תקני ISO 27000
תקני ISO 27000 הם סדרת תקני אבטחת מידע ופרטיות בינלאומיים המוגדרים על ידי ארגון התקינה הבינלאומי (ISO) ביחד עם הנציבות הבין-לאומית לאלקטרוטכניקה. שמות התקנים מתחילים בשמות שני ארגונים אלה, כלומר: ISO/IEC. התקנים מכסים טווח נרחב של נושאים הקשורים במערכות ניהול אבטחת מידע (SMS). יש הקבלה בין האופן שבו סדרת תקני ISO 9000 מכסה את הנושא של אבטחת איכות לבין האופן שבו סדרת תקני תקני ISO 27000 מכסה את הנושא של אבטחת מידע.
[1]
תקני ISO 27000 מתחלקים לארבעה סוגים:
- תקנים המסבירים ומציגים תפיסות ומונחים
קבוצה זו כוללת רק תקן אחד: ISO/IEC 27000.
- תקנים הכוללים דרישות אבטחת מידע
אלה הם התקנים הבסיסיים ביותר כמו ISO/IEC 27001.
- תקנים הכוללים הנחיות (Guidelines)
קבוצה זו כוללת את המספר הגדול ביותר של תקנים.
- תקנים למגזרים ספציפיים או לסביבות טכנולוגיות ספציפיות
דוגמאות לתקנים כאלה הם ISO/IEC 27017 ו-ISO/IEC 27018 המתייחסים לסביבת מחשוב ענן.
תקנים שונים מקבוצות שונות וגם תקנים שונים מאותה קבוצה קשורים זה בזה ומשלימים זה את זה.
היסטוריה
התקן הראשון של USO באבטחת מידע היה ISO/IEC 17799:2000. תקן זה פותח בשנת 2000 על הבסיס התקן הבריטי BS 7799 שפותח בשנת 1995. תקן זה כבר אינו תקף. [2]
התקנים
- ISO/IEC 27000
ISO/IEC 27000 הוא תקן הנותן סקירה כללית של מערכות אבטחת מידע ושל התקנים במשפחת תקני ISO 27000. התקן מכיל מילון מונחים הכולל הסבר של מונחים בהם משתמשים בתקנים האחרים במשפחת תקנים זו. שם התקן באנגלית:
ISO/IEC 27000:2018 — Information technology — Security techniques — Information security management systems — Overview and vocabulary (fifth edition)
[3]
- ISO/IEC 27001
- ערך מורחב – ISO/IEC 27001
ISO/IEC 27001 הוא תקן בסיסי באבטחת מידע, אליו קשורים תקנים אחרים במשפחת תקנים זו. הוא מפרט דרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS), שמטרתה לעזור לארגונים להפוך את נכסי המידע שהם מחזיקים לבטוחים יותר.
- ISO/IEC 27002
ISO/IEC 27002 הוא תקן המספק המלצות של Best practice בהקשר של אמצעים להגנה (Controls) בהקשר של הקמה, יישום ותחזוקה של ניהול מערכות אבטחת מידע.
- ISO/IEC 27003
ISO/IEC 27003 הוא תקן המוסיף הסברים והנחיות המתייחסים לתוכן של ISO/IEC 27001. מהדורת ISO/IEC 27003:2017 מתייחסת למהדרות ISO/IEC 27001:2013.
[4]
- ISO/IEC 27004
ISO/IEC 27004 הוא תקן אבטחת מידע העוסק בניטור, מדידות, ניתוח והערכה.
[5]
- ISO/IEC 27005
- ערך מורחב – ISO/IEC 27005
ISO/IEC 27005 הוא תקן לניהול סיכונים באבטחת מידע. הוא תקן דומה ל-ISO 31000. ההבדל ביניהם הוא ש ISO 31000 הוא תקן המתייחס לכל סוגי הסיכונים בעוד ISO/IEC 27005 עוסק רק בסיכוני אבטחת מידע.
[6]
- ISO/IEC 27006
ISO/IEC 27006 הוא תקן לניהול סיכונים באבטחת מידע. התקן עוסק בארגונים המבקרים ונותנים הסמכה לתקן ISO/IEC 27001 לארגונים אחרים.
ארגונים המבצעים בקרה והסמכה חייבים להוכיח יכולות וידע בתחומים הבאים:
- ISMS
- אבטחת מידע
- מערכות ניהול. באנגלית: Management systems
- עקרונות בקרה
- ידע טכני של המערכות המבוקרות.
