נתחיל בשאלה לא נעימה
מתי בפעם האחרונה שאלתם את חברת האחסון שלכם: "מי בדק אתכם?"
לא "כמה נפח יש בחבילה" ולא "כמה עולה SSL". מי, גוף חיצוני ובלתי תלוי, נכנס אליכם למשרדים, פתח את הנהלים, בחן את השרתים, תחקר את העובדים ואישר שאתם באמת עושים את מה שאתם מספרים בדף הבית?
אצל רוב חברות האחסון בישראל התשובה היא: אף אחד. "אבטחה ברמה הגבוהה ביותר" זה משפט שיווקי שכל אחד יכול לכתוב. הסמכת ISO זה משהו שצריך להוכיח כל שנה מחדש.
אנחנו ב-SPD מחזיקים בשלוש הסמכות ISO בינלאומיות: ISO 27001, ISO 27017 ו-ISO 27701. במאמר הזה, הראשון בסדרה, נצלול לתקן הבסיס – זה שבלעדיו שני האחרים לא קיימים.
אז מה זה בעצם ISO 27001?
ISO/IEC 27001 הוא התקן הבינלאומי המוביל בעולם לניהול אבטחת מידע. שימו לב לניסוח: לא "רשימת מוצרי אבטחה" אלא מערכת ניהול אבטחת מידע ISMS (Information Security Management System).
מה ההבדל? חומת אש אפשר לקנות. אנטי-וירוס אפשר להתקין. אבל ISMS זו שיטת עבודה שמקיפה את כל הארגון: אנשים, תהליכים וטכנולוגיה. התקן דורש מהארגון:
- למפות את כל נכסי המידע – לדעת בדיוק איזה מידע יש, איפה הוא יושב ומי ניגש אליו.
- לבצע ניהול סיכונים שיטתי – לזהות איומים, להעריך את הנזק הפוטנציאלי ולטפל בהם לפי סדר עדיפויות, לא לפי תחושת בטן.
- ליישם בקרות אבטחה – הגרסה העדכנית של התקן (ISO 27001:2022) מגדירה 93 בקרות בארבעה תחומים: בקרות ארגוניות, אנושיות, פיזיות וטכנולוגיות. מבקרת גישה והצפנה ועד אבטחה פיזית של חדרי שרתים וניהול אירועי סייבר.
- להשתפר כל הזמן – התקן בנוי על מעגל של תכנון, ביצוע, בדיקה ותיקון. אבטחה היא לא פרויקט שנגמר, היא שגרה.
הרגע שבו נכנס המבקר
וכאן החלק שהופך את זה מ"מסמך יפה" ל"הוכחה": את ההסמכה לא מעניקים לעצמך. גוף הסמכה חיצוני ומוסמך מבצע ביקורת מקיפה – בוחן נהלים, בודק יישום בפועל, מראיין עובדים ומחפש פערים. וההסמכה גם לא נצחית: היא כפופה לביקורות מעקב תקופתיות ולתהליך הסמכה מחודש. ארגון שנרדם – מאבד את התעודה.
במילים אחרות: כשאתם רואים ISO 27001 אצל ספק, אתם יודעים שמישהו שאין לו שום אינטרס לרצות אותנו בדק ואישר.
רגע, ולמה זה משנה לאתר שלי?
כי האתר שלכם יושב על התשתית שלנו. וזה אומר שרמת האבטחה של האתר שלכם לעולם לא תהיה גבוהה יותר מרמת האבטחה של ספק האחסון שלכם. תוכלו להשקיע בתוספי אבטחה, בסיסמאות חזקות וב-WAF אבל אם אצל הספק אין נהלי גישה מסודרים, אין בקרה על מי נכנס לחדר השרתים ואין תהליך מסודר לטיפול באירועים, בניתם דלת פלדה בקיר מקרטון.
בפועל, ISO 27001 אצל ספק האחסון שלכם מתורגם ל:
- מי נוגע בשרת שלכם – עקרון ההרשאות המינימליות: כל עובד ניגש רק למה שהוא חייב לתפקידו, וכל גישה מתועדת.
- מה קורה כשיש אירוע – תהליך תגובה מוגדר, מתורגל ומתועד. לא אלתור בשלוש בלילה. אצלנו זה מתחבר ישירות ל-SOC שעובד מסביב לשעון.
- המשכיות עסקית – גיבויים, שרידות והתאוששות מאסון הם לא "פיצ'ר" אלא דרישת תקן מבוקרת.
- וגם הרגולציה שלכם – אם העסק שלכם כפוף לתיקון 13 לחוק הגנת הפרטיות או עובד מול לקוחות באירופה, בחירה בספק מוסמך היא חלק מהוכחת האחריותיות (Accountability) שלכם עצמכם.
השורה התחתונה
בשוק שבו כולם כותבים "אבטחה מתקדמת", ההבדל האמיתי הוא בין מי שמצהיר לבין מי שמוכיח. ISO 27001 הוא ההוכחה והוא רק הבסיס. בשני המאמרים הבאים בסדרה נראה איך בנינו על הבסיס הזה שתי קומות נוספות: אבטחת ענן ופרטיות.
📚 המאמר הזה הוא חלק מסדרת התקנים של SPD:
✅ ISO 27001 – ניהול אבטחת מידע (אתם כאן)
🔗 ISO 27017 – אבטחת מידע בענן
🔗 ISO 27701 – ניהול פרטיות המידע
שאלות נפוצות
מה ההבדל בין "עומדים בדרישות ISO 27001" לבין "מוסמכים ISO 27001"?
הבדל של שמיים וארץ. "עומדים בדרישות" זו הצהרה עצמית שאף אחד לא בדק. הסמכה היא תעודה שהונפקה על ידי גוף הסמכה חיצוני לאחר ביקורת בפועל, ונשמרת רק בביקורות מעקב מתמשכות. תמיד בקשו לראות את התעודה.
האם ISO 27001 מבטיח שלא תהיה פריצה?
אף גורם רציני לא יבטיח "אפס פריצות" – ומי שמבטיח, כדאי לחשוד בו. מה שהתקן כן מבטיח: שהסיכונים מנוהלים באופן שיטתי, שההגנות מיושמות ומבוקרות, ושאם קורה אירוע יש תהליך מסודר לזיהוי, בלימה והתאוששות מהירה.
ההסמכה רלוונטית גם ללקוח עם אתר קטן?
במיוחד. עסק גדול יכול להעסיק צוות אבטחה משלו; עסק קטן נשען כמעט לחלוטין על ספק האחסון. ההסמכה נותנת לכם ברמת חבילת אחסון בסיסית את אותה תשתית מבוקרת שמקבל ארגון גדול.
רוצים לדבר עם ספק אחסון שנבדק והוכיח? צוות SPD Hosting זמין עבורכם בטלפון 03-6221258 – איפה שסייבר פוגש אחסון.


