רשימה מלאה של סדרת ISO 27000:

כל מי שמעוניין בפירוט של נוהל כלשהו - אנא פניה בכתב- logitmp@gmail.com

אפשר לקבל גם קורס אינטרנטי טקסטואלי מלא של כל נוהל, ב 199 שח בלבד(פניה למייל בלבד)

תקנים עיקריים

• ISO 27000: סקירה כללית ומילון מונחים של מערכות ניהול אבטחת מידע (ISMS).

• ISO 27001: דרישות למערכת ניהול אבטחת מידע (ISMS).

• ISO 27002: קוד התנהגות ליישום בקרות אבטחת מידע.

• ISO 27004: הנחיות ליישום מערכת ניהול אבטחת מידע.

• ISO 27005: ניהול סיכוני אבטחת מידע.

תקנים ספציפיים

• ISO 27006: דרישות לגופי הסמכה המעניקים אישורים ל-ISO 27001.

• ISO 27007: הנחיות למבדקים של מערכות ניהול אבטחת מידע.

• ISO 27008: הנחיות למבקרים של מערכות ניהול אבטחת מידע.

• ISO 27011: הנחיות לאבטחת מידע בתחום הטלקומוניקציה.

• ISO 27013: הנחיות ליישום משולב של ISO 27001 ו-ISO 20000 (ניהול שירותי IT).

• ISO 27014: עקרונות ניהול אבטחת מידע.

• ISO 27015: הנחיות לאבטחת מידע בתחום הפיננסים.

• תקן ISO 27015 עוסק בהנחיות לניהול אבטחת מידע בתעשיית הגז והנפט. הוא מספק מסגרת עבודה מפורטת וספציפית לתעשייה זו, הכוללת נושאים רבים ומגוונים.

  הנושאים העיקריים שבהם עוסק התקן כוללים:

  1. הערכת סיכונים: זיהוי, ניתוח והערכה של סיכוני אבטחת מידע בתעשיית הגז והנפט.

  2. מדיניות אבטחת מידע: פיתוח ויישום של מדיניות אבטחת מידע מקיפה, המתייחסת להיבטים שונים של אבטחת מידע.

  3. ניהול סיכונים: קביעת דרכים לטיפול בסיכוני אבטחת מידע, כגון צמצום סיכונים, העברת סיכונים או קבלת סיכונים.

  4. בקרות אבטחת מידע: יישום של בקרות אבטחת מידע טכניות ואדמיניסטרטיביות, כגון ניהול זהויות וגישה, הגנה מפני תוכנות זדוניות וניהול אירועי אבטחה.

  5. המשכיות עסקית: תכנון והכנה למצבי חירום, כגון אסונות טבע או מתקפות סייבר.

  6. הדרכה והכשרה: העברת הדרכות והכשרות לעובדים בנושאי אבטחת מידע.

  7. ניהול צד שלישי: ניהול סיכוני אבטחת מידע הנובעים מספקים וקבלנים חיצוניים.

  בנוסף לנושאים אלו, התקן מתייחס גם להיבטים ספציפיים לתעשיית הגז והנפט, כגון אבטחת מערכות בקרה תעשייתיות (ICS) ואבטחת מידע בתשתיות קריטיות.

  לסיכום, ISO 27015 מספק מסגרת עבודה מקיפה לניהול אבטחת מידע בתעשיית הגז והנפט, תוך התייחסות להיבטים הייחודיים לתעשייה זו.

• ISO 27016 הוא תקן בינלאומי המספק הנחיות לניהול אבטחת מידע בהיבטים כלכליים. התקן מתמקד בהבנת העלויות הכרוכות בניהול אבטחת מידע ובהערכת התועלות הנובעות מכך.