- ISO/IEC 27007
ISO/IEC 27007 הוא תקן הכולל הנחיות בנושא בקרה של ניהול מערכות אבטחת מידע.
שם התקן באנגלית:ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing
[7]
- ISO/IEC Ts 27008
ISO/IEC Ts 27008 הוא תקן הכולל הנחיות בנושא בקרה של Controls במערכות ניהול אבטחת מידע.
שם התקן באנגלית:ISO/IEC TS 27008:2019 Information technology — Security techniques — Guidelines for the assessment of information security controls
[8]
- ISO/IEC 27009
ISO/IEC 27009 הוא תקן הכולל הנחיות הרחבה של ISO/IEC 27001 ושל ISO/IEC 27002 למגזרים ספציפיים.
שם התקן באנגלית:ISO/IEC 27009:2020 Information technology — Security techniques — Guidelines for the assessment of information security controls
[9]
- ISO/IEC 27010
ISO/IEC 27010 הוא תקן הכולל הנחיות ניהול אבטחת מידע לקהילות שיתוף מידע.
שם התקן באנגלית:ISO/IEC 27010:2015 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
[10]
- ISO/IEC 27011
ISO/IEC 27011 הוא תקן הכולל הנחיות למימוש Controls לאבטחת מידע בארגוני תקשורת נתונים.
שם התקן באנגלית:ISO/IEC 27011:2016 Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
[11]
- ISO/IEC 27013
ISO/IEC 27013 הוא תקן הכולל הנחיות ליישום משולב של התקנים ISO/IEC 27001 ו-ISO/IEC 20000‑1.התקן ISO/IEC 20000‑1 עוסק ביהול שירותי טכנולוגית המידע לפי תפיסת ITIL.
שם התקן באנגלית:ISO/IEC 27013:2015 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
[12]
- ISO/IEC 27014
ISO/IEC 27014 הוא תקן הכולל הנחיות ליישום משטור (באנגלית: Governance) ביחס למושגים, מטרות ותהליכים של אבטחת מידע.
שם התקן באנגלית:ISO/IEC 27014:2020 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
[13]
- ISO/IEC TR 27016
ISO/IEC TR 27016 הוא תקן הכולל הנחיות בהיבטים הכלכליים של יישום אבטחת מידע.
שם התקן באנגלית:ISO/IEC TR 27016:2014 Information technology — Security techniques — Information security management — Organizational economics
[14]
- ISO/IEC 27017
- ערך מורחב – ISO/IEC 27017
ISO/IEC 27017 הוא תקן העוסק באבטחת מידע וניהול סיכוני אבטחת מידע בסביבת מחשוב ענן.
[15]
- ISO/IEC 27018
- ערך מורחב – ISO/IEC 27018
ISO/IEC 27018 הוא תקן העוסק בהגנה על פרטיות המידע בעננים ציבורים בסביבת מחשוב ענן.
[16]
- ISO/IEC 27019
ISO/IEC 27019 הוא תקן אבטחת מידע לשליטה בתהליכים בתעשיית האנרגיה.
- ISO/IEC 27021
ISO/IEC 27021 הוא תקן המתאר דרישות ממומחי אבטחת מידע.
- ISO/IEC 27022
ISO/IEC 27022 הוא תקן המתאר תהליכי אבטחת מידע. שמו המלא: ISO/IEC TS 27022 — Guidance on information security management system processes.
[17]
- ISO/IEC TR 27023
ISO/IEC TR 27023 הוא תקן עזר הממפה את המהדורות החדשות של ISO/IEC 27001 ו-ISO/IEC 27002.
- ISO/IEC 27031
ISO/IEC 27031 הוא תקן עזר הכולל הנחיות ביחס למוכנות להמשכיות עסקית.
- ISO/IEC 27032
ISO/IEC 27032 הוא תקן עזר הכולל הנחיות ביחס לאבטחת סייבר (Cyber Security).
- ISO/IEC 27033
ISO/IEC 27033 הוא תקן אבטחת מידע ברשת תקשורת
- ISO/IEC 27034
ISO/IEC 27034 הוא תקן אבטחת מידע ביישומי מחשב
- ISO/IEC 27035
ISO/IEC 27035 הוא תקן אבטחת מידע העוסק ב-incident management
- ISO/IEC 27036
ISO/IEC 27036 הוא תקן אבטחת מידע העוסק בהיבטי אבטחת מידע של ההתקשרות בין ספק שירותי ענן ולקוח שירותי ענן. באנגלית: supplier relationships.
