ISO 27017: הסטנדרט הבינלאומי לאבטחת מידע בסביבת ענן



בעולם שבו הענן הוא כבר לא אפשרות אלא הכרח, האתגר הגדול ביותר של ארגונים הוא אבטחת הנכסים הדיגיטליים מחוץ ל"חומות" המשרד. תקן ISO 27017 הוא קוד פרקטיקה בינלאומי המרחיב את תקן ISO 27001 ומספק הנחיות ספציפיות לבקרות אבטחת מידע הייחודיות לסביבת הענן.

בין אם אתם ספקי שירותי ענן (CSPs) או לקוחות שמשתמשים בענן, התקן הזה מגדיר בצורה ברורה את האחריות המשותפת ומבטיח שהמידע שלכם מוגן תחת הסטנדרטים המחמירים ביותר.


איך תקן ISO 27017 עוזר לעסק שלך?


  • יצירת "אחריות משותפת" ברורה: התקן מגדיר בדיוק מה באחריות ספק הענן (למשל AWS/Azure) ומה באחריותכם כלקוחות, ובכך מונע "חורים" באבטחה.

  • הגנה מפני איומים ספציפיים לענן: טיפול בסיכונים כמו דליפת נתונים בין שרתים וירטואליים, אבטחת ממשקי API וניהול זהויות (IAM) מורכב.

  • יתרון תחרותי במכרזים: חברות רבות דורשות כיום מכל ספק SaaS להציג את תקן ISO 27017 כהוכחה לכך שהמוצר שלהם מאובטח ברמת התשתית.

  • ייעול העבודה מול ספקי ענן: התקן מספק מסגרת לבדיקת נאותות (Due Diligence) של ספקי הענן שלכם.


מה ההבדל בין ISO 27001 ל-ISO 27017?


בעוד ש-ISO 27001 הוא הבסיס לניהול אבטחת מידע בכל ארגון, ISO 27017 מוסיף שכבה של 7 בקרות חדשות ועשרות הנחיות ממוקדות ענן:

  1. חלוקת אחריות: מי אחראי על מה בין הספק ללקוח.

  2. החזרת נכסים: מה קורה למידע שלכם בסיום החוזה עם ספק הענן.

  3. הגנה על סביבות וירטואליות: אבטחת ההפרדה בין לקוחות שונים על אותו שרת פיזי.

  4. הגדרות אבטחה של מכונות וירטואליות: ניהול והקשחת השרתים בענן.

  5. ניהול תפעולי בענן: נהלים לשינויים ותחזוקה בסביבת הענן.

  6. ניטור פעילות: מעקב אחרי מי ניגש למידע ומתי בתוך תשתית הענן.

  7. ניהול רשת וירטואלית: אבטחת התקשורת בתוך הענן ומחוצה לו.


למה לבצע את התהליך איתנו?


הטמעת אבטחת ענן דורשת יותר מסתם כתיבת נהלים – היא דורשת הבנה טכנית עמוקה בארכיטקטורת ענן. ב-OLBIZ אנו מציעים:

  • מומחיות בעננים מובילים: אנו מכירים לעומק את בקרות האבטחה של AWS, Google Cloud ו-Azure ויודעים להטמיע את התקן עליהן בצורה אופטימלית.

  • ליווי מנהלי וטכני: אנו לא רק כותבים את המסמכים, אלא עוזרים לצוותי ה-DevOps וה-IT שלכם להגדיר את הבקרות הטכניות בשטח.

  • אינטגרציה מלאה: אנו משלבים את ISO 27017 יחד עם ISO 27001 ו-ISO 27701 (פרטיות) לכדי מערכת ניהול אחת חזקה וחסכונית.

  • קיצור הדרך להסמכה: בזכות הניסיון שלנו, אנו יודעים בדיוק מה הסוקרים מחפשים ומכינים אתכם למעבר חלק של המבדק.



