דוח סוק 2 - נחשב לסטנדרט בינלאומי המסייע לחברה להניח את דעתם של לקוחות (אמריקאיים בעיקר,אך לא רק) כי החברה עומדת בדרישות ניהול אבטחת המידע ושמירה על סודיות המידע של הלקוחות ברמה גבוהה ואיכותית, כגון: תהליכים, רמת ואיכות שירות/ מענה ללקוחות, הגנת המידע, אבטחת המידע במערכות הארגון (ליבה) ומערכות תומכות (ספקי ענן) כמו גם פירוט הבקרות ומידת השפעתן או התאמתן לאופי השירות
דוח soc2 יכול לכלול מספר עקרונות כגון: זמינות, שלמות ודיוק, אבטחה ועוד אשר אופן יישומן ייבחן על ידי מומחים מאושרים כגון: פירמות רו״ח בינלאומיות אשר מספקים דוח מפורט וחתום בסוף תהליך של ביקורת הסוק2 - soc type 2 ואשר יסייע לחברה טכנולוגית/ חברת saas להתקשר עם לקוחות בשוק האמריקאי בעיקר אך גם ברמה הבינלאומית ולהניח את דעתם בנוגע לחששות הקשורים בנושאי אבטחת המידע של השירות המבוסס על מידע בענן
מחיר דו״ח soc2 מורכב מדרישות הלקוח בנוגע לעקרונות אותן דורש לכלול בביקורת, רמת המוכנות והבשלות של הארגון בנושא אבטחת המידע בענן
תהליך הכנת הארגון לקבלת דוח soc2 דורש ייעוץ מקצועי של גורם מומחה כגון יועץ אבטחת מידע בשיתוף מנהל אבטחת המידע של הארגון ה-ciso כמו גם שיתוף פעולה מלא מצד מנהלי מחלקות נוספות בחברה כגון: מחלקת משאבי אנוש, מו״פ ועוד
תקן 27001 המגדיר את עקרונות הקמת ניהול ותחזוקה של מערכת אבטחת מידע המתאימה לארגון על ידי ciso as a service שירות
מנהל אבטחת מידע- יועץ סייבר ילווה את חברתכם באופן מקצועי, החל מכתיבת נהלים, מדיניות, סקירה תקופתית, סקר הנהלה וסקר סיכונים, ביקורת פנימית על מערכת ניהול אבטחת המידע בארגון על ידי גורם חיצוני בלתי תלוי ועד ליישום והטמעת בקרות בהתאם לתקן 27001 וקבלת תעודה - תקן, כאשר התהליך כולל הדרכות עובדים שנתיות והדרכות לעובדים חדשים על ידי מומחה סייבר, ניהול תהליכי און-בורדינג ותהליכי אוף-בורדינג בהתאם לתקני אבטחת מידע
מתווה מומלץ וקווים מנחים למילוי דרישות תקן 27001 ISO כגון כתיבת נהלים, כתיבת מדיניות באנגלית או בעברית, הטמעת ויישום תהליכי ציות לתקן אבטחת מידע באמצעות ciso as a service שירות
ISO / IEC 27007 מספק הנחיות לגופי הסמכה מוסמכים, רואי חשבון פנימיים, רואי חשבון חיצוני / צד שלישי ואחרים ISMS מול ISO / IEC 27001 כלומר ביקורת מערכת הניהול לצורך עמידה בתקן
תקן המגדיר את עקרונות הקמת ניהול ותחזוקה של מערכת אבטחת מידע בענן
תקן המגדיר את עקרונות הקמת ניהול ותחזוקה של הגנת הפרטיות בענן
Privacy Information Management System (PIMS)
תקן בינלאומי המספק הנחיות לארגונים כיצד להגן ולנהל נתונים אישיים. התקן מתבסס על היסודות של תקנות הגנת המידע הכללית של האיחוד האירופי , שהיא החוק העיקרי המסדיר את ההגנה על נתונים אישיים באיחוד האירופי
