נוהל: הקצאת גישת משתמש A9.2.2
מטרה
מטרת נוהל זה היא להבטיח כי הרשאות הגישה של המשתמשים בארגון יוקצבו באופן מבוקר ומאובטח, בהתאם לתפקידם ולצורכיהם העסקיים, ובכך להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית או שימוש לא הולם.
תחום יישום
נוהל זה חל על כל המשתמשים בארגון, לרבות עובדים, לקוחות, ספקים ומבקרים, המקבלים גישה לנכסי המידע של החברה.
הגדרות
- הקצאת גישה: הליך של מתן הרשאות גישה למשתמשים בהתאם לתפקידם ולצורכיהם העסקיים.
- משתמש: כל אדם המקבל גישה לנכסי המידע של הארגון, כולל עובדים, ספקים, לקוחות ומבקרים.
- הרשאות גישה: הרשאות המאפשרות למשתמשים לבצע פעולות מסוימות בנכסי המידע של הארגון, כגון קריאה, כתיבה, עריכה או מחיקה של נתונים.
אחריות
הנהלה:
- אחראית על קביעת מדיניות הקצאת גישה בתחום אבטחת המידע בחברה.
- אחראית על הקצאת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב שוטף אחר ביצוע מדיניות הקצאת גישה ועדכונה במידת הצורך.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות הקצאת גישה, כולל ניהול התהליך ואישור הבקשות.
- אחראי על פיקוח על תהליך הקצאת הגישה וביצוע בדיקות תקופתיות לוודא עמידה במדיניות.
מנהלי מחלקות:
- אחראים על יישום מדיניות הקצאת גישה במחלקותיהם, בהתאם להנחיות ממונה אבטחת המידע.
- אחראים על הגשת בקשות להקצאת גישה עבור עובדיהם.
עובדים:
- אחראים על פנייה בבקשות להקצאת גישה בהתאם לתפקידם ועל שמירה על הרשאותיהם.
- אחראים על דיווח על כל גישה בלתי מורשית או חשש לאי-התאמה בהקצאת גישה.
תהליך
1. בקשה להקצאת גישה
שלב 1: הגשת בקשה
העובד, המנהל או הגורם החיצוני המבקש להקצות גישה ימלא טופס בקשה להקצאת גישה, הכולל פירוט על סוג ההרשאות הנדרשות ותיאור תפקיד המשתמש.
שלב 2: בדיקת בקשה
ממונה אבטחת המידע, או גורם מוסמך מטעמו, יבצע בדיקה של הבקשה, תוך התייחסות לתפקיד המשתמש, לרגישות המידע המבוקש ולמדיניות הקצאת גישה הקיימת בארגון.
2. הקצאת גישה
אם הבקשה מאושרת, ממונה אבטחת המידע או הגורם המוסמך יקצה את ההרשאות הנדרשות למשתמש, תוך ווידוא שהגישה מוגבלת למה שנדרש בלבד.
3. בדיקת גישה
ממונה אבטחת המידע, או גורם מוסמך מטעמו, יבצע בדיקות תקופתיות של הרשאות הגישה המוקצות למשתמשים, על מנת לוודא שהן עדיין רלוונטיות לתפקידם ושאין גישות מיותרות או לא מאושרות.
הנחיות נוספות
- תיעוד: החברה תשמור על תיעוד מסודר של כל הפעילויות הקשורות להקצאת גישה, כולל בקשות, אישורים, ושינויים בהרשאות.
- ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על תהליך הקצאת גישה, כדי לוודא שהרשאות ניתנות ומנוהלות בהתאם למדיניות הארגון ובאופן המגן על נכסי המידע.
- עדכונים ושינויים: מדיניות הקצאת גישה תעודכן בהתאם לשינויים בארגון, בטכנולוגיה או ברגולציות, ותופץ לכל העובדים הרלוונטיים ליישום מיידי.
חשיבות המדיניות
מדיניות הקצאת גישה היא חלק חיוני בתהליכי אבטחת המידע של הארגון, ומבטיחה שמירה על סודיות, שלמות וזמינות המידע, תוך הגנה על הארגון מפני סיכוני סייבר ואיומים פנימיים.