  נושאי המשנה העיקריים של ISO 27016 כוללים:

  • הערכת עלויות אבטחת מידע: זיהוי וכימות של העלויות הכרוכות ביישום ותחזוקה של מערכת ניהול אבטחת מידע (ISMS). עלויות אלו יכולות לכלול עלויות ישירות, כגון עלויות חומרה, תוכנה והדרכה, ועלויות עקיפות, כגון אובדן פרודוקטיביות ופגיעה במוניטין.

  • הערכת תועלות אבטחת מידע: זיהוי וכימות של התועלות הנובעות מיישום ותחזוקה של ISMS. תועלות אלו יכולות לכלול צמצום סיכונים, שיפור יעילות תפעולית, הגברת אמון לקוחות ועמידה בדרישות רגולטוריות.

  • ניתוח עלות-תועלת: השוואה בין העלויות לתועלות של אבטחת מידע, על מנת לקבל החלטות מושכלות לגבי השקעות באבטחת מידע.

  • אופטימיזציה של השקעות באבטחת מידע: זיהוי דרכים להשגת רמת אבטחת מידע אופטימלית, תוך מזעור עלויות.

  • מדדי ביצועים: פיתוח ומעקב אחר מדדי ביצועים, על מנת להעריך את האפקטיביות של מערכת ניהול אבטחת המידע.

  בנוסף לנושאים אלו

• , ISO 27016

• מתייחס גם להיבטים נוספים, כגון:

  • תקציב אבטחת מידע: תכנון וניהול של תקציב אבטחת מידע.

  • דיווח על ביצועי אבטחת מידע: דיווח להנהלה הבכירה על ביצועי אבטחת המידע וההשפעה הכלכלית של אבטחת מידע.

  • היבטים התנהגותיים של אבטחת מידע: התייחסות להיבטים התנהגותיים של אבטחת מידע, כגון מודעות ומוטיבציה של עובדים.

  לסיכום, ISO 27016 מספק מסגרת עבודה לניהול אבטחת מידע בהיבטים כלכליים, תוך התייחסות למגוון נושאים רלוונטיים.

• ISO 27017: אבטחת מידע בענן.

• ISO 27017

• הוא תקן בינלאומי המספק הנחיות ספציפיות לאבטחת מידע בסביבות מחשוב ענן. הוא משמש כהרחבה לתקן ISO 27001, העוסק במערכות ניהול אבטחת מידע (ISMS) באופן כללי, ומתמקד באתגרים הייחודיים של אבטחת מידע בענן.

  עיקריו של הנוהל =

  • הנחיות מפורטות לבקרות אבטחה: התקן מפרט בקרות אבטחה נוספות וספציפיות לענן, מעבר לאלו המופיעות ב-ISO 27002. בקרות אלו נועדו להתמודד עם סיכונים הייחודיים לסביבת הענן, כגון שיתוף משאבים, גישה מרחוק ואחסון מידע מבוזר.

  • התייחסות להיבטים שונים של מחשוב ענן: ISO 27017 מתייחס להיבטים שונים של מחשוב ענן, כגון אחריות משותפת בין ספק השירות ללקוח, ניהול זהויות וגישה בענן, הגנה על מידע במעבר ובאחסון, ואבטחת תשתית הענן.

  • התאמה לסוגי שירות ענן שונים: ההנחיות בתקן ניתנות להתאמה לסוגי שירות ענן שונים, כגון תשתית כשירות (IaaS), פלטפורמה כשירות (PaaS) ותוכנה כשירות (SaaS).

  • מסגרת עבודה לניהול סיכונים בענן: ISO 27017 מספק מסגרת עבודה לניהול סיכוני אבטחת מידע בענן, החל משלב הערכת הסיכונים ועד ליישום בקרות אבטחה ומעקב אחר יעילותן.

  חשיבותו של ISO 27017:

  • הגברת אמון בענן: יישום ISO 27017 מסייע לארגונים להגביר את האמון שלהם בשירותי ענן, על ידי הבטחת רמת אבטחה גבוהה של המידע המאוחסן והמעובד בענן.