תקן 27701 מבוסס על עקרונות של פרטיות לפי עיצוב ופרטיות כברירת מחדל, כמו גם הערכת ההשפעה של הגנת נתונים. תקן זה, מכסה גם נושאים כגון הודעה על הפרה, זכויות נושא הנתונים, שמירת נתונים, השמדת נתונים בהתאם לסטנדרטים ותקני אבטחת מידע והעברת נתונים תקן 27701 נועד להשלים את דרישות העמידה ברגולציית הגנת הפרטיות של האיחוד האירופי על ידי מתן מסגרת למיפוי וניהול פעילויות עיבוד הנתונים האישיים של הארגון. על ידי הטמעת תקן איזו 27701, ארגונים יכולים להפגין יכולות ציות לתקנות הגנת הפרטיות ורגולצייה בינלאומית, ולהראות שבארגון נוקטים באמצעים המתאימים להגנה על נתונים אישיים. התקן מספק גם מיפוי מסודר המאפשר מעקב פנים ארגוני וחוץ ארגוני לוודא עמידה בהתחייבויות GDPR
ניתן לומר כי הקשר בינהם הוא קשר של השלמה
- GDPR
מגדיר את הכללים והתקנות המסדירים את עיבוד הנתונים האישיים
- ISO 27701 PIMS
מספק הנחיות מעשיות ומסגרת לביקורת כיצד ארגונים יכולים לעמוד בהתחייבויותיהם במסגרת
GDPR
תקנים, מסגרות עבודה, בקרות ומתודות לניהול סיכונים בתחום ההגנה על המידע ועל הפרטיות בארגונים מאת המכון הלאומי האמריקאי לתקנים וטכנולוגיה
חוק הניידות והאחריות של ביטוח בריאות (HIPAA) מורכב ממקבץ של תקנות פדרליות המסדירות את השימוש, הרשאות החשיפה ואופן האבטחה של מידע בריאותי מוגן. החוק נחקק כדי לשפר את הגנת פרטיות והאבטחה של מידע בריאותי. כללי אבטחת המידע בהתאם לדרישות, כוללים תקנים הקובעים כיצד המחזיק במידע רפואי/ בריאותי של פרט נדרש להגן על הסודיות, האמינות והזמינות של נתונים אלו. כללי אבטחה אלו מחייבים יישום של אמצעים ספציפיים כדי להגן על מידע סודי ומידע פרטי ואישי של מטופלים מפני גישה בלתי מורשית וחשיפה בלתי לגורמים בלתי מורשים. אמצעים אלה כוללים אמצעי הגנה אדמיניסטרטיביים, פיזיים וטכניים. אמצעי הגנה מינהליים הם מדיניות, נהלים ופרקטיקות שנועדו להגן על המידע. בנוסף, אמצעי אבטחת מידע אדמיניסטרטיביים כוללים ביצוע הערכות סיכונים, יישום מדיניות ונהלים כדי להבטיח ציות HIPAA, מתן הדרכת עובדים בנושא HIPAA רישום, ניטור ותיעוד גישת משתמשים למידע מוגן אמצעי הגנה פיזיים כוללים הגבלת גישה למידע לצוות המורשה בלבד, שימוש בהגנות וסיסמאות כדי להגן על מידע דיגיטלי/ אלקטרוני, וניטור קבוע של גישה למידע פרטי, מידע אישי ומידע רפואי
הנחיות שנכתבו על ידי משרד המסחר הבריטי לניהול חטיבת המחשוב בכל ארגון באופן שיתמוך ויספק שירותי מערכות מידע שיעזרו לארגון להשיג את מטרותיו העסקיות
מסגרת עבודה ומערכת כלים לניהול ובקרה של ממשל טכנולוגיית המידע, אשר פותחה על ידי האיגוד הבינלאומי לביקורת ואבטחת מערכות מידע ISACA
חברת ייעוץ סייבר, אבטחת מידע והגנת הפרטיות - שירות יועצי אבטחת מידע, טלפון: 0587590000
Copyright SYBER Security© 2021 Security & Privacy By Design, Cyber Security & Data Protection - All Rights Reserved כל הזכויות שמורות לעו״ד אריאל לילייב יועץ סייבר, יועץ אבטחת מידע, הגנת פרטיות והנדסת פרטיות
CISO-as-a-service for SaaS companies
יועץ אבטחת מידע,הגנת הפרטיות יועץ סייבר ורגולציה