תקני ISO 27000

תקני ISO 27000 הם סדרת תקני אבטחת מידע ופרטיות בינלאומיים המוגדרים על ידי ארגון התקינה הבינלאומי (ISO) ביחד עם הנציבות הבין-לאומית לאלקטרוטכניקה. שמות התקנים מתחילים בשמות שני ארגונים אלה, כלומר: ISO/IEC. התקנים מכסים טווח נרחב של נושאים הקשורים במערכות ניהול אבטחת מידע (SMS). יש הקבלה בין האופן שבו סדרת תקני ISO 9000 מכסה את הנושא של אבטחת איכות לבין האופן שבו סדרת תקני תקני ISO 27000 מכסה את הנושא של אבטחת מידע. [1]
תקני ISO 27000 מתחלקים לארבעה סוגים:

  • תקנים המסבירים ומציגים תפיסות ומונחים

קבוצה זו כוללת רק תקן אחד: ISO/IEC 27000.

  • תקנים הכוללים דרישות אבטחת מידע

אלה הם התקנים הבסיסיים ביותר כמו ISO/IEC 27001.

  • תקנים הכוללים הנחיות (Guidelines)

קבוצה זו כוללת את המספר הגדול ביותר של תקנים.

  • תקנים למגזרים ספציפיים או לסביבות טכנולוגיות ספציפיות

דוגמאות לתקנים כאלה הם ISO/IEC 27017 ו-ISO/IEC 27018 המתייחסים לסביבת מחשוב ענן.


תקנים שונים מקבוצות שונות וגם תקנים שונים מאותה קבוצה קשורים זה בזה ומשלימים זה את זה.

היסטוריהעריכה

התקן הראשון של USO באבטחת מידע היה ISO/IEC 17799:2000. תקן זה פותח בשנת 2000 על הבסיס התקן הבריטי BS 7799 שפותח בשנת 1995. תקן זה כבר אינו תקף. [2]

התקניםעריכה

  • ISO/IEC 27000

ISO/IEC 27000 הוא תקן הנותן סקירה כללית של מערכות אבטחת מידע ושל התקנים במשפחת תקני ISO 27000. התקן מכיל מילון מונחים הכולל הסבר של מונחים בהם משתמשים בתקנים האחרים במשפחת תקנים זו. שם התקן באנגלית: ISO/IEC 27000:2018 — Information technology — Security techniques — Information security management systems — Overview and vocabulary (fifth edition) [3]

  • ISO/IEC 27001
  ערך מורחב – ISO/IEC 27001

ISO/IEC 27001 הוא תקן בסיסי באבטחת מידע, אליו קשורים תקנים אחרים במשפחת תקנים זו. הוא מפרט דרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS), שמטרתה לעזור לארגונים להפוך את נכסי המידע שהם מחזיקים לבטוחים יותר.

  • ISO/IEC 27002

ISO/IEC 27002 הוא תקן המספק המלצות של Best practice בהקשר של אמצעים להגנה (Controls) בהקשר של הקמה, יישום ותחזוקה של ניהול מערכות אבטחת מידע.

  • ISO/IEC 27003

ISO/IEC 27003 הוא תקן המוסיף הסברים והנחיות המתייחסים לתוכן של ISO/IEC 27001. מהדורת ISO/IEC 27003:2017 מתייחסת למהדרות ISO/IEC 27001:2013. [4]

  • ISO/IEC 27004

ISO/IEC 27004 הוא תקן אבטחת מידע העוסק בניטור, מדידות, ניתוח והערכה. [5]

  • ISO/IEC 27005
  ערך מורחב – ISO/IEC 27005

ISO/IEC 27005 הוא תקן לניהול סיכונים באבטחת מידע. הוא תקן דומה ל-ISO 31000. ההבדל ביניהם הוא ש ISO 31000 הוא תקן המתייחס לכל סוגי הסיכונים בעוד ISO/IEC 27005 עוסק רק בסיכוני אבטחת מידע. [6]

  • ISO/IEC 27006

ISO/IEC 27006 הוא תקן לניהול סיכונים באבטחת מידע. התקן עוסק בארגונים המבקרים ונותנים הסמכה לתקן ISO/IEC 27001 לארגונים אחרים.
ארגונים המבצעים בקרה והסמכה חייבים להוכיח יכולות וידע בתחומים הבאים:

  1. ISMS
  2. אבטחת מידע
  3. מערכות ניהול. באנגלית: Management systems
  4. עקרונות בקרה
  5. ידע טכני של המערכות המבוקרות.


