A.5.35 סקירה עצמאית של אבטחת מידע
מטרה
מטרת הנוהל היא להבטיח כי הארגון מבצע סקירות עצמאיות של גישתו לאבטחת מידע באופן קבוע, על מנת לוודא כי מדיניות, בקרות, ותהליכי אבטחת המידע הם עדיין רלוונטיים, יעילים, ומספקים את ההגנה הנדרשת.
תחום יישום
ה נוהל חל על כל גישת הארגון לניהול אבטחת המידע, לרבות מדיניות, בקרות, הליכים ותהליכים לאבטחת מידע.
הגדרות
- סקירה עצמאית של אבטחת מידע: תהליך בו הארגון בוחן את גישתו לניהול אבטחת המידע על ידי גוף או צוות בלתי תלוי, על מנת לוודא כי היא עדיין רלוונטית, יעילה, ומספקת.
- מימוש מאובטח: יישום של מדיניות ותהליכים המבטיחים אבטחת מידע יעילה.
אחריות
- ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל, ועל הבטחת ביצוע הסקירות העצמאיות של אבטחת המידע.
- מנהל המערכות האחראי: אחראי על יישום ממצאי הסקירות העצמאיות ותיקון הליקויים שיתגלו.
תהליך
1. תכנון הסקירה
- ממונה אבטחת מידע יגדיר את טווח הזמן, היקף הסקירה, ואת הצוות שיבצע את הסקירה העצמאית.
- הסקירה תכלול את כל ההיבטים הקריטיים של אבטחת המידע בארגון, לרבות מדיניות, נהלים, בקרות, ותהליכי עבודה.
2. ביצוע הסקירה
- צוות הסקירה העצמאית יערוך את הסקירה, כולל איסוף מידע רלוונטי כגון דוחות אירועים, תיעוד של בקרות אבטחה, ותוצאות של מבדקי אבטחת מידע.
- הסקירה תבחן את יישום המדיניות, התאמת הבקרות לדרישות הארגון, והיעילות של תהליכי אבטחת המידע.
3. ניתוח הממצאים
- צוות הסקירה ינתח את הממצאים ויזהה נקודות תורפה, ליקויים, ותחומים לשיפור.
- יבוצע ניתוח השוואתי מול דרישות תקן ISO 27001:2022 לוודא עמידה מלאה בדרישות.
4. דיווח והמלצות
- צוות הסקירה יכין דוח ממצאים מפורט ויגיש אותו לממונה אבטחת מידע.
- הדוח יכלול המלצות לשיפור תהליכי אב טחת המידע, חיזוק הבקרות, ועדכונים במדיניות האבטחה.
5. פעולה מתקנת
- ממונה אבטחת מידע ינחה את הארגון על ביצוע הפעולות המתקנות הנדרשות על פי ממצאי הסקירה.
- מנהל המערכות האחראי יוודא ביצוע יעיל של הפעולות המתקנות ומעקב אחרי יישומן.
6. מעקב ועדכון
- הארגון יבצע מעקב אחרי יישום ההמלצות ועדכונים על פי תדירות שנקבעה מראש, כגון אחת לשנה או לאחר שינויים משמעותיים בארגון.
- הנוהל יעודכן על בסיס ממצאי הסקירה וההמלצות שניתנו, במידת הצורך.
הערות
- הארגון יבטיח שהסקירה העצמאית של אבטחת המידע תבוצע על ידי גוף בלתי תלוי שאינו מעורב בפעילות השוטפת של הארגון.
- הארגון יבצע הערכת סיכונים קבועה על מנת לזהות סיכונים פוטנציאליים ולוודא שהמדיניות והבקרות תואמות את דרישות האבטחה.