ISO 27001:2022 לעומת 2013: מה השתנה?

מדריך השוואה מקיף לארגונים העוברים לתקן החדש

בית בלוג מדריך יישום

📋 סקירת השינויים

ISO/IEC 27001:2022 פורסם באוקטובר 2022, ומחליף את גרסת 2013. לארגונים המוסמכים ל-ISO 27001:2013 יש עד אוקטובר 2025 לעבור לתקן החדש. הבנת השינויים חיונית לתכנון אסטרטגיית המעבר שלכם.

סיכום שינויים עיקריים

  • 93 בקרות (ירידה מ-114): אוחדו לבהירות והפחתת כפילויות
  • 4 נושאים (לעומת 14 תחומים): ארגוני, אנשים, פיזי, טכנולוגי
  • 10 בקרות חדשות: המכסות מודיעין איומים, אבטחת ענן, מוכנות ICT
  • 24 בקרות מאוחדות: דרישות חופפות שולבו
  • 58 בקרות מעודכנות: שפה ודרישות מובהרות

🏗️ מבנה הבקרה החדש

מ-14 תחומים ל-4 נושאים

ISO 27001:2013 ארגן בקרות ב-14 תחומים. גרסת 2022 מפשטת זאת ל-4 נושאים:

מבנה 2022 (4 נושאים)

  • בקרות ארגוניות (37): מדיניות, תפקידים, ניהול נכסים, אבטחת משאבי אנוש, ניהול ספקים
  • בקרות אנשים (8): סינון, תנאי העסקה, מודעות והכשרה
  • בקרות פיזיות (14): אזורים מאובטחים, אבטחת ציוד, שירותים, סילוק
  • בקרות טכנולוגיות (34): אימות, הצפנה, אבטחת רשת, רישום

קטגוריזציה מבוססת תכונות

גרסת 2022 מוסיפה תכונות לכל בקרה:

  • סוג בקרה: מונע, גילוי, מתקן
  • מאפייני אבטחת מידע: סודיות, שלמות, זמינות
  • מושגי אבטחת סייבר: זיהוי, הגנה, גילוי, תגובה, שחזור
  • יכולות תפעוליות: ממשל, ניהול נכסים, הגנה, וכו'
  • תחומי אבטחה: ממשל ואקוסיסטם, הגנה, הגנה, חוסן

✨ 10 בקרות חדשות ב-2022

5.7 מודיעין איומים

ארגונים חייבים כעת לאסוף ולנתח מודיעין איומים הרלוונטי לאבטחת המידע שלהם. זה מפורמל את מה שארגונים בוגרים כבר עושים באופן לא רשמי.

יישום: הרשמה לעדכוני איומים, מעקב אחר התראות אבטחה, מעקב אחר פגיעויות המשפיעות על מחסנית הטכנולוגיה שלכם.

5.23 אבטחת מידע לשירותי ענן

דרישות מפורשות לשימוש, רכישה וניהול בטוח של שירותי ענן. מתייחס לסיכונים ספציפיים לענן.

יישום: הערכות אבטחה של ספק ענן, תיעוד מודל אחריות משותפת, ביקורות תצורת ענן.

5.30 מוכנות ICT להמשכיות עסקית

מבטיח שמערכות ICT מוכנות לתמוך בדרישות המשכיות עסקית. מחזק מיקוד חוסן.

יישום: בדיקת נהלי התאוששות מאסון, אימות שחזור גיבויים, הבטחת יתירות.

8.9 ניהול תצורה

דורש ניהול תצורה מתועד למערכות רלוונטיות לאבטחה. מונע סטיית תצורה.

יישום: תשתית כקוד, קווי בסיס לתצורה, מעקב שינויים.

8.10 מחיקת מידע

מבטיח שמידע נמחק בצורה מאובטחת כאשר הוא אינו נדרש יותר. תומך במינימום נתונים.

יישום: מדיניות שמירת נתונים, נהלי מחיקה בטוחה, תהליכי אימות.

8.11 מיסוך נתונים

דורש מיסוך של נתונים רגישים כשמתאים. תומך בפרטיות וצרכי בדיקה.

