במאמר זה נסקור כיצד הסמכה של תקן ISO 27001 יכולה לתרום לעבודה השוטפת של ארגון אשר מנהל ועושה שימוש במערכות וכיצד הסמכה בינלאומית זו, תייצר ערך רב לארגון.
מהפכת הטכנולוגיה והמידע אשר נכנסו אל חיינו בשלושת העשורים האחרונים, שינו אותם מן הקצה אל הקצה. מהפך זה כלל במידה זו או אחרת, את כל התעשיות וכמעט בעולם כולו. מאז ועד היום, אנו עדים לשילוב גובר של מערכות מידע ותקשורת כמעט בכל מערכות התפעול של הארגון וכמעט בכל מוצר חדש אותו אנו רוכשים.
גם בתעשיות הפארמה, המדיקל והבריאות הדיגיטלית, אנו רואים שימוש נרחב במערכות מידע ואינטרנט. לצד היתרונות העצומים, קיימים גם סיכונים גדולים, בעיקר בתחום אבטחת המידע וחסיון מידע רפואי ואישי על מטופלים. זליגת מידע רגיש מסוג זה אל מחוץ לארגון מהווה סיכון של ממש, בין אם מדובר במידע שהגיע לידי גורמים זדוניים ובין אם לא.
מה זה ISO 27001?
תקן ה- ISO / IEC 27001: 2013 אשר עודכן בשנת 2013 ואושרר בשנת 2019, מעניק לארגון הסמכה בינלאומית לאבטחת מערכות ניהול המידע של הארגון (ISMS), אשר כולל בתוכו את כל המדיניות, הפרוצדורות, התהליכים הרלוונטיים והבקרות המתאימות, על מנת לאפשר שליטה משופרת של הארגון כחלק מאחסון ושימוש בנתונים ומידע.
כיצד הסמכה של תקן ISO 27001 תסייע לחברות פארמה, מדיקל ובריאות?
בעבר הלא רחוק, חלק נכר מהנתונים והמסמכים האצורים במערכות ניהול המידע של חברות פארמה ומדיקל, היו מודפסים והעבודה הייתה מתבצעת על עותקים קשיחים ע"י עובדי הארגון, מה שכמעט ואינו קיים כיום.
חברות גדולות כקטנות, מכירות כיום בחשיבות אבטחת הרשת שלהן. לחברות רבות כיום ישנה פעילות ברמה הגלובלית ומעסיקות מחלקות, חברות אחיות ושותפים עסקיים מעבר לים. נתונים רבים נמצאים בשימוש ומועברים בין פונקציות שונות בתוך הארגון, בין מחלקות ומחוץ לארגון ברמה היומיומית, ומידע זה חייב להיות מאובטח כהלכה.
כיום, אין זה מספיק להקים יחידת IT על מנת להבטיח ולאבטח את מסדי הנתונים של הארגון ולאפשר עבודה רציפה ויעילה, תוך שימוש והסתמכות על נתונים מדויקים, מעודכנים, שלמים ובעלי רמת אמינות מספקת.
הסמכת ISO 27001 הנה הוכחה פורמלית ובינלאומית, כי הארגון על מערכות המידע שבו, הנו מאובטח ואמין והיא תשפר את המוניטין של החברה בשוק בו היא פועלת, הן ברמה המקומית והן ברמה הגלובלית ותסייע לארגון להימנע מעיצומים כספיים או הגבלות שיכולים להתרחש כתוצאה מהתרחשותם של אירועי אבטחה.
מה כוללת הסמכת ISO 27001 למערכת ניהול הנתונים של הארגון?
הסמכת ISO 27001 תספק מסגרת עבודה וסטנדרטים לארגון בכל הנוגע לניהול מסדי המידע והנתונים וכיצד ניתן למזער את הסיכונים לפגיעה בשלמות ואמינות המידע הזה מחד, וכיצד למנוע זליגה שלו לגורמים לא מורשים מאידך.
ניהול סיכונים מהווה חלק מרכזי בהסמכת ה- ISO 27001. באחריותו של כל ארגון, לזהות את החולשות והפרצות שלו ולבצע את הפעולות המתאימות על מנת למזער את הסיכונים ולהימנע ממצבים בעייתיים, שלעיתים לא ניתן להתמודד איתם- לאחר שהתרחשו.
כיום, יש לאחסן המידע באופן אחראי ומאובטח, גם אם באופן מקוון, לנטר את הביצועים ולבקר את השינויים המבוצעים על מערכות המידע.
ישום תקן ISO 27001 תאפשר לארגון יכולת אבטחת מידע משופרת ותגן על הארגון מפני איומי סייבר חיצוניים, תוך שמירה על פרטיות וחסיון המידע של הארגון בכלל ועל המטופלים והלקוחות בפרט. עבור אותם ארגונים המחפשים להיות ברמה הטובה ביותר בתחום אבטחת המידע הרפואי, הסמכת – ISO 27001 אינה מהווה את "תחנה הסופית" וישנם תקני אבטחת מידע בינלאומיים אחרים, כגון ה- HIPAA בארה"ב וה- GDPR באירופה.
