נוהל: מדיה פיזית בנייוד A8.3.3
מטרה
מטרת נוהל זה היא להבטיח שכל המדיה הפיזית, המכילה מידע רגיש או קריטי לארגון, תהיה מוגנת מפני גישה בלתי מורשית, שימוש לא מותר, או השחתה במהלך נייוד, ובכך להגן על נכסי המידע של החברה.
תחום יישום
נוהל זה חל על כל סוגי המדיה הפיזית, המכילה מידע רגיש או קריטי לארגון, לרבות מסמכים, כרטיסי זכאות, מדיה ניידת, וכל סוג אחר של מדיה פיזית העלולה להיות מועברת או מנוידת.
הגדרות
- מדיה פיזית: כל סוג של מדיה שאיננה מחוברת למערכות מידע פעילות, כגון מסמכים מודפסים, כרטיסי זיכרון, כונני USB, או כרטיסי זכאות.
- מידע רגיש: מידע אשר חשיפתו עלולה לגרום לנזק חמור לארגון, כגון מידע אישי, עסקי, או פיננסי.
- מידע קריטי: מידע אשר חיוני לפעילות השוטפת של הארגון ושעלול לגרום לשיבושים חמורים אם לא יהיה נגיש או ייחשף.
אחריות
הנהלה:
- אחראית על קביעת מדיניות ניוד מדיה פיזית בתחום אבטחת המידע בחברה.
- אחראית על הקצאת המשאבים הנדרשים ליישום מדיניות זו, כולל תמיכה טכנית ואנושית.
- אחראית על מעקב שוטף אחר יישום המדיניות וביצוע תיקונים במידת הצורך.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות ניוד מדיה פיזית בתחום אבטחת המידע בחברה.
- אחראי על ניהול תהליך ניוד המדיה הפיזית, כולל פיקוח על ביצוע ובקרת איכות.
- אחראי על ביצוע בדיקות תקופתיות כדי לוודא שתהליך ניוד המדיה הפיזית מתבצע בצורה נכונה ומאובטחת.
עובדים:
- אחראים על יישום מדיניות ניוד מדיה פיזית בהתאם להנחיות הממונה על אבטחת המידע, כולל הבטחת שמירה על מדיה פיזית במהלך ניוד ושמירה על נהלי אבטחה מחמירים.
תהליך
1. זיהוי מדיה בנייוד
החברה תזהה את כל המדיה הפיזית, המכילה מידע רגיש או קריטי לארגון, אשר עשויה להיות מועברת או מנוידת. שלב זה יכלול מיפוי של כל סוגי המדיה הפיזית העלולה להיות מועברת מחוץ למתחם המאובטח של החברה.
2. סיווג מדיה בנייוד
החברה תסווג את המדיה הפיזית המיועדת לנייוד בהתאם לרגישות המידע הכלול בה, תוך שימוש בסכמת סיווג המידע של החברה.
3. טיפול במדיה בנייוד
החברה תבצע את הפעולות הבאות עבור כל סוג של מדיה פיזית המיועדת לנייוד:
-
מדיה מודפסת:
- התקנת מנגנוני אבטחה פיזיים, כגון נעילה בכספות או ארונות נעולים.
- איסור נשיאת מסמכים רגישים או קריטיים מחוץ למשרדי החברה, למעט במקרים בהם ניתן אישור מפורש מראש.
-
מדיה ניידת:
- התקנת מנגנוני אבטחה אלקטרוניים, כגון סיסמה, קוד PIN, או אמצעי אימות דו-גורמי.
- איסור נשיאת מדיה ניידת המכילה מידע רגיש או קריטי מחוץ למשרדי החברה ללא אישור מראש והנחיות מפורשות לשמירה על אבטחת המדיה במה לך הניידות.
4. בקרה
החברה תבצע בקרה שוטפת על תהליך ניוד המדיה הפיזית, כדי לוודא שהמדיניות מיושמת כראוי ושכל המדיה מנוידת בצורה בטוחה ומאובטחת.
הנחיות נוספות
- תיעוד: החברה תשמור על תיעוד מלא ומסודר של כל הפעילויות הקשורות לניוד מדיה פיזית, כולל אישורי ניוד, אמצעי אבטחה שננקטו, ותוצאות בקרת הניוד.
- ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על תהליכי ניוד המדיה הפיזית כדי לוודא שהמדיה מנוידת בהתאם לנהלים ולמדיניות שנקבעה.
שינוי ועדכון
נוהל זה יעודכן מעת לעת בהתאם לצרכים המשתנים של החברה, שינויים רגולטוריים, או שיפורים פנימיים. כל עדכון יופץ לעובדים הרלוונטיים ויוטמע באופן מיידי.