מדיניות אבטחת מידע

מדיניות אבטחת המידע קובעת את הבסיס להגנה על מידע, מקלה על קבלת החלטות ניהול האבטחה ומכוונת את היעדים הקובעים, מקדמים ומבטיחים את בקרות אבטחת המידע הטובות ביותר. המדיניות מכסה את כל מערכות המידע והמידע כך שתכלול מערכות מידע ומידע המשמשים, מנוהלים או מופעלים על ידי חברה כלשהי באתר זה. מדיניות אבטחת המידע שומרת על סודיות, שלמות וזמינות הנתונים, לגבי סיווג וטיפול במידע וטיפול בהפרות של מדיניות זו.

מדיניות אבטחת המידע מספקת מערך משולב של אמצעי הגנה שיש ליישם באופן אחיד ברחבי האתר שלנו כדי להבטיח סביבת הפעלה מאובטחת לפעילותו.

תכלית

ניהול אבטחת מידע פירושו בחירה הגיונית ויישום יעיל של בקרות מתאימות לצורך הגנה על נכסי מידע קריטיים בארגון. בקרות ותהליכי ניהול, בשילוב עם ניטור לאחר מכן של התאמתם ויעילותם, מהווים את שני המרכיבים העיקריים של תוכנית אבטחת המידע. שלוש המטרות של אבטחת מידע כוללות:

• סודיות: הגנה על מידע רגיש מפני חשיפה לאנשים או מערכות לא מורשים;
• שלמות: שמירה על הדיוק, השלמות והעיתוי של המידע;
• זמינות: הבטחת נגישות המידע והשירותים החיוניים למשתמשים מורשים בעת הצורך.

היקף

מדיניות זו חלה על כל העובדים, הקבלנים, השותפים, המתמחים העובדים בחברתנו. ספקי שירות צד שלישי המספקים שירותי אירוח או כאשר הנתונים מוחזקים מחוץ לשטחי החברה, יצייתו גם הם למדיניות זו.

היקף מדיניות אבטחת מידע זו הוא המידע המאוחסן, מועבר ומעובד בתוך החברה שלנו ונתוני החברה במיקומי מיקור חוץ.

מטרות

מטרת מדיניות אבטחת המידע הינה לספק לחברתנו גישה לניהול סיכוני מידע והנחיות להגנה על נכסי מידע לכלל היחידות, ולאלו החתומים על חוזה למתן שירות

סיווג נכסי מידע

נכסי המידע של החברה מסווגים לארבע קטגוריות: ציבורי, פנימי, סודי ומוגבל. לכל נכסי המידע העיקריים חייב להיות בעלים ממונה שיהיה אחראי על קביעת הליכי אימות והרשאה התואמים את הקטגוריות הבאות, תוך ציון כי:

1. מידע ציבורי יכול להיות זמין או מופץ לציבור הרחב. מידע זה אינו דורש הגנה וכאשר נעשה בו שימוש כמתוכנן תהיה לו השפעה שלילית מועטה עד אפסית על הפעילות, הנכסים או המוניטין של התחייבויות החברה בנוגע לפרטיות המידע.
2. מידע סודי מיועד לשימוש פנימי בלבד שהגישה אליו ניתנת רק לצוות הזקוק לו במהלך ביצוע הפעולות שהן תחת אחריותו בחברה (מידע סודי כולל מידע המוגן על ידי חקיקה של המדינה או התחייבויות חוזיות עסקיות) ודורש הגנות פרטיות ואבטחה.
3. מידע מוגבל שיש לשמור בסודיות מוחלטת שהגישה אליו הינה על בסיס "צריך לדעת" בלבד. דוגמאות לכך כוללות מידע המשפיע על אינטרסים לאומיים ו/או ביטחון לאומי.

כל הצוות צריך להיות מודע לאחריות המשפטית והתאגידית שלו בנוגע לשימוש בלתי הולם, שיתוף או שחרור של מידע לצד אחר. כל צד שלישי המקבל מידע סודי או מוגבל חייב להיות מורשה לעשות זאת ואותו אדם או הארגון שלו חייבים לאמץ אמצעי אבטחת מידע, המבטיחים סודיות ושלמות של נתונים אלה.

יש להגן על מידע סודי כדי למנוע גישה או חשיפה לא מורשית.

מידע מוגבל הוא בעל רמת הרגישות הגבוהה ביותר ומייצג את הסיכון הגבוה ביותר לחברה, למדינה וליחידים במקרה של גישה למידע כזה על ידי גורמים לא מורשים או חשיפה שלו לגורמים לא מורשים. לפיכך, עובדי החברה המטפלים במידע מוגבל או המשתמשים במערכות המאחסנות, משדרות או מבצעות מניפולציות במידע מוגבל נדרשים לשמור על סודיות, שלמות וזמינות של מידע/נתונים כאמור בכל עת.

ניהול אבטחת מידע

ניהול אבטחת מידע מורכב ממנהיגות, מבנים ארגוניים ותהליכים המגנים על מידע ומפחיתים איומי אבטחת מידע הולכים וגדלים

התוצאות הקריטיות של ניהול אבטחת מידע כוללות:

• התאמת אבטחת המידע לאסטרטגיה העסקית לתמיכה ביעדים הארגוניים
• ניהול והפחתת סיכונים וכן הפחתת השפעות פוטנציאליות על משאבי מידע לרמה מקובלת
• ניהול ביצועי אבטחת מידע על ידי מדידה, ניטור ודיווח של מדדי ניהול אבטחת מידע כדי להבטיח את השגת היעדים הארגוניים
• אופטימיזציה של השקעות באבטחת מידע לתמיכה ביעדים ארגוניים. חשוב לקחת בחשבון את הצורך הארגוני והיתרונות של ניהול אבטחת מידע.

אחריות

מחלקת השיווק אחראית על תוכן האתר ועל כך שהחומרים בו עומדים בדרישות החוק והמדיניות.

מחלקת ה-IT אחראית על האבטחה, הפונקציונליות והתשתית של האתר. מנהלי המערכת יפקחו על אתר האינטרנט שלנו לגבי זמן תגובה וכן לצורך פתרון כל בעיה שתתעורר.

מודעות ותקשורת

חיוני שכל ההיבטים של אבטחת מידע, לרבות סודיות, פרטיות ונהלים הקשורים לגישה למערכת, ישולבו בהליכי קליטת עובדים רשמיים ויועברו לצוות הקיים על בסיס קבוע.

עם תחילת ההעסקה, יש ליידע את חברי הצוות שאסור להם לחשוף כל מידע שייתכן שתהיה להם גישה אליו במהלך הרגיל של העסקתם. כמו כן, יש ליידע את חברי הצוות כי אסור להם לבקש גישה לנתונים שאינם נדרשים להם לצורך מילוי תפקידיהם