יישום: אנונימיזציה לנתוני בדיקה, עריכה ביומנים, טוקניזציה כשמתאים.

8.12 מניעת דליפת נתונים

מתייחס למניעת חילוץ נתונים וחשיפה לא מורשית.

יישום: כלי DLP, סינון יציאה, הגבלות USB, בקרות דואר אלקטרוני.

8.16 פעילויות ניטור

מפורמל דרישות לניטור פעילויות משתמשים ומערכות.

יישום: SIEM, צבירת יומנים, אנליטיקה של התנהגות משתמשים.

8.23 סינון אינטרנט

דורש סינון אינטרנט למניעת גישה לתוכן זדוני.

יישום: סינון DNS, שרתי פרוקסי, קטגוריזציה של כתובות URL.

8.28 קידוד בטוח

דרישות מפורשות לעקרונות קידוד בטוח בפיתוח תוכנה.

יישום: הנחיות OWASP, ביקורות קוד, SAST/DAST, הכשרת אבטחה.

🔄 מדריך מעבר לארגונים מוסמכים

לוח זמנים למעבר

מועד אחרון: אוקטובר 2025

  • אוקטובר 2022: פרסום ISO 27001:2022
  • אוקטובר 2023: סיום תקופת חסד של שנה אחת (ביקורות חדשות משתמשות בגרסת 2022)
  • אוקטובר 2025: סיום תקופת מעבר של 3 שנים (כל האישורים חייבים להיות תואמים ל-2022)

שלבי המעבר

  1. ניתוח פערים: השוואת בקרות נוכחיות מול נספח A של 2022
  2. עדכון הצהרת ישימות: מיפוי בקרות 2013 למקבילות 2022
  3. יישום בקרות חדשות: טיפול ב-10 הדרישות החדשות
  4. עדכון תיעוד: עדכון מדיניות להתייחס לתקן 2022
  5. ביקורת פנימית: אימות תאימות לדרישות החדשות
  6. ביקורת מעבר: גוף ההסמכה מעריך תאימות ל-2022

אתגרי מעבר נפוצים

  • בקרות אבטחת ענן עשויות לדרוש הערכות ספקים חדשות
  • מודיעין איומים דורש מנויים/תהליכים מתמשכים
  • ניהול תצורה זקוק לאוטומציה
  • מניעת דליפת נתונים עשויה לזקוק לכלים חדשים

💡 עצות מעשיות לארגונים ישראליים

מה שלרוב הארגונים כבר יש

חדשות טובות: רבות מהבקרות "החדשות" מפורמלות שיטות עבודה מומלצות קיימות:

  • מודיעין איומים ← כבר עוקב אחר CVEs וחדשות אבטחה
  • אבטחת ענן ← כבר משתמש ב-AWS/Azure עם אבטחה מסוימת
  • ניהול תצורה ← תשתית כקוד כבר קיימת
  • ניטור ← SIEM או צבירת יומנים כבר פרוסה

מה צריך עבודה

בקרות שבדרך כלל דורשות יישום חדש:

  • תהליך מודיעין איומים פורמלי (לא רק ניטור אד-הוק)
  • הערכות אבטחת ענן מתועדות (לא רק שימוש בשירותי ענן)
  • מניעת דליפת נתונים (עשוי לזקוק לכלי DLP)
  • תקני קידוד בטוח (אבטחת SDLC פורמלית)

השפעת עלות

עבור חברות קטנות ובינוניות בישראל שכבר מוסמכות ל-2013:

  • מאמץ פנימי: 40-80 שעות לניתוח פערים, עדכוני תיעוד, יישום
  • ביקורת מעבר: $2,000-$5,000 (לעתים קרובות משולבת עם ביקורת מעקב)
  • כלים חדשים: $1,000-$3,000 אם קיימים פערים ב-DLP או ניטור

צריך תמיכת מעבר? צור קשר עם Hack23 להערכת פערים ותכנון מעבר המותאם לארגונים ישראליים.

📚 משאבים