נוהל: ניהול מידע אימות סודי של משתמשים A9.2.4
מטרה
מטרת נוהל זה היא להבטיח כי ההקצאה, האחסון והשימוש במידע אימות סודי של משתמשים בארגון יהיו מבוקרים, מאובטחים ומנוהלים באמצעות תהליכים רשמיים, על מנת להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית או שימוש לרעה.
תחום יישום
נוהל זה חל על כל