חזרה לתובנותתקינה ורגולציה

מדריך היערכות לתקן ISO 27001 לעסקים ישראליים

מאת ישראל פיגה

ISO 27001 הוא התקן הבינלאומי המוביל לניהול אבטחת מידע, ויותר ויותר ארגונים ישראליים נדרשים אליו — מתוקף דרישת לקוחות, שותפים עסקיים, או כתנאי להשתתפות במכרזים. הבעיה היא שרוב הארגונים ניגשים לתהליך כמו לפרויקט טכני, בזמן שבפועל מדובר בעיקר בשינוי ארגוני.

שלב 1: הגדרת תחום התקן (Scope)

לפני כל דבר אחר, יש להגדיר בדיוק אילו מערכות, תהליכים ומחלקות נכללים בתעודה. ארגון שמנסה להחיל את התקן על כל הפעילות בבת אחת, בלי הגדרת scope ממוקדת, מוצא את עצמו בתהליך שנמתח על פני שנתיים במקום כמה חודשים.

שלב 2: הערכת סיכונים (Risk Assessment)

ליבת התקן היא תהליך שיטתי של זיהוי סיכוני אבטחת מידע, הערכת ההשפעה שלהם, וקביעת אמצעי בקרה (controls) מתוך נספח A של התקן שמתאימים לכל סיכון. זהו לא מסמך חד-פעמי אלא תהליך שצריך לחזור עליו באופן שוטף.

שלב 3: יישום הבקרות ותיעוד

לכל בקרה שנבחרה יש להטמיע נוהל בפועל — לא רק מסמך מדיניות. ביקורת ISO אמיתית בודקת ראיות ליישום בפועל: לוגים, הדרכות עובדים מתועדות, תהליכי אישור גישה — לא רק שהמדיניות כתובה יפה.

שלב 4: ביקורת פנימית ותיקון פערים

לפני הביקורת החיצונית (Certification Audit), מומלץ לבצע ביקורת פנימית שמדמה את מה שהמבקר החיצוני יבדוק, ולסגור פערים מראש. ארגונים שמדלגים על השלב הזה נתקלים ב"אי-התאמות" (non-conformities) שדוחות את קבלת התעודה.

כמה זמן זה באמת לוקח

לארגון בגודל בינוני עם תשתית IT מסודרת, תהליך מלא — מהגדרת scope ועד קבלת התעודה — אורך בממוצע בין 4 ל-9 חודשים, תלוי במידת הבשלות הקיימת של תהליכי האבטחה. ישראל פיגה מלווה ארגונים ישראליים בכל שלבי ההיערכות, ממיפוי הפערים הראשוני ועד ליווי מול גוף ההסמכה.

רוצים למפות את מוכנות הארגון שלכם ל-ISO 27001?

ישראל פיגה זמין לשיחת ייעוץ ראשונית ללא עלות.

צור קשר עם ישראל פיגה