- ISO/IEC 27037
ISO/IEC 27037 הוא תקן אבטחת מידע הכולל הנחיות לזיהוי, איסוף, רכישה ושמירה של ממצאים דיגיטליים בהקשר של אבטחת מידע.
- ISO/IEC 27038
ISO/IEC 27038 הוא תקן אבטחת מידע הכולל הנחיות לעריכה של מסמכים דיגיטליים בהקשר של אבטחת מידע.
- ISO/IEC 27039
ISO/IEC 27039 הוא תקן אבטחת מידע בנושא מניעת חדירות למערכת. באנגלית: .Intrusion prevention
- ISO/IEC 27040
ISO/IEC 27040 הוא תקן אבטחת מידע בנושא אבטחת אחסון. באנגלית: Storage security.
[18]
- ISO/IEC 27041
ISO/IEC 27041 הוא תקן אבטחת מידע הכולל הנחיות ומנגנונים לוידוא נכונות של שיטות ותהליכים בחקירת אירועי אבטחת מידע. שם התקן באנגלית: Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method.
[19]
- ISO/IEC 27042
ISO/IEC 27042 הוא תקן אבטחת מידע בנושא ניתוח ראיות דיגיטליות. שם התקן באנגלית: Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence.
[20]
- ISO/IEC 27043
ISO/IEC 27043 הוא תקן אבטחת מידע בנושא טכניקות חקירת אירועי אבטחת מידע. התקן עוסק בעקרונות ובתהליכים. שם התקן באנגלית: Information technology — Security techniques — Incident investigation principles and processes
[21]
- ISO/IEC 27050
ISO/IEC 27050 הוא תקן אבטחת מידע בנושא ראיות פורנזיות אלקטרוניות. שם התקן באנגלית: Information technology — Security techniques — Electronic discovery
[22]
- ISO/IEC 27701
- ערך מורחב – ISO/IEC 27701
ISO/IEC 27701 הוא תקן המהווה הרחבת פרטיות ל-ISO/IEC 27001. כותרתו באנגלית: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO/IEC 27799
ISO/IEC 27799 הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי - ISO. התקן מתבסס על התקן הכללי לאבטחת מידע תקן ISO/IEC 27002, ומטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי שברשותם. היוזמה לניסוח התקן הגיעה מישראל.[23]
הערות שוליים
- ^ QMS ISO 27001 Information Security Management (ISMS)
- ^ Praxiom I ISO 17799 2000 ARCHIVE — DETAILED PLAIN ENGLISH STANDARD
- ^ ISO ISO/IEC 27000:2018 — Information technology — Security techniques — Information security management systems — Overview and vocabulary (fifth edition)
- ^ ISO ISO/IEC 27003:2017 Information technology - Security techniques - Information security management systems - Guidance
- ^ ISO ISO/IEC 27004:2016 Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
- ^ ISO ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management
- ^ ISO ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing
- ^ ISO ISO/IEC TS 27008:2019 Information technology — Security techniques — Guidelines for the assessment of information security controls
- ^ ISO ISO/IEC 27009:2020 Information technology — Information security, cybersecurity and privacy protection — Sector-specific application of ISO/IEC 27001 — Requirements
- ^ ISO ISO/IEC 27010:2015 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
- ^ ISO Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
- ^ ISO ISO/IEC 27013:2015 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
- ^ ISO ISO/IEC 27014:2020 Information security, cybersecurity and privacy protection — Governance of information security
- ^ ISO ISO/IEC TR 27016:2014 Information technology — Security techniques — Information security management — Organizational economics
- ^ ISO ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ^ המדריך ליישום ISO/IEC 27018, מכון התקנים הישראלי
- ^ ISO ISO/IEC 27003:2022 Information technology - Guidance on information security management system processes
- ^ ISO ISO/IEC 27040:2015 Information technology -Security techniques — Storage security
- ^ ISO Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method
- ^ ISO Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence
- ^ ISO Information technology — Security techniques — Incident investigation principles and processes
- ^ ISO Information technology — Security techniques — Electronic discovery
- ^ אבטחת מידע רפואי: תקן חדש יגן על פרטיות החולים, The Pulse
31088072תקני ISO 27000