  • ISO/IEC 27007

ISO/IEC 27007 הוא תקן הכולל הנחיות בנושא בקרה של ניהול מערכות אבטחת מידע. שם התקן באנגלית:ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing [7]

  • ISO/IEC Ts 27008

ISO/IEC Ts 27008 הוא תקן הכולל הנחיות בנושא בקרה של Controls במערכות ניהול אבטחת מידע. שם התקן באנגלית:ISO/IEC TS 27008:2019 Information technology — Security techniques — Guidelines for the assessment of information security controls [8]

  • ISO/IEC 27009

ISO/IEC 27009 הוא תקן הכולל הנחיות הרחבה של ISO/IEC 27001 ושל ISO/IEC 27002 למגזרים ספציפיים. שם התקן באנגלית:ISO/IEC 27009:2020 Information technology — Security techniques — Guidelines for the assessment of information security controls [9]

  • ISO/IEC 27010

ISO/IEC 27010 הוא תקן הכולל הנחיות ניהול אבטחת מידע לקהילות שיתוף מידע. שם התקן באנגלית:ISO/IEC 27010:2015 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications [10]

  • ISO/IEC 27011

ISO/IEC 27011 הוא תקן הכולל הנחיות למימוש Controls לאבטחת מידע בארגוני תקשורת נתונים. שם התקן באנגלית:ISO/IEC 27011:2016 Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations [11]

  • ISO/IEC 27013

ISO/IEC 27013 הוא תקן הכולל הנחיות ליישום משולב של התקנים ISO/IEC 27001 ו-ISO/IEC 20000‑1.התקן ISO/IEC 20000‑1 עוסק ביהול שירותי טכנולוגית המידע לפי תפיסת ITIL. שם התקן באנגלית:ISO/IEC 27013:2015 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 [12]

  • ISO/IEC 27014

ISO/IEC 27014 הוא תקן הכולל הנחיות ליישום משטור (באנגלית: Governance) ביחס למושגים, מטרות ותהליכים של אבטחת מידע. שם התקן באנגלית:ISO/IEC 27014:2020 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 [13]

  • ISO/IEC TR 27016

ISO/IEC TR 27016 הוא תקן הכולל הנחיות בהיבטים הכלכליים של יישום אבטחת מידע. שם התקן באנגלית:ISO/IEC TR 27016:2014 Information technology — Security techniques — Information security management — Organizational economics [14]

  • ISO/IEC 27017
  ערך מורחב – ISO/IEC 27017

ISO/IEC 27017 הוא תקן העוסק באבטחת מידע וניהול סיכוני אבטחת מידע בסביבת מחשוב ענן. [15]

  • ISO/IEC 27018
  ערך מורחב – ISO/IEC 27018

ISO/IEC 27018 הוא תקן העוסק בהגנה על פרטיות המידע בעננים ציבורים בסביבת מחשוב ענן. [16]

  • ISO/IEC 27019

ISO/IEC 27019 הוא תקן אבטחת מידע לשליטה בתהליכים בתעשיית האנרגיה.

  • ISO/IEC 27021

ISO/IEC 27021 הוא תקן המתאר דרישות ממומחי אבטחת מידע.

  • ISO/IEC 27022

ISO/IEC 27022 הוא תקן המתאר תהליכי אבטחת מידע. שמו המלא: ISO/IEC TS 27022 — Guidance on information security management system processes. [17]

  • ISO/IEC TR 27023

ISO/IEC TR 27023 הוא תקן עזר הממפה את המהדורות החדשות של ISO/IEC 27001 ו-ISO/IEC 27002.

  • ISO/IEC 27031

ISO/IEC 27031 הוא תקן עזר הכולל הנחיות ביחס למוכנות להמשכיות עסקית.

  • ISO/IEC 27032

ISO/IEC 27032 הוא תקן עזר הכולל הנחיות ביחס לאבטחת סייבר (Cyber Security).

  • ISO/IEC 27033

ISO/IEC 27033 הוא תקן אבטחת מידע ברשת תקשורת

  • ISO/IEC 27034

ISO/IEC 27034 הוא תקן אבטחת מידע ביישומי מחשב

  • ISO/IEC 27035

ISO/IEC 27035 הוא תקן אבטחת מידע העוסק ב-incident management

  • ISO/IEC 27036

ISO/IEC 27036 הוא תקן אבטחת מידע העוסק בהיבטי אבטחת מידע של ההתקשרות בין ספק שירותי ענן ולקוח שירותי ענן. באנגלית: supplier relationships.

