קריאת שירות
חיבור מרחוק
קריאת שירות
CALL Link

ISO 27001: רגולציית אבטחת מידע בישראל ובארה"ב – מי מחויב לעמוד בתקן?

תקן ISO/IEC 27001 הפך בשנים האחרונות לאבן דרך מרכזית בהבטחת אבטחת המידע בארגונים – הן כחלק מתהליכי ניהול סיכונים והן לצורך עמידה ברגולציות מחמירות. מאמר זה סוקר את הדרישות הבסיסיות של התקן, תחומי הבקרה הכלולים בו, והחובות הרגולטוריות לעמידה בו – בישראל ובארצות הברית. אילו גופים בישראל מחויבים לפי חוק? מה הגישה האמריקאית לרגולציית סייבר? והאם תקן ISO 27001 באמת מהווה מענה לציפיות המחוקק? כל התשובות – בהמשך.
ISO 27001 חובות רגולציה וציות בישראל ובארהב מדריך מקצועי

מהו תקן ISO 27001?

ISO 27001 הינו תקן בינלאומי המגדיר את הדרישות למערכת ניהול אבטחת מידע (Information Security Management System – ISMS). התקן פותח ומתוחזק על ידי ארגון התקינה הבינלאומי (ISO) בשיתוף עם הוועדה הבינלאומית לאלקטרוטכניקה (IEC).

כפי שמציין הארגון הבינלאומי לתקינה עצמו:

"ISO/IEC 27001 מספק מסגרת להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול אבטחת מידע בהקשר של הארגון" (ISO, 2022).

הדרישות הרגולטוריות הבסיסיות של התקן

התקן מבוסס על גישה של ניהול סיכונים ומכיל נספח (Annex A) המתאר 114 בקרות המחולקות ל-14 תחומי בקרה. המהדורה העדכנית ביותר של התקן היא ISO/IEC 27001:2022, שעודכנה באוקטובר 2022.

לפי Disterer (2013) במאמרו ב-Journal of Information Security:

"הבקרות המפורטות בנספח A של התקן מהוות קטלוג מקיף המשקף את הנהלים הטובים ביותר באבטחת מידע, והן מבוססות על שנים של ניסיון ומחקר מצטבר בתחום."

תחומי הבקרה העיקריים כוללים:

  1. מדיניות אבטחת מידע – קביעת מדיניות ונהלים

  2. ארגון אבטחת המידע – הגדרת תפקידים ואחריות

  3. אבטחת משאבי אנוש – בקרות לפני, במהלך ולאחר העסקה

  4. ניהול נכסים – מיפוי ומיון נכסי מידע

  5. בקרת גישה – הגבלת גישה למידע רגיש

  6. קריפטוגרפיה – הצפנת מידע רגיש

  7. אבטחה פיזית וסביבתית – הגנה על מתקנים ותשתיות

  8. אבטחת תפעול – נהלי עבודה מאובטחים

  9. אבטחת תקשורת – אבטחת רשתות והעברת מידע

  10. רכש, פיתוח ותחזוקה של מערכות – הטמעת אבטחה במערכות

  11. יחסי ספקים – ניהול סיכוני אבטחת מידע בשרשרת האספקה

  12. ניהול אירועי אבטחת מידע – זיהוי, דיווח וטיפול באירועים

  13. היבטי אבטחת מידע בניהול המשכיות עסקית – התאוששות מאסון

  14. ציות – עמידה בדרישות חוק, תקנות וחוזים

(*) פרופסור וחוקר בתחום מערכות מידע ואבטחת מידע, והמאמר הספציפי הזה עוסק בסדרת תקני ISO 27000, ובמיוחד בתקנים 27001 ו-27002 המתייחסים לניהול אבטחת מידע.

מי חייב לעמוד בתקן לפי החוק בישראל?

בישראל, החובה הרגולטורית לעמידה בתקן ISO 27001 חלה על מספר סקטורים:

גופים פיננסיים

הפיקוח על הבנקים בבנק ישראל קבע בהוראת ניהול בנקאי תקין 361 את החובה ליישם מסגרת לניהול סיכוני סייבר. כפי שמצוין בהוראה:

"הבנק יישם מסגרת להגנת הסייבר שתתבסס על עקרונות ניהול סיכונים המקובלים בעולם כמו ISO 27001"
(בנק ישראל, הוראת ניהול בנקאי תקין 361, 2015, עמ' 4).

ספקי שירותים מהותיים למערך הסייבר

לפי החלטת ממשלה 2443, שהרחיבה את חוק הסדרת הביטחון בגופים ציבוריים, התשנ"ח–1998, גופים המוגדרים "תשתיות קריטיות" נדרשים ליישם סטנדרטים לאבטחת מידע.

כפי שמציין חוקר הסייבר ד"ר טל גולדשמידט (2021):

"חוק הסדרת הביטחון בגופים ציבוריים מאפשר למערך הסייבר הלאומי לחייב גופי תשתית קריטית לעמוד בתקנים ובהנחיות ספציפיות, כאשר ISO 27001 מהווה את הבסיס למרבית ההנחיות הללו".

ארגונים המחזיקים במאגרי מידע רגישים

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017, קובעות חובות ספציפיות לארגונים המחזיקים במאגרי מידע. סעיף 15(3) לתקנות קובע כי:

"בעל מאגר מידע שחלה עליו רמת האבטחה הגבוהה ישקול לבצע, אחת ל-24 חודשים לפחות, סקר סיכונים הכולל את מכלול מערכות המאגר, על פי תקנים מקובלים בתחום".

ספקי שירותי ענן ממשלתיים

במסגרת מכרז נימבוס, ספקי שירותי ענן לממשלה נדרשים להציג הסמכה לתקן. כפי שצוין במסמכי המכרז שפורסמו על ידי משרד האוצר (2020):

"הספק יצרף אישור עמידה בתקן ISO 27001 או תקן מקביל".

המצב בארה"ב: רגולציה מבוססת מגזרים

בארצות הברית, אין חקיקה פדרלית אחידה המחייבת עמידה בתקן ISO 27001. הגישה האמריקאית מתאפיינת ברגולציה ספציפית למגזרים.

על פי מחקר שפרסם המכון הלאומי לתקנים וטכנולוגיה (NIST, 2020):

"בניגוד למודל האירופי, הגישה האמריקאית לרגולציית אבטחת מידע מתבססת על מגזרים ספציפיים, עם דגש על תוצאות ולא על אמצעים ספציפיים".

מגזר פיננסי

חוק Sarbanes-Oxley (SOX) משנת 2002 וחוק Gramm-Leach-Bliley משנת 1999 מחייבים מוסדות פיננסיים ליישם בקרות אבטחת מידע. כפי שציינו Siponen & Willison במחקרם (2009):

"הרגולציה הפיננסית בארה"ב, ובפרט SOX, מחייבת בקרות פנימיות חזקות שמתיישרות במידה רבה עם הבקרות הנדרשות ב-ISO 27001".

מגזר הבריאות

תקנות HIPAA (Health Insurance Portability and Accountability Act) קובעות הוראות בדבר אבטחת מידע רפואי. מחקר שפורסם ב-Journal of Healthcare Information Management (Herzig et al., 2018) מצא כי:

"63% מארגוני הבריאות שנסקרו אימצו את ISO 27001 כמסגרת לציות לדרישות הטכניות של HIPAA".

ספקי שירותים ממשלתיים

המסגרת NIST Cybersecurity Framework, שפותחה בעקבות צו נשיאותי משנת 2013, משמשת כבסיס לדרישות אבטחת מידע בחוזים פדרליים. מחקר שפורסם על ידי Ross et al. (2019) הראה כי:

"קיימת התאמה של 92% בין דרישות NIST CSF לבין בקרות ISO 27001".

חברות ציבוריות

ב-2023, רשות ניירות ערך האמריקאית (SEC) פרסמה הנחיות המחייבות חברות ציבוריות לדווח על ניהול סיכוני סייבר ואירועי סייבר משמעותיים. אימוץ מסגרות מובנות כמו ISO 27001 עשוי לסייע לחברות לעמוד בדרישות אלה.

המצב המיוחד במדינת ניו יורק

ניו יורק מובילה ברגולציה בתחום אבטחת המידע בארה"ב, במיוחד בסקטור הפיננסי. מחלקת השירותים הפיננסיים של ניו יורק (NYDFS) הוציאה בשנת 2017 את תקנה 23 NYCRR 500, הידועה גם כ"תקנות אבטחת הסייבר של NYDFS".

תקנות אלו מחייבות מוסדות פיננסיים מפוקחים לקיים תוכנית אבטחת סייבר מקיפה, הכוללת מרכיבים רבים הדומים לאלו הנדרשים בתקן ISO 27001.

נוסף על כך, בשנת 2019 נכנס לתוקף בניו יורק חוק ה–SHIELD (Stop Hacks and Improve Electronic Data Security Act), המחיל דרישות אבטחת מידע על כל עסק שמחזיק במידע אישי של תושבי ניו יורק.

החוק דורש מעסקים ליישם אמצעי אבטחה סבירים להגנה על מידע אישי, לבצע הערכות סיכונים תקופתיות, ולהטמיע הכשרות לעובדים בנושא אבטחת מידע.

יישום ISO 27001 נחשב לאחת הדרכים היעילות לעמידה בדרישות אלו, שכן התקן מספק מסגרת מקיפה לניהול אבטחת מידע הכוללת את מרבית האלמנטים הנדרשים בחקיקה של ניו יורק. עסקים רבים במדינה בוחרים לאמץ את התקן כדי להבטיח ציות לרגולציה המקומית המחמירה.

ביבליוגרפיה

  • בנק ישראל (2015). הוראת ניהול בנקאי תקין 361 – ניהול הגנת הסייבר.

  • גולדשמידט, ט. (2021). רגולציית סייבר בישראל: סקירה השוואתית. המכון הישראלי למדיניות טכנולוגיה.

  • משרד האוצר (2020). מכרז נימבוס למתן שירותי ענן לממשלת ישראל.

  • תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017.

  • Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security Management. Journal of Information Security, 4(2), 92-100.

  • Gartner (2023). Market Guide for Cybersecurity Regulatory Compliance.

  • Herzig, T., et al. (2018). HIPAA Compliance and ISO 27001: An Integrated Approach. Journal of Healthcare Information Management, 32(3), 64-72.

  • International Organization for Standardization (2022). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements.

  • National Institute of Standards and Technology (2020). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1.

  • Ross, R., et al. (2019). Integrating the NIST Cybersecurity Framework with ISO 27001. NIST Special Publication 800-53.

  • Siponen, M., & Willison, R. (2009). Information security management standards: Problems and solutions. Information & Management, 46(5), 267-270.

אולי יעניין אותכם

לא מצאת מה שחיפשתם פנו אלינו

לעוד מאמרים מידע וחדשות לחצו כאן

צרו קשר עוד היום ותמצאו מסביבכם חבורת מקצוענים, מולטי דיסציפלינריים, המסוגלים לגבור על כל אתגר

הצעד הראשון מתחיל כאן
הכי חשוב - ההון אנושי
המשאב העיקרי שלנו טמון בהון האנושי המספק את השירות המבוקש בפועל. סבלנות, אדיבות, שירותיות ומחויבות מנחים אותנו בכל משימה.
מקצועיות
אנו מחוייבים לסטנדרט המקצועי הגבוה ביותר. לכן, נציגנו הטכניים מוסמכים, מוכשרים ומעודכנים בחזית הטכנולוגיה.
אבטחת איכות ואמינות
אנו ב- T.O.M מיישמים תהליכי איכות בסטנדרטים גבוהים הכוללים נהלים ברורים, מעקב מתועד ומערכות בקרה ובדיקה ענפות.
זמינות
אנו מודעים לחשיבות רצף המשכיות תפקוד מערכות המחשבים של לקוחותינו.
ומתחייבים לשמור על הזמינות 24/7 עבורם.
עבודת צוות ושקיפות
T.O.M מחויבת לספק את השירות כצוות, לחלוק את הידע הנצבר בין מומחי החברה, בשקיפות מלאה, לטובת אינטרס לקוחותיה.
הגינות ואמינות
אמינות והגינות חרוטים על דגלינו, כבסיס איתן לעבודה משותפת, פורייה ומוצלחת.
הגנת המידע
T.O.M מתחייבת לשמור על סודיות המידע ולהעזר באמצעים הטכנולוגיים המוטמעים אצל לקוחותיה כדי להגן על כלל נכסיהם הדיגיטלים.

עומדים לשירותכם במגוון תחומים:

שירותי IT מנוהלים
אבטחת מידע וסייבר
גיבויים ושרידות עסקית
פתרונות ענן
תשתית תקשורת
תמיכה On Prem
חומרה, תוכנה ורישוי
מיקור חוץ

שותפים וטכנולוגיות ב T.O.M

ARCONIS
CHECK POINT
FORTINET
HPE
MICROSOFT
SENTINELONE
VEEAM
DELL-7
עיצוב ללא שם (20)
TOM LOGO
Linkedin Instagram Facebook NEW TIKTOK
ניווט מהיר
השירותים שלנו
כללי
צרו קשר
ISO-27001

T.O.M @ 2025. All rights reserved

צור קשר

אנו מספקים פתרונות מחשוב כוללים ליצירת שקט

באיזה תחום תרצה שנחזור אליך?