EnglishRussian

שישי , כ"ז סיוון תשפ"ו

LIVE

accessibility-icon
share-icon
קרדיט: FREEPIK
קרדיט: FREEPIK

אבטחת מידע לעסקים - רגולציות ותקנים

ממומן

ממומן

ו תמוז ה'תשפג (25.06.23)

0

like

0

dislike

בשיתוף חברת Nextep וחברת Hermeticon

כמנכ"ל, אבטחת המידע של החברה שלך יכולה להיראות כמו משימה מרתיעה. מדובר על תחום שמזוהה עם טכנולוגיות קצה, ולוחמה כנגד מומחי סייבר. בפועל, להגנת הסייבר יש כלים טובים ופופולריים שניתן ליישם, ובמספר פעולות בסיסיות ובהנחיית מומחים, ניתן לשפר את ההגנה מבלי להיכנס לתקרות כבדות.

כמו כן, חלק נרחב מתחומי הפעילות העסקיים, נתונים לדרישות רגולציה בתחום אבטחת המידע והפרטיות, וכדאי לזהות מה הרגולציה שחלה על הארגון, כדי ליישר קו עם הדרישות.

כדאי לדעת שחלק מהרגולציות מחייבות, למשל תקנות הגנת הפרטיות הישראליות, או דרישות סקטוריאליות (למשל לשוק הביטוח או הפיננסים), ובמקביל, חלק מהרגולציות אינן מחייבות מתוקף חוק, אך נדרשות ע"י לקוחות במסגרת התקשרות עסקית.

ISO 27001: אבי תקני אבטחת המידע

ISO 27001 הוא כמו "חוברת הוראות" לשמירה על לנתוני החברה שלך. זהו תקן בינלאומי שעוזר לך לנהל ולשפר את נוהלי אבטחת המידע שלך. ISO 27001 מכסה הכל, מהערכת סיכונים ויישום בקרות אבטחה ועד לטיפול באירועי אבטחת מידע. קבלת אישור ISO 27001 מראה שאתה מתייחס לאבטחת מידע ברצינות ומעניק ללקוחות שלך שקט נפשי, ומכאן שיש לו ערך שיווקי.

SOC 2: אמינות עבור חברות מוכוונות שירות

פועלים בשוק האמריקאי? דמיינו את SOC 2 כתג האמון של החברה שלכם. זהו תקן ביקורת המתמקד בארגוני שירות. SOC 2 בודק אם הבקרות שלך לגבי אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות עומדות בקנה אחד עם הסטנדרטים הגבוהים. זהו תקן פופולארי מאוד בקרב חברות Start up, וחברות טכנולוגיה.

GDPR: שמירה על פרטיות הנתונים עבור אזרחי האיחוד האירופי

GDPR הוא כמו שומר הסף להגנה על נתונים אישיים של אזרחים באיחוד האירופי (EU). הוא קובע כללים כיצד אתה מטפל במידע האישי של אזרחי האיחוד האירופי. חשבו על הסכמה, התראות על הפרת נתונים, פרטיות בשיתוף הנתונים, ועיגון הזכויות של הפרט מול ספקי שירות. עמידה ב  GDPR הוא חיוני אם אתה מחזיק או בעל גישה לנתונים של אזרחי האיחוד האירופי, גם אם החברה שלך אינה באיחוד האירופי. הפרה של-GDPR עלולה להוביל לקנסות גבוהים מטעם בתי הדין של האיחוד.

HIPAA: הכלי להגנה על מידע רפואי

אם החברה שלך עוסקת במידע רפואי ופועל בשוק האמריקאי- אז HIPAA כדאי לבדוק האם הרגולציה חלה עליך. HIPAA מבטיח שספקי שירותי בריאות, מבטחים ושותפיהם העסקיים מטפלים בנתוני בריאות רגישים בזהירות. HIPAA דורש אמצעי הגנה, בקרות מנהליות, אבטחה פיזית והודעות על הפרות. ציות ל-HIPAA מגן על פרטיות המטופל מצד אחד, ועליך כעסק מצד שני.

PCI-DSS: סליקה בכרטיס אשראי

אם העסק שלך מעבד תשלומים בכרטיס אשראי, PCI-DSS הוא תקן מחייב. זהו תקן אבטחת הנתונים של תעשיית הסליקה. PCI-DSS מוודא שאתה מטפל בנתוני בעל הכרטיס בצורה מאובטחת, ומגן עליך וגם על הלקוחות שלך מפני רמאיות. עמידה ב-PCI-DSS פירושה עמידה בדרישות ספציפיות כמו רשתות מאובטחות, סיסמאות חזקות, הצפנה ובדיקות רגילות.

תקנות הגנת הפרטיות הישראליות

בדומה ל GDPR האירופאי, כנגזרת של חוק הגנת הפרטיות בישראל קיימת שורה של תקנות מחייבות. למעשה, כל ארגון שמחזיק במידע פרטי, נדרש לעמוד בתקנות. משרד המשפטים באמצעות הרשות להגנת הפרטיות, מבצע פיקוחי רוחב על חברות ומפרסם ממצאים על הפרות. עיקר הדרישות בתקנות מכוונות לאופן בו העסק מאבטח את מאגרי המידע הכוללים מידע פרטי.

ככל שעולם הטכנולוגיה מתפתח ואיתו איומי הסייבר, כך רגולטורים בעולם מנסחים רגולציות שונות בהתאם לסיכונים. כיוון שישנם ארגונים הפועלים בשווקים שונים, חלקם חשופים למספר רגולציות. על מנת לבחון את הצורך בצורה מיטבית כדאי להתייעץ עם מומחים שמכירים את כלל הדרישות ומסוגלים לכוון לפתרון הנכון לעסק שלך.

*** חברת Nextep  מלווה ארגונים להטמעה ויישום תהליכי תקינה ורגולציה. חברת Hermeticon הינה הזרוע הטכנולוגית מבית Nextep ומעניקה ללקוחותיה שירותים טכנולוגיים מתקדמים בשילוב מומחים מתחומי הרגולציה והמשפט.

עקבו אחרינו גם ב-Google News