  • ISO/IEC 27037

ISO/IEC 27037 הוא תקן אבטחת מידע הכולל הנחיות לזיהוי, איסוף, רכישה ושמירה של ממצאים דיגיטליים בהקשר של אבטחת מידע.

  • ISO/IEC 27038

ISO/IEC 27038 הוא תקן אבטחת מידע הכולל הנחיות לעריכה של מסמכים דיגיטליים בהקשר של אבטחת מידע.

  • ISO/IEC 27039

ISO/IEC 27039 הוא תקן אבטחת מידע בנושא מניעת חדירות למערכת. באנגלית: .Intrusion prevention

  • ISO/IEC 27040

ISO/IEC 27040 הוא תקן אבטחת מידע בנושא אבטחת אחסון. באנגלית: Storage security. [18]

  • ISO/IEC 27041

ISO/IEC 27041 הוא תקן אבטחת מידע הכולל הנחיות ומנגנונים לוידוא נכונות של שיטות ותהליכים בחקירת אירועי אבטחת מידע. שם התקן באנגלית: Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method. [19]

  • ISO/IEC 27042

ISO/IEC 27042 הוא תקן אבטחת מידע בנושא ניתוח ראיות דיגיטליות. שם התקן באנגלית: Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence. [20]

  • ISO/IEC 27043

ISO/IEC 27043 הוא תקן אבטחת מידע בנושא טכניקות חקירת אירועי אבטחת מידע. התקן עוסק בעקרונות ובתהליכים. שם התקן באנגלית: Information technology — Security techniques — Incident investigation principles and processes [21]

  • ISO/IEC 27050

ISO/IEC 27050 הוא תקן אבטחת מידע בנושא ראיות פורנזיות אלקטרוניות. שם התקן באנגלית: Information technology — Security techniques — Electronic discovery [22]

  • ISO/IEC 27701
  ערך מורחב – ISO/IEC 27701

ISO/IEC 27701 הוא תקן המהווה הרחבת פרטיות ל-ISO/IEC 27001. כותרתו באנגלית: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines

  • ISO/IEC 27799

ISO/IEC 27799 הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי - ISO. התקן מתבסס על התקן הכללי לאבטחת מידע תקן ISO/IEC 27002, ומטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי שברשותם. היוזמה לניסוח התקן הגיעה מישראל.[23]

הערות שולייםעריכה

  1. ^ QMS ISO 27001 Information Security Management (ISMS)
  2. ^ Praxiom I ISO 17799 2000 ARCHIVE — DETAILED PLAIN ENGLISH STANDARD
  3. ^ ISO ISO/IEC 27000:2018 — Information technology — Security techniques — Information security management systems — Overview and vocabulary (fifth edition)
  4. ^ ISO ISO/IEC 27003:2017 Information technology - Security techniques - Information security management systems - Guidance
  5. ^ ISO ISO/IEC 27004:2016 Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
  6. ^ ISO ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management
  7. ^ ISO ISO/IEC 27007:2020 Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing
  8. ^ ISO ISO/IEC TS 27008:2019 Information technology — Security techniques — Guidelines for the assessment of information security controls
  9. ^ ISO ISO/IEC 27009:2020 Information technology — Information security, cybersecurity and privacy protection — Sector-specific application of ISO/IEC 27001 — Requirements
  10. ^ ISO ISO/IEC 27010:2015 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
  11. ^ ISO Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
  12. ^ ISO ISO/IEC 27013:2015 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
  13. ^ ISO ISO/IEC 27014:2020 Information security, cybersecurity and privacy protection — Governance of information security
  14. ^ ISO ISO/IEC TR 27016:2014 Information technology — Security techniques — Information security management — Organizational economics
  15. ^ ISO ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  16. ^ המדריך ליישום ISO/IEC 27018, מכון התקנים הישראלי
  17. ^ ISO ISO/IEC 27003:2022 Information technology - Guidance on information security management system processes
  18. ^ ISO ISO/IEC 27040:2015 Information technology -Security techniques — Storage security
  19. ^ ISO Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative method
  20. ^ ISO Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence
  21. ^ ISO Information technology — Security techniques — Incident investigation principles and processes
  22. ^ ISO Information technology — Security techniques — Electronic discovery
  23. ^ אבטחת מידע רפואי: תקן חדש יגן על פרטיות החולים, The Pulse