מה זה CISO as a Service ולמה הארגון שלי צריך את זה?

CISO as a Service (CISOaaS) הוא שירות שבו ארגון מקבל מנהל אבטחת מידע ראשי במשרה חלקית, ללא הצורך לגייס עובד קבוע. Cybertis מספקת CISOaaS לארגונים שרוצים ניהול אסטרטגי של אבטחת מידע, עמידה ברגולציות, ויכולת ייצוג מול לקוחות ומשקיעים – בעלות נמוכה ב-60% ממשרה קבועה.

כמה זמן לוקח לקבל תעודת ISO 27001?

תהליך קבלת תעודת ISO 27001 לוקח בממוצע 6-12 חודשים. Cybertis מציעה מסלול מואץ של 4-6 חודשים לארגונים קטנים ובינוניים, הכולל ניתוח פערים, בניית מדיניות, הטמעה, הכשרת עובדים, ואוגמנטציה לביקורת חיצונית.

האם חברת SaaS ישראלית חייבת לעמוד ב-GDPR?

כן – אם החברה מעבדת מידע של אזרחי האיחוד האירופי, היא כפופה ל-GDPR ללא קשר למיקום הפיזי. רוב חברות ה-SaaS הישראליות שמוכרות בשווקי אירופה חייבות לעמוד ב-GDPR, כולל מינוי DPO וניהול הסכמי עיבוד נתונים (DPA).

מה ההבדל בין ISO 27001 ל-SOC 2?

ISO 27001 הוא תקן בינלאומי מוכר בעולם כולו. SOC 2 הוא מסגרת ביקורת אמריקאית, נפוצה בשוק הצפון-אמריקאי. חברות ישראליות שמכוונות לאירופה בוחרות ISO 27001, ואלו שמכוונות לאמריקה בוחרות SOC 2. Cybertis מסייעת לבחור את המסגרת הנכונה.

האם Cybertis עובדת גם עם סטארטאפים קטנים?

כן – חלק גדול מלקוחות Cybertis הם סטארטאפים בשלבי Seed עד Series B. Cybertis מציעה חבילות מותאמות לסטארטאפים הכוללות מדיניות בסיסית, הכשרת עובדים, ומענה לשאלות אבטחה בתהליכי מכירה ו-due diligence.

5 צעדים להתכוננות ל-ISO 27001 בחברת SaaS

ISO 27001 עבר בשנים האחרונות ממעמד של "נחמד להיות" ל"חובה כדי לגדול". לקוחות ארגוניים, שותפים בינלאומיים ומשקיעים מבקשים לראות את התעודה כהוכחה לבשלות אבטחתית. אבל התהליך נראה מבחוץ כמו ג'ונגל. בפוסט הזה אנחנו מפרקים אותו ל-5 שלבים פרקטיים שכל חברת SaaS יכולה לאמץ.

מה זה ISO 27001?

ISO 27001 הוא תקן ניהול בינלאומי לאבטחת מידע שמגדיר מסגרת – ISMS (Information Security Management System) – שמחייבת ארגונים לזהות סיכונים, לטפל בהם, ולהוכיח ניהול שוטף. הגרסה הנוכחית היא ISO 27001:2022 עם 93 בקרות.

שלב 1 – הערכת פערים (Gap Assessment)

לפני הכל, צריך לדעת איפה אתם עומדים. הערכת פערים מול דרישות התקן תיתן תמונה ברורה של המצב הקיים. לרוב חברות SaaS יגלו שיש להן בקרות טכניות טובות – אבל תיעוד, מדיניות, ותהליכים פורמליים חסרים לחלוטין.

מה כבר קיים ועובד – בקרות טכנולוגיות, הרשאות, גיבויים
מה חסר לגמרי – מדיניות, נהלים, תיעוד
מה קיים אבל לא מתועד – תהליכים לא פורמליים
פערים קריטיים לעומת פערים משניים

שלב 2 – הגדרת היקף (Scope)

זה אחד הצעדים הקריטיים ביותר – ולעיתים גם המוזנח ביותר. לא חייבים לכסות את כל הארגון בתעודה. ניתן להגדיר היקף ממוקד: מוצר ספציפי, מחלקה, או מערכות ייצור בלבד. היקף נכון חוסך חודשים של עבודה ומקצר משמעותית את הדרך לתעודה.

