץ התקן בארגונים שעובדים עם טכנולוגיות עדכניות.

2. עדכון נספח A – בקרות אבטחת מידע

אחד השינויים החשובים ביותר הוא הצמצום במספר הבקרות מ-114 בקרות ל-93. שינוי זה נעשה על ידי שילוב וביטול של בקרות ישנות שלא היו רלוונטיות יותר או שלא נתפסו כיעילות במציאות המודרנית. הבקרות החדשות מאורגנות כעת לארבע קבוצות עיקריות: בקרות ארגוניות (Organizational), בקרות טכנולוגיות (Technological), בקרות פיזיות (Physical) ובקרות לאנשים (People).

נוסף על כך, התווספו 11 בקרות חדשות ובהן ניתן למצוא תחומים קריטיים כמו מודיעין איומים (Threat Intelligence), אבטחת ענן (Cloud Security), מניעת דליפת מידע (Data Leakage Prevention), סינון אתרים (Web Filtering) ומעקב וניתור (Monitoring Activities). שינוי זה מעיד על חשיבות הגברת המודעות לסיכונים הקשורים בטכנולוגיות ענן, איומים חיצוניים, והגנה על המידע הארגוני.

3. עדכון בגישת ניהול הסיכונים

הגישה לניהול סיכוני אבטחת מידע הותאמה לארגונים מודרניים וכוללת גמישות רבה יותר. אחד השיפורים המשמעותיים הוא הדגש שניתן לניהול רציף של הסיכונים ולתגובה מהירה לאיומים. המיקוד המעודכן הוא לא רק בהגנה על המידע, אלא גם במענה מיידי וממוקד לאיומים שמשתנים באופן מתמיד.

4. שיפור בגישת התיעוד והניהול

הדרישות לתיעוד הותאמו לאופן שבו ארגונים מנהלים את התהליכים שלהם כיום ומורכבויות רבות הוסרו. דגש רב יותר ניתן לניהול שינויים במערכות ובתהליכים, כדי לאפשר גמישות גבוהה ויכולת להתעדכן בצורה אפקטיבית וממוקדת בזמן אמת.

מה חברות צריכות לעשות לקראת המעבר לתקן החדש?

המעבר לגרסה החדשה דורש הכנה מסודרת וממוקדת, ומומלץ להתחיל בהכנות בהקדם. בין הצעדים שעל חברות לבצע כדי לעמוד בדרישות התקן החדש:

– עדכון מדיניות ניהול אבטחת המידע: יש לבצע עדכון של מדיניות האבטחה והקפדה על התאמה לבקרות החדשות.
– הכשרת עובדים: על כל העובדים המעורבים בניהול אבטחת מידע לעבור הכשרה שמתאימה לתקן החדש, בדגש על ניהול סיכונים, ניטור רציף, ומענה לאיומים.
– התאמת טכנולוגיות ומערכות: יש לעדכן את המערכות הקיימות בארגון כך שיתאימו לבקרות החדשות, כמו אבטחת ענן, סינון אתרים ומניעת דליפת מידע.
– בחינה מחדש של גישת ניהול הסיכונים: יש להטמיע גישה גמישה וניטור רציף שיבטיחו שהארגון מסוגל להתמודד עם איומים מודרניים בזמן אמת.

מה יקרה לארגונים שלא יעשו את המעבר לגרסה החדשה?

ארגונים שלא יבצעו את המעבר לגרסה החדשה של התקן עד אוקטובר 2025 עלולים לאבד את ההסמכה שלהם. כלומר, אם הארגון מחזיק בתעודת ISO 27001:2013 לאחר תאריך זה, לא תהיה אפשרות להסתמך על הגרסה הישנה והארגון עלול להיתקל בקשיים מבחינת עמידה בדרישות אבטחת מידע, מה שעשוי להשפיע על האמון של לקוחות, ספקים ורגולטורים. ייתכן גם שההסמכה תפסיק להיות מוכרת במקרים של ביקורת פנימית או חיצונית.

האם בישראל יאכפו את התקן החדש?

בישראל אמנם אין אכיפה רגולטורית רשמית של תקן ISO 27001, אך ארגונים רבים דורשים מהספקים והשותפים העסקיים שלהם לעמוד בתקנים בינלאומיים, ובפרט בתקן זה. אי-עמידה בדרישות התקן החדש עשויה להוביל לאובדן עסקאות ולפגיעה בשיתופי פעולה עם לקוחות המחייבים עמידה בתקני אבטחת מידע מחמירים. לכן, כדי למנוע השלכות עסקיות שליליות, מומלץ לבצע את המעבר לתקן המעודכן בהקדם.

הכותבת היא VP & GRC Leader בחברת CYBEROOT המעניקה שירותי CISO ו-DPO מנוהלים ומגוון פתרונות GRC