Skip to main content

נוהל: הודעות אלקטרוניות A13.2.3

מטרה

מטרת הנוהל היא להבטיח כי המידע המועבר במערכות הודעות אלקטרוניות של הארגון יהיה מוגן באופן הולם, על מנת למזער את הסיכונים לאבטחת המידע ולמנוע חשיפה או גניבה של מידע רגיש או קריטי.

תחום יישום

הנוהל חל על כל ההודעות האלקטרוניות אשר מכילות מידע רגיש או קריטי עבור הארגון.

הגדרות

  • הודעות אלקטרוניות: הודעות אשר נשלחות או מתקבלות באמצעות דואר אלקטרוני או כל מערכת הודעות אלקטרוניות אחרת המשמשת את הארגון.
  • מידע רגיש או קריטי: מידע אשר חשיפתו או אובדנו עלולים לגרום לנזק לארגון, ללקוחותיו או לעובדיו.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות בנוגע לשימוש בהודעות אלקטרוניות.
  • אחראית על אספקת המשאבים הנדרשים ליישום המדיניות.
  • אחראית על מעקב אחר ביצוע מדיניות זו ועמידתה בהנחיות.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות בנוגע להודעות אלקטרוניות.
  • אחראי על ניהול התהליך והטמעתו בכל מערכות הארגון.

מנהלי מערכות:

  • אחראים על ביצוע המדיניות והבטחת תאימות של מערכות ההודעות האלקטרוניות למדיניות האבטחה.

תהליך

1. קביעת מדיניות בנוגע להודעות אלקטרוניות

הנהלת הארגון תקבע מדיניות ברורה ומפורטת בנוגע לשימוש בהודעות אלקטרוניות, שתכלול את הנושאים הבאים:

  • סוגי המידע שיישלח או יתקבל: זיהוי סוגי המידע הרגיש או הקריטי שייעשה בהם שימוש במערכות הודעות אלקטרוניות.
  • דרכי הגישה להודעות אלקטרוניות: הגדרות ברורות לגבי מי רשאי לגשת למערכות אלו, ומהן הדרכים המאובטחות לגישה.
  • בקרות להגנה על מידע: יישום בקרות ואמצעי אבטחה הנדרשים להגנה על המידע המועבר, כגון הצפנה, אימות זהות המשתמשים, והגנה מפני גישה בלתי מורשית.

2. יישום מדיניות בנוגע להודעות אלקטרוניות

המדיניות שתיקבע תתורגם לפעולות ומשימות ספציפיות שיוטלו על עובדים מורשים, תוך הטמעת כלי עבודה ואמצעי אבטחה מתאימים.

3. מעקב אחר ביצוע מדיניות בנוגע להודעות אלקטרוניות

הנהלת הארגון תבצע מעקב שוטף אחר ביצוע המדיניות, תוך בדיקה של התהליכים והבקרות שהוטמעו, כדי לוודא שהן פועלות כראוי ושכל ההודעות האלקטרוניות המועברות במסגרת הארגון מוגנות כנדרש.

הנחיות נוספות

הארגון ינקוט באמצעים הבאים כחלק מיישום המדיניות:

  • ביצוע בדיקות תקופתיות למערכות ההודעות האלקטרוניות כדי לוודא עמידה במדיניות.
  • הדרכת העובדים לשימוש בטוח בהודעות אלקטרוניות ולזיהוי אפשרי של איומים.
  • עדכון המדיניות במידת הצורך, בהתבסס על סיכונים מתעוררים או שינויים טכנולוגיים.