חברות SaaS רבות מגדירות את ה-Scope סביב מערכת הייצור הראשית ותהליכי הפיתוח – מה שמקנה ביטחון ללקוחות ארגוניים מבלי להכביד על כלל הארגון.

שלב 3 – ניהול סיכונים (Risk Assessment)

ISO 27001 מחייב תהליך פורמלי של ניהול סיכונים. זה אומר לזהות נכסים קריטיים, להגדיר את האיומים והפגיעויות הרלוונטיות, להעריך השפעה ותכיפות, ולבנות תוכנית טיפול לכל סיכון מהותי. זה לא חייב להיות מסמך ענק – גיליון אקסל מפורט מספיק בשלב הראשון.

1
מיפוי נכסי מידע – בסיסי נתונים, קוד מקור, נתוני לקוחות, API keys
2
זיהוי איומים – מתקפות חיצוניות, שגיאות אנוש, כשלי ספקים
3
הערכת סיכון – מכפלת ההשפעה בסבירות לכל שילוב
4
תוכנית טיפול – Accept / Mitigate / Transfer / Avoid

שלב 4 – מסגרת מדיניות ובקרות

ISO 27001:2022 דורש מסמכי מדיניות לתחומים מרכזיים: אבטחת מידע, גישה ומשתמשים, ניהול אירועים, המשכיות עסקית ועוד. חברות SaaS רבות מתעלות ממשימה הזו כי נראה שהיא "בירוקרטית" – אבל המדיניות הופכת להיות הבסיס שעליו בודקים אתכם בביקורת.

מדיניות אבטחת מידע ראשית (Information Security Policy)
מדיניות ניהול גישה (Access Control Policy)
מדיניות ניהול אירועי אבטחה
מדיניות גיבויים והמשכיות עסקית
מדיניות ניהול ספקים ושרשרת אספקה

שלב 5 – ביקורת פנימית ומוכנות להסמכה

לפני שמזמינים את גוף ההסמכה החיצוני, מבצעים ביקורת פנימית – סימולציה מלאה של הביקורת החיצונית. זה השלב שחושף את הממצאים האחרונים ומאפשר לתקן אותם בצורה מבוקרת. תהליך ביקורת ההסמכה עצמו מחולק לשני שלבים: Stage 1 (בדיקת תיעוד) ו-Stage 2 (ביקורת יישום).

כמה זמן לוקח?

לחברת SaaS בשלב ראשוני, ציר הזמן הסביר הוא 6-9 חודשים. ארגונים עם בשלות אבטחתית גבוהה יכולים לקצר ל-4-5 חודשים עם ליווי מקצועי.

ISO 27001 הוא לא פרויקט חד-פעמי – הוא מחויבות לשיפור מתמיד. אבל ההשקעה מחזירה את עצמה: עסקאות שנפתחות, ביטוח סייבר בתנאים טובים יותר, ואמון לקוחות שמתורגם לעסקאות גדולות יותר.

ISO 27001SaaSISMSהסמכה

5 צעדים להתכוננות ל-ISO 27001 בחברת SaaS

שלב 1 – הערכת פערים (Gap Assessment)

שלב 2 – הגדרת היקף (Scope)

שלב 3 – ניהול סיכונים (Risk Assessment)

שלב 4 – מסגרת מדיניות ובקרות

שלב 5 – ביקורת פנימית ומוכנות להסמכה

מאמרים נוספים שיכולים לעניין אתכם

SOC 2 Type II לעומת ISO 27001: מה נכון לחברת SaaS שלך?

ISO 27001:2022 – כל השינויים שצריכים לדעת (לעומת 2013)

90 הימים לפני ביקורת SOC 2 Type II: צ'קליסט מלא

מוכנים לדיון על האבטחה של הארגון שלכם?