"אל תדאג, זה בענן" – המשפט המסוכן ביותר בעולם האחסון (ולמה ISO 27017 הוא התשובה)

המיתוס שכולם מאמינים בו

יש משפט שאנחנו שומעים כל הזמן, בפגישות, בשיחות תמיכה, בקבוצות פייסבוק: "האתר שלי בענן, אז הוא מאובטח."

בואו נעצור על זה רגע. "ענן" זה לא מקום קסום ומוגן. ענן זה השרתים של מישהו אחר. וכשהמידע שלכם יושב על השרתים של מישהו אחר, נכנסת לתמונה השאלה החשובה באמת  זו שרוב האנשים אף פעם לא שואלים:

מי אחראי על מה?

מי מצפין? מי מגבה? מי מוחק את המידע שלכם כשאתם עוזבים והאם הוא באמת נמחק? מי מפריד בינכם לבין הלקוח בשרת השכן? כשכל צד בטוח ש"הצד השני מטפל בזה", נוצר בדיוק החור שדרכו קורות פריצות. יש לזה אפילו שם בתעשייה: כשל מודל האחריות המשותפת.

בשביל לסגור את החור הזה נולד ISO 27017.

מה זה ISO 27017 בשתי דקות

אם קראתם את המאמר הקודם בסדרה על ISO 27001, אתם כבר יודעים שמדובר בתקן הבסיס לניהול אבטחת מידע. ISO/IEC 27017 הוא הקומה שנבנית מעליו: תקן ייעודי לאבטחת מידע בשירותי ענן.

התקן לוקח את בקרות האבטחה המוכרות ומתאים אותן לעולם הענן, ובנוסף מוסיף בקרות שקיימות רק שם. בין השאר הוא מסדיר:

  • חלוקת אחריות מוגדרת – לכל בקרה נקבע במפורש מה באחריות ספק הענן ומה באחריות הלקוח. לא עוד "חשבתי שאתם עושים את זה".
  • הפרדה בין לקוחות (Multi-Tenancy) – בסביבה שבה כמה לקוחות חולקים תשתית, התקן דורש מנגנוני בידוד שמונעים מלקוח אחד "לראות" או להשפיע על שכנו. למי שרוצה להבין את הסיכון הזה לעומק, כתבנו בעבר על מה קורה מאחורי הקלעים של אחסון שיתופי.
  • מחיקת מידע והחזרת נכסים – מה קורה למידע שלכם כשההתקשרות מסתיימת. כן, גם לזה יש בקרה.
  • שקיפות תפעולית – היכן המידע מאוחסן, מי מהצד של הספק יכול לגשת אליו לצרכים תפעוליים, ואיך מנוטרת סביבת הענן.
  • הגנה על הסביבה הווירטואלית – הקשחת מכונות וירטואליות, ניהול תצורה ובקרות ייעודיות לשכבת הווירטואליזציה.

הבעיה: כמעט אף אחד בשוק המקומי לא מחזיק בזה

וכאן נגיע לחלק הפחות נוח עבור השוק. תשאלו את ספק האחסון או הענן שלכם שאלה אחת פשוטה: "אתם מוסמכים ISO 27017?"

ברוב המוחלט של המקרים תקבלו שתיקה, נושא שיחה חדש, או "אנחנו עובדים לפי הסטנדרטים המחמירים ביותר" משפט שאומר בדיוק כלום, כי אף גורם חיצוני לא בדק אותו.

אנחנו ב-SPD עברנו את הביקורת הזו. גוף הסמכה חיצוני בחן איך אנחנו מנהלים את סביבות הענן, השרתים הווירטואליים והאחסון השיתופי שלנו – ואישר. וזה, בסופו של דבר, כל ההבדל בין סיסמה שיווקית לבין תעודה.

מה יוצא לכם מזה בפועל

  • אתם יודעים בדיוק על מה אתם אחראים. חלוקת אחריות ברורה אומרת שאתם יודעים מה עליכם לאבטח (סיסמאות, תוספים, קוד) ומה מכוסה על ידינו (תשתית, בידוד, ניטור). בלי שטחי הפקר.
  • השכן בשרת הוא לא סיכון שלכם. מנגנוני ההפרדה מבוקרים ונבדקים, לא מובטחים בעל-פה.
  • יתרון מול הלקוחות שלכם. אם אתם סוכנות, בית תוכנה או עסק שמחזיק מידע של אחרים "האתרים שלנו מאוחסנים אצל ספק מוסמך ISO 27017" זה משפט ששווה זהב במכרזים, בשאלוני אבטחה ומול מחלקות רכש.

📚 המאמר הזה הוא חלק מסדרת התקנים של SPD:
🔗 ISO 27001 – ניהול אבטחת מידע
✅ ISO 27017 – אבטחת מידע בענן (אתם כאן)
🔗 ISO 27701 – ניהול פרטיות המידע

שאלות נפוצות

יש לי סתם אתר וורדפרס באחסון שיתופי. גם אותי זה נוגע?

לחלוטין. אחסון שיתופי הוא סביבת Multi-Tenant קלאסית – עשרות לקוחות על אותה תשתית. הבקרות של ISO 27017 על בידוד בין לקוחות רלוונטיות אליכם אולי יותר מלכל אחד אחר.

מה ההבדל בין ISO 27001 ל-ISO 27017?

ISO 27001 הוא תקן הבסיס לניהול אבטחת מידע בארגון. ISO 27017 בנוי מעליו ומוסיף בקרות והנחיות ייעודיות לסביבת ענן, כולל חלוקת אחריות בין ספק ללקוח. ספק שמחזיק בשניהם מנהל אבטחה גם ברמת הארגון וגם ברמת שירותי הענן עצמם.

איך בודקים שספק באמת מוסמך?

פשוט: מבקשים לראות את התעודה, כולל שם גוף ההסמכה, היקף ההסמכה (Scope) ותוקף. ספק שמוסמך באמת ישלח אותה בשמחה תוך דקות.


רוצים ענן שנבדק, לא רק ענן שמובטח? צוות SPD Hosting זמין עבורכם בטלפון 03-6221258 – איפה שסייבר פוגש אחסון.

יולי 7, 2026

תוכן עניינים

לכתבות נוספות:

error: Content is protected !!