Skip to main content

נוהל: ניהול מדיה נתיקה A8.3.1

מטרה

מטרת נוהל זה היא להבטיח כי כל המדיה הנתיקה או הלא בשימוש, אשר מכילה מידע רגיש או קריטי לארגון, תטופל באופן בטוח ומבוקר, בהתאם לרגישות המידע הכלול בה, ובכך למנוע סיכוני אבטחה פוטנציאליים.

תחום יישום

נוהל זה חל על כל סוגי המדיה הנתיקה או הלא בשימוש, אשר מכילה מידע רגיש או קריטי לארגון, כולל מדיה אלקטרונית, מדיה מודפסת, מדיה ניידת, וכל סוג אחר של מדיה שעלול להכיל מידע רגיש.

הגדרות

  • מדיה נתיקה: מדיה אשר אינה מחוברת למערכות מידע פעילות, כולל התקני אחסון חיצוניים, דיסקים, כונני USB, ועוד.
  • מידע רגיש: מידע אשר חשיפתו עלולה לגרום לנזק חמור לארגון, כגון מידע אישי, עסקי, או פיננסי.
  • מידע קריטי: מידע אשר חיוני לפעילות השוטפת של הארגון ושעלול לגרום לשיבושים חמורים אם לא יהיה נגיש או יאבד.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות ניהול מדיה נתיקה בתחום אבטחת המידע בחברה.
  • אחראית על הקצאת המשאבים הנדרשים ליישום מדיניות זו, כולל תמיכה טכנית ואנושית.
  • אחראית על מעקב שוטף אחר יישום המדיניות וביצוע תיקונים במידת הצורך.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות ניהול מדיה נתיקה בתחום אבטחת המידע בחברה.
  • אחראי על ניהול תהליך ניהול מדיה נתיקה, כולל פיקוח על ביצוע ובקרת איכות.
  • אחראי על ביצוע בדיקות תקופתיות כדי לוודא שטיפול במדיה הנתיקה מתבצע בהתאם למדיניות.

מנהלי מחלקות:

  • אחראים על יישום מדיניות ניהול מדיה נתיקה במחלקותיהם, בהתאם להנחיות הממונה על אבטחת המידע.
  • מחויבים לוודא שכל המדיה הנתיקה בתחום אחריותם מזוהה, מסווגת ומטופלת בהתאם להליכים שנקבעו.

תהליך

1. זיהוי מדיה נתיקה

החברה תזהה ותמפה את כל המדיה הנתיקה או הלא בשימוש, אשר מכילה מידע רגיש או קריטי לארגון. תהליך זה יכלול איתור מדיות פיזיות ואלקטרוניות העלולות להוות סיכון אם לא ינוהלו כראוי.

2. סיווג מדיה נתיקה

החברה תסווג את המדיה הנתיקה או הלא בשימוש בהתאם לרגישות המידע הכלול בה. הסיווג יבוצע על פי קריטריונים קבועים מראש, המותאמים למדיניות האבטחה של החברה.

3. טיפול במדיה נתיקה

החברה תבצע את הפעולות הבאות עבור כל סוג של מדיה נתיקה, בהתאם לסיווג שלה:

  • מדיה אלקטרונית:

    • מחיקה פיזית של המידע באמצעות כלים מתאימים.
    • מחיקת המידע באופן אלקטרוני, תוך שימוש בטכניקות מאובטחות (כגון מחיקה מרובה).

  • מדיה מודפסת:

    • גריסת המסמכים באמצעים מאובטחים.
    • שריפת המסמכים במידת הצורך, בהתאם למדיניות החברה.

  • מדיה ניידת:

    • מחיקה של כל המידע מהמדיה באמצעות כלים מתאימים.
    • השמדה פיזית של המדיה, במידה ולא ניתן להשתמש בה מחדש.

4. בקרה

החברה תבצע בקרה שוטפת על תהליך ניהול המדיה הנתיקה כדי לוודא שהמדיניות מיושמת כראוי ושאין חריגות בהליכי הטיפול.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד מלא ומסודר של כל הפעילויות הקשורות לניהול מדיה נתיקה, כולל פירוט על תהליכי הזיהוי, הסיווג והטיפול.
  • ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על ניהול המדיה הנתיקה כדי לוודא שהמדיה מטופלת בהתאם לנהלים ולמדיניות שנקבעה.

שינוי ועדכון

נוהל זה יעודכן מעת לעת בהתאם לצרכים המשתנים של החברה, שינויים רגולטוריים, או שיפורים פנימיים. כל עדכון יופץ לעובדים הרלוונטיים ויוטמע באופן מיידי.