חברות מתחומי התרופות, המכשור הרפואי, תוכנה רפואית ובריאות דיגיטלית, מחויבות ליישום תקן ה- ISO 27001 כחלק מדרישות הרגולציה.
ביקורת להסמכה לתקן ISO 27001
כמו כל תקן ISO, גם בעבור תקן ה- ISO 27001, תהליך ההסמכה כרוך בכתיבת מסמכים כגון נהלים, מדיניות, טפסים ותרשימים מסוגים שונים.
לאחר שלב היישום וההטמעה של מערכת התיעוד של ה- ISO 27001, תבוצע בחינה של החברה ע"י גוף התעדה חיצוני. רק הצלחה בביקורת החיצונית (שלרוב תארך יומיים), תאפשר קבלת הסמכה רשמית ל- ISO 27001.
מלבד ההסמכה הראשונית ל- ISO 27001, יש לבצע חידוש תקופתי להסמכה. במדה ולארגון הייתה הסמכה ראשונית לתקן, אך הוא לא עמד בדרישות ה- ISO 27001 כחלק מהביקורת של ההסמכה התקופתית, הארגון יאבד את התעודה, דבר שעלול לפגוע בפעילות העסקית.
תהליך ההסמכה לתקן – ISO 27001
תהליך ההסמכה לתקן ISO 27001, מחולק למס' שלבים:
- הארגון שוכר חברת יעוץ שתבצע סקר פערים וסקירה בסיסית של רמת אבטחת מערכות ניהול המידע
- סקר סיכונים
- כתיבת מסמכים
- הדרכות עובדים
- יישום והטמעת הנהלים בעבודה היומיומית של הארגון
- בדיקה חיצונית של גוף התעדה חיצוני לקבלת הסמכה ראשונית
- חידוש הסמכה תקופתי
מהם הנושאים הכלולים בתקן ISO 27001?
להלן דוגמאות לתחומים הכלולים כחלק מהסמכה בינלאומית לתקן ה- ISO 27001:
מדיניות אבטחת מידע | כיצד מיושמת מדיניות בכל הנוגע לאבטחת מערכות ניהול המידע של הארגון? כיצד נהלי העבודה מבוקרים, מתועדים ונבדקים באופן תקופתי על מנת לוודא תאימות מלאה בין הדרישות מה שמתרחש בשטח? |
ארגון אבטחת מידע | אילו בעלי תפקידים או מחלקות בארגון אחראים לאילו משימות בכל הנוגע לאבטחת המידע בארגון? חשוב שיהיה בחברה תרשים ארגוני מסודר ותיאור תפקיד ותחומי אחריות של כל אחד מהעובדים הרלוונטיים לתחום זה. |
משאבי אנוש | כיצד בוחרים עובד חדש? מה אמורות לכלול בדיקות הרקע שעושים לפני הקליטה? מה אמור להופיע בהסכם הסודיות עליו יש להחתים את העובד? כיצד מטפלים בעובד שהתפטר, עובד שפוטר ועוד. |
ניהול מסדי נתונים | מהם התהליכים הכרוכים בניהול מסדי נתונים? כיצד יש לאחסן אותם ולהגן עליהם? מהן הדרכים לביצוע גיבוי ואחזור נתונים? כיצד יש להצפין את המידע ומהי החומרה שיש לעשות בה שימוש בכדי להבטיח את השלמות והאמינות של הנתונים הנמצאים בשימוש בארגון? |
הרשאות | כיצד יש להגביל ולבקר את גישת העובדים לסוגים שונים של נתונים בארגון? מהן רמות ההרשאה המינימליות שצריכות להיות עבור כל תפקיד? כיצד מבצעים תחזוקה וניטור תקופתי להרשאות הכניסה? באילו מקרים יש לבצע שינוים או עדכונים? |
הצפנה | מהן שיטות הפעולה באמצעותן מבוצעת הצפנה של נתונים? כיצד הארגון מטפל בנתונים רגישים? אילו סוגי הצפנה מצויים בשימוש עבור כל קטגוריה של נתונים? |
אבטחת מבנים וציוד | כיצד מוודאים את אבטחת המבנה הציוד והתשתיות בהן נעשה בו שימוש בארגון? מהן האפשרויות ליישום הגבלות גישה? |
אבטחת התפעול | כיצד ומהיכן נאספים נתונים הארגון? מהיכן להיכן הם מועברים? היכן וכיצד מאחסנים אותם בצורה מאובטחת ומוגנת? |
אבטחת תקשורת | כיצד מבוצעת האבטחה בעבור כל תהליכי העברות המידע במערכות התקשורת של הארגון כגון אימייל, שיחות ועידה או שיחות וידאו? כיצד הנתונים הללו נשמרים מאובטחים? |