  • עמידה בדרישות רגולטוריות: התקן מסייע לארגונים לעמוד בדרישות רגולטוריות שונות הקשורות לאבטחת מידע בענן.

  • שיפור ניהול סיכונים: ISO 27017 מספק כלים ושיטות לניהול סיכוני אבטחת מידע בענן, ומסייע לארגונים לצמצם את הסיכונים הכרוכים בשימוש בשירותי ענן.

  • יתרון תחרותי: ארגונים המיישמים ISO 27017 עשויים לזכות ביתרון תחרותי, על ידי הדגמת מחויבותם לאבטחת מידע בענן.

  למי מיועד ISO 27017

  • ספקי שירותי ענן: התקן מיועד לספקי שירותי ענן, על מנת לסייע להם לספק שירותים מאובטחים ולעמוד בדרישות הלקוחות.

  • ארגונים המשתמשים בשירותי ענן: התקן מיועד לארגונים המשתמשים בשירותי ענן, על מנת לסייע להם לבחור ספקי שירות מאובטחים ולנהל את סיכוני אבטחת המידע שלהם בענן.

  לסיכום: ISO 27017 הוא תקן חשוב המסייע לארגונים ולארגוני ענן לאבטח את המידע שלהם בסביבת הענן. יישום התקן תורם להגברת האמון, עמידה בדרישות רגולטוריות ושיפור ניהול סיכוני אבטחת מידע בענן.

• ISO 27018: הגנה על מידע אישי בענן.

• ISO 27019: הנחיות לאבטחת מידע בתחום האנרגיה.

• ISO 27021: דרישות למערכות ניהול אבטחת מידע בענן.

• ISO 27022: הנחיות לאבטחת מידע בתחום הבריאות.

• ISO 27023: מיפוי בין ISO 27001:2013 ל-ISO 27001:2022.

• ISO 27031: מוכנות להמשכיות עסקית בתחום אבטחת מידע.

• ISO 27032: אבטחת סייבר.

• ISO 27034: אבטחת יישומים.

• ISO 27035: ניהול אירועי אבטחת מידע.

• תקן ISO 27035 הוא תקן בינלאומי המתמקד בניהול אירועי אבטחת מידע וסייבר. הוא מספק מסגרת עבודה מקיפה לזיהוי, ניתוח, טיפול ותיעוד של אירועי אבטחה, ומטרתו לסייע לארגונים להגיב בצורה יעילה ומבוקרת לאירועים כאלו.

  עיקרי התקן:

  • זיהוי ודיווח: הגדרת תהליכים לזיהוי ודיווח על אירועי אבטחה, כולל סוגי האירועים השונים ודרכי הדיווח.

  • ניתוח וסיווג: שיטות לניתוח אירועים, סיווגם לפי חומרה והשפעה, והערכת הנזק הפוטנציאלי.

  • טיפול ותגובה: קביעת נהלים לטיפול באירועים, כולל פעולות ראשוניות, חקירה, תיקון נזקים ומניעת הישנות.

  • תיעוד ומעקב: שמירה על תיעוד מדויק של כל אירוע, כולל פרטים על האירוע, הטיפול בו והלקחים שנלמדו.

  • שיפור מתמיד: שימוש במידע שנאסף לשיפור תהליכי ניהול האירועים והגברת מוכנות הארגון להתמודדות עם אירועים עתידיים.

  חשיבות התקן:

  • הגנה על מידע: יישום התקן מסייע לארגונים להגן על המידע שלהם מפני איומים שונים, כגון חדירות, גניבות מידע ותקיפות סייבר.

  • המשכיות עסקית: ניהול יעיל של אירועים מבטיח את המשכיות העסקית של הארגון וממזער את ההשפעה של אירועי אבטחה על פעילותו.

  • עמידה בדרישות: התקן מסייע לארגונים לעמוד בדרישות רגולטוריות וחוקיות בתחום אבטחת המידע.

  • מוניטין: ניהול נכון של אירועים שומר על המוניטין של הארגון ומונע פגיעה באמון הלקוחות והשותפים.

