נוהל: ניהול הרשאות גישה גבוהות A9.2.3
מטרה
מטרת נוהל זה היא להבטיח כי הקצאת ושימוש בהרשאות גישה גבוהות בארגון יהיו מבוקרים, מוגבלים ומנוהלים בצורה מאובטחת, על מנת להגן על נכסי המידע הרגישים של הארגון מפני גישה לא מורשית או שימוש בלתי תקין.
תחום יישום
נוהל זה חל על כל ההרשאות הגישה הגבוהות בארגון, לרבות הרשאות גישה לנכסי מידע רגישים כגון מידע פיננסי, מידע אישי, מידע עסקי סודי, ומערכות ליבה קריטיות.
הגדרות
- הרשאות גישה גבוהות: הרשאות המאפשרות למשתמשים לבצע פעולות מסוימות בנכסי מידע רגישים, כולל גישה, שינוי, מחיקה או העברת מידע רגיש.
- נכסי מידע רגישים: נכסי מידע אשר חשיפתם, אובדנם או שינוי בלתי מורשה בהם עלולים לגרום לנזק חמור לארגון, לעובדיו, ללקוחותיו או לשותפיו העסקיים.
אחריות
הנהלה:
- אחראית על קביעת מדיניות ניהול הרשאות גישה גבוהות בתחום אבטחת המידע בארגון.
- אחראית על הקצאת המשאבים הדרושים ליישום ומעקב אחר המדיניות.
- אחראית על סקירת מדיניות זו ויישום שינויים במידת הצורך, בהתאם לדרישות העסקיות והאבטחתיות של הארגון.
ממונה אבטחת מידע:
- אחראי על יישום המדיניות, כולל ניהול ובקרה על תהליך הקצאת והשימוש בהרשאות גישה גבוהות.
- אחראי על מתן הדרכה והנחיות למנהלי מחלקות ולעובדים בנוגע לניהול ושימוש בהרשאות גישה גבוהות.
- אחראי על ביצוע ביקורות תקופתיות ובקרות יומיות על הרשאות הגישה.
מנהלי מחלקות:
- אחראים על יישום המדיניות במחלקותיהם, בהתאם להנחיות ממונה אבטחת המידע.
- אחראים על זיהוי הצורך בהרשאות גישה גבוהות למשתמשים תחת אחריותם והגשת בקשות מתאימות.
עובדים:
- אחראים על השימוש המורשה והנכון בהרשאות הגישה שניתנו להם, בהתאם למדיניות הארגון ולהנחיות ממונה אבטחת המידע.
- מחויבים לדווח מיידית על כל גישה או שימוש בלתי מורשה בהרשאות גישה גבוהות.