רכישת מערכות, פיתוח ותחזוקה | מהם התהליכים בהם נוקטים לניהול מערכות בסביבה מאובטחת? האם מערכות המידע בארגון נשמרות בסטנדרטים גבוהים של אבטחה? |
קשרים עם ספקים | כיצד הארגון עובד עם צדדים שלישיים תוך הבטחת רמת אבטחה מספקת ולאורך זמן? כיצד מנוהלים חוזים מולם? לאיזה סוגי מידע רגיש הם נחשפים? האם הם מקיימים את ההתחייבויות שלהם מול הארגון? האם צדדים שלישיים הם לדרישות מהם, בכל הנוגע לאבטחת מידע ובדגש על מידע רגיש? |
ניהול אירועי אבטחת מידע | כיצד מטפלים בבעיות אבטחה כאשר הן מתרחשות? מהן שיטות העבודה במקרים כאלה? כיצד ניתן לתרגל מצב כזה על מנת להיות מוכן בצורה מיטבית להתמודדות עם מקרים שכאלה? כיצד האירוע ינוהל בזמן אמת וכיצד ניתן להמנע מאירועים מסוג זה. |
המשכיות עסקית | כיצד מטפלים בבעיות לא צפויות שפוגעות בארגון אשר יש להן השפעה על הפעילות העסקית (כגון נפילה של כל מערכות המידע הארגוניות)? אילו צעדים יש לבצע במקרים מסוג זה זה על מנת להשלים תהליך התאוששות יעיל ומהיר? |
איך ניתן להתכונן לביקורת ISO 27001?
כשמתכוננים לביקורת הסמכה לתקן ISO 27001מומלץ לשכור את שירותיה של חברת יעוץ חיצונית ובעלת ניסיון בהכנת ארגונים לעמידה בתקן זה. לחברות מתחומי הבריאות הדיגיטלית, המדיקל והפארמה, מומלץ לבחור בחברה המתמחה בעבודה בתעשיות אלה, על מנת להתאים בצורה מיטבית את מערכת ה- ISO 27001 לאופי פעילותה של החברה ובשילוב עם מערכות ניהול האיכות האחרות בתחומי הפארמה והמדיקל כגון GMP ו- ISO 13485 בהתאמה.
לא די בקבלת אישור ISO 27001 ראשוני. זהו רק השלב הראשון בדרך להתאמת הארגון לדרישות אבטחת המידע. לאחר קבלת ההסמכה לתקן, יש להמשיך ולשמור על הסטנדרטים שהוצבו, להטמיע את שיטות העבודה והפרוצדורות לחיי היומיום והתרבות הארגונית, תוך קבלת תמיכה מלאה מההנהלה הבכירה, וכמובן לחקור חריגות ולבקר שינויים.
שמירה על הסטנדרטים הגבוהים, שיטות העבודה וה- Good Practices לרוב מהווה אתגר עבור ארגונים, שכן עובדים נוטים לאבד את המוטיבציה שלהם, לאחר סיום הביקורת. באחריות ההנהלה ומנהלי מערכות המידע והאיכות בארגון, לוודא כי מצב שכזה לא יתרחש, ותהיה רמת מוכנות גבוהה בארגון, בכל עת.
באופן טבעי בכל ארגון קיימת תחלופת עובדים ומצד שני, הידרדרות בזיכרון ובפרקטיקה מה ואיך צריך לבצע ככל שעובר הזמן, יש לבצע הדרכות, הן פנימיות והן חיצוניות, כולל הדרכות רענון על נהלים ואפילו מבחן שנתי, במטרה לשמר את הביצועים בהתאם.
עמידה בתקני איכות בכלל ואבטחת מידע בפרט, הנם פרויקטים מתמשכים, החותרים למגמת שיפור מתמיד, ולכן מצריכים ניטור ותחזוקה שוטפים. על מנת לשמר רמת תפקוד ומוכנות גבוהים, יש לוודא תאימות מלאה לדרישות התקן ISO 27001, יש לבצע ביקורות פנימיות ולנהל את הסיכונים בארגון על מנת לאתר פערים ולסגור אותם בהקדם.
האם תקן ISO 27001 מכסה גם את ה- GDPR או את HIPAA?
תקן ה- ISO 27001 מהווה מעין מסגרת כללית לפיתוח תחום אבטחת מערכות ניהול המידע של הארגון. התקן אינו יורד לרמות הפרוצדורות הספציפיות בהן יש לנקוט לפי דרישות ה- GDPR של האיחוד האירופאי או ה- HIPAA האמריקניות.
למרות זאת, ISO 27001 מהווה צעד משמעותי להתאמה לדרישות ה-GDPR וה- HIPAA ובהחלט יכול להשתלב בחלק מהפעילות שעל ארגון לבצע על מנת להתאים עצמו ל- לסטנדרטים בינלאומיים נוספים כמו אלה.