  למי מיועד התקן:

  התקן מתאים לכל סוגי הארגונים, ללא קשר לגודלם או לתחום פעילותם. הוא רלוונטי במיוחד לארגונים המחזיקים מידע רגיש או קריטי, כגון מידע פיננסי, רפואי או מסחרי.

  יישום התקן:

  יישום התקן דורש תכנון קפדני ומחויבות של ההנהלה הבכירה. מומלץ להיעזר במומחים בתחום אבטחת המידע כדי להבטיח יישום יעיל ותואם לצרכי הארגון.

  ==============

  בהחלט! הנה מתווה קורס בנושא ניהול אירועי אבטחת מידע וסייבר על פי תקן ISO 27035:

  שם הקורס: ניהול אירועי אבטחת מידע וסייבר על פי ISO 27035

  קהל יעד: מנהלי אבטחת מידע, מנהלי מערכות מידע, צוותי תגובה לאירועים, אנשי IT, כל מי שעוסק או אחראי על אבטחת מידע בארגון.

  מטרות הקורס:

  • היכרות עם תקן ISO 27035 והבנת עקרונותיו.

  • הקניית ידע ומיומנויות לניהול יעיל של אירועי אבטחת מידע וסייבר.

  • הבנת תהליכי זיהוי, ניתוח, טיפול ותיעוד של אירועים.

  • פיתוח יכולת תגובה מהירה ומבוקרת לאירועים.

  • שיפור מוכנות הארגון להתמודדות עם אירועי אבטחה.

  נושאי הקורס:

  מודול 1: מבוא ל-ISO 27035

  • מהו תקן ISO 27035 ומדוע הוא חשוב?

  • סקירה כללית של חלקי התקן השונים.

  • הקשר בין ISO 27035 לתקנים אחרים בתחום אבטחת המידע.

  • יתרונות וחסרונות של יישום התקן.

  מודול 2: זיהוי ודיווח על אירועים

  • הגדרת אירוע אבטחה וסוגי אירועים שונים.

  • שיטות לזיהוי אירועים (כגון מערכות SIEM, התראות, דיווחים).

  • תהליכי דיווח על אירועים (למי מדווחים, איך מדווחים, תוך כמה זמן).

  • חשיבות הדיווח המוקדם והמדויק.

  מודול 3: ניתוח וסיווג אירועים

  • שיטות לניתוח אירועים (כגון ניתוח לוגים, ניתוח פורנזי).

  • סיווג אירועים לפי חומרה והשפעה.

  • הערכת הנזק הפוטנציאלי של אירועים.

  • כלי עזר לניתוח וסיווג אירועים.

  מודול 4: טיפול ותגובה לאירועים

  • קביעת נהלים לטיפול באירועים.

  • פעולות ראשוניות באירוע (כגון בידוד מערכות, עצירת תהליכים).

  • חקירת אירועים (איסוף ראיות, זיהוי הגורם).

  • תיקון נזקים ומניעת הישנות.

  • עדכון נהלים ושיפור תגובה לאירועים.

  מודול 5: תיעוד ומעקב

  • חשיבות התיעוד המדויק של אירועים.

  • כלי תיעוד ומעקב.

  • ניתוח מגמות ולקחים שנלמדו.

  • שיפור מתמיד של תהליכי ניהול האירועים.

  מודול 6: תרגול מעשי

  • תרגולות וסימולציות של אירועי אבטחה שונים.

  • ניתוח אירועים לדוגמה.

  • כתיבת נהלים ודוחות.

  • עבודה בצוותים לפתרון בעיות.

  שיטות הוראה:

  • הרצאות פרונטליות.

  • דיונים וסדנאות.

  • תרגולות וסימולציות.

  • ניתוח מקרי בוחן.

  • עבודה בקבוצות.

  משך הקורס: מספר ימים, בהתאם להיקף הנושאים והתרגולים.

  תעודה: תעודה תינתן לעומדים בהצלחה בדרישות הקורס.

  הערות:

  • ניתן להתאים את תכני הקורס לצרכים הספציפיים של הארגון.

  • מומלץ לשלב בקורס מרצים מומחים בתחום אבטחת המידע.

  • חשוב לעדכן את תכני הקורס באופן שוטף בהתאם להתפתחויות בתחום.

• ISO 27036: ניהול קשרים עם ספקים בתחום אבטחת מידע.

• ISO 27037: זיהוי, איסוף ושימור ראיות דיגיטליות.

• ISO 27038: מניעת זליגת מידע.

• ISO 27039: ניהול חדירות.

• ISO 27040: אבטחת רשתות.

• ISO 27041: הנחיות לניתוח פורנזי של אירועי אבטחת מידע.

• ISO 27042: ניהול זהויות וגישה.

• ISO 27043: ניהול מידע אישי.

• ISO 27046: אבטחת מידע בשרשרת האספקה.

• ISO 27050: ניהול פרטיות מידע אישי.

• ISO 27701: ניהול פרטיות מידע אישי.

ISO 27799

תקן זה עוסק באבטחת מידע רפואי ומספק הנחיות ליישום ISO 27002 בתחום הבריאות. הוא מתמקד בהגנה על מידע רפואי אישי וכולל נהלים כגון:

• קביעת מדיניות אבטחה וניהול נכסי מידע רפואי

• היבטי אבטחה לעובדים

• הגנה על סביבת מחשוב

• הקמת מערכות בקרה וניהול

• הגבלת זכויות גישה למידע רפואי

• ניהול אירועי אבטחת מידע

• אמצעי גיבוי ושחזור מידע

• התייחסות לחוקים ותקנות

• ביצוע מבדקים פנימיים וסקרי הנהלה

חשוב לזכור: רשימה זו עשויה להתעדכן מעת לעת. מומלץ לבדוק באתר של ארגון ISO או מכון התקנים הישראלי למידע המעודכן ביותר.

==============================================לפי תחומים======

ישנם תקנים רבים בתחום אבטחת מידע שספציפיים לתחומים שונים, מעבר לתחום הבריאות. הנה כמה דוגמאות בולטות:

תחום הפיננסים:

• ISO 27015: תקן זה מספק הנחיות ספציפיות לאבטחת מידע בתחום הפיננסים, תוך התייחסות לאופי המיוחד של מידע פיננסי רגיש. הוא עוסק בנושאים כמו ניהול סיכונים פיננסיים, הגנה על נכסים פיננסיים, ועמידה בדרישות רגולטוריות מחמירות.

תחום האנרגיה:

• ISO 27019: תקן זה מיועד לתחום האנרגיה ומתמקד באבטחת מערכות בקרה ותשתיות קריטיות. הוא דן בהגנה מפני מתקפות סייבר, ניהול סיכונים ייחודיים לתחום האנרגיה, והבטחת המשכיות עסקית של מערכות חיוניות.

תחום הטלקומוניקציה:

• ISO 27011: תקן זה מתמקד באבטחת מידע בתחום הטלקומוניקציה, תוך התייחסות לאתגרים הייחודיים של רשתות תקשורת. הוא עוסק בהגנה על מידע אישי של לקוחות, ניהול סיכונים של רשתות תקשורת, והבטחת המשכיות עסקית של שירותי תקשורת.

תחומים נוספים:

• ISO 27017: תקן זה מספק הנחיות לאבטחת מידע בענן, והוא רלוונטי לכל תחום שמשתמש בשירותי ענן.

• ISO 27018: תקן זה מתמקד בהגנה על מידע אישי בענן, והוא חשוב במיוחד לתחומים כמו בריאות, פיננסים, וממשל.

• ISO 27032: תקן זה עוסק באבטחת סייבר באופן כללי, והוא רלוונטי לכל תחום שחשוף לאיומים וסיכונים במרחב הסייבר.