הסינרגיה בין ISO 27017 ל-SOC 2: המעטפת המלאה לשירותי ענן

עבור חברות טכנולוגיה וספקי SaaS, השאלה היא לעיתים קרובות לא "איזה תקן לעשות", אלא איך לשלב ביניהם כדי להעניק ביטחון מקסימלי ללקוחות (במיוחד בשוק האמריקאי). בעוד ששני התקנים עוסקים באבטחת מידע בענן, הם מספקים זוויות שונות ומשלימות:

  • ISO 27017 (הזווית התהליכית-בינלאומית): מתמקד בניהול סיכונים ובקרות טכניות ספציפיות לסביבת הענן כחלק ממערכת ניהול איכותית. זוהי הסמכה בינלאומית המוכרת בכל העולם כסטנדרט של איכות ניהולית.

  • SOC 2 (הזווית הדיווחית-תפעולית): נפוץ מאוד בארה"ב ומתמקד בדו"ח מפורט (Type 2) המוכיח כי הבקרות אכן פועלות ביעילות לאורך זמן. הוא בוחן חמישה עקרונות שירות (Trust Services Criteria): אבטחה, זמינות, שלמות העיבוד, סודיות ופרטיות.

איך הם משתלבים? הטמעת ISO 27017 מהווה למעשה את ה"תשתית" להצלחה בדו"ח SOC 2. הבקרות הטכניות של ISO 27017 (כמו הפרדה וירטואלית, ניטור ענן וניהול זהויות) הן בדיוק אותן בקרות שרואה החשבון יבדוק בדו"ח ה-SOC 2.

היתרון עבורכם: ארגון שמטמיע את ISO 27017 עם OLBIZ עושה "קיצור דרך" משמעותי ל-SOC 2. אנחנו בונים את מערכת הניהול כך שתענה על דרישות שני התקנים במקביל. המשמעות: חיסכון אדיר בזמן, מניעת כפילות בעבודה והצגת חזית אבטחה בלתי מתפשרת מול לקוחות Enterprise בארץ ובחו"ל.




שאלות ותשובות: ISO 27017


- האם אנחנו חייבים את התקן אם אנחנו משתמשים ב-AWS או Azure שהם כבר מוסמכים? 
כן. הסמכה של ספק הענן מגינה על התשתית הפיזית שלו, אבל האחריות על מה שקורה בתוך החשבון שלכם (אפליקציות, הגדרות גישה, הצפנת נתונים) היא עליכם. ISO 27017 מוכיח שאתם מנהלים את החלק שלכם באחריות.

- האם ניתן לקבל הסמכה ל-ISO 27017 ללא ISO 27001?
בדומה לתקן הפרטיות, ISO 27017 הוא הרחבה. אתם חייבים להיות מוסמכים ל-ISO 27001 או לעבור את התהליך לשניהם במקביל.

- האם התקן רלוונטי לחברות שלא מפתחות תוכנה?
בהחלט. כל ארגון שמחזיק מידע רגיש בענן (מערכות CRM, ERP, אחסון קבצים) ורוצה לוודא שההגדרות שלו בטוחות ושהוא עומד בדרישות הלקוחות שלו, יפיק תועלת עצומה מהתקן.


5 הצעדים הראשונים לאבטחת הענן שלכם (Checklist):


  1. סקירת ארכיטקטורת ענן: מיפוי כל שירותי הענן שבשימוש והגדרת גבולות המערכת.

  2. סקירת הרשאות (IAM): וידוא שכל גישה לענן מבוצעת תחת עיקרון ה-Least Privilege ועם אימות דו-שלבי (MFA).

  3. הגדרת הסכם אחריות: יצירת מסמך המגדיר בבירור מה באחריותכם ומה באחריות ספק הענן.

  4. בקרת הצפנה: וידוא שמידע רגיש מוצפן גם במנוחה (At rest) וגם במעבר (In transit).

  5. תכנון התאוששות: הגדרת נהלי גיבוי ושחזור ספציפיים לסביבת הענן למקרה של תקלה או מתקפה.

הענן שלכם יכול להיות המקום הבטוח ביותר בעסק. בואו נעשה את זה נכון. צרו קשר עם OLBIZ עוד היום לייעוץ ראשוני על הסמכת ISO 27017.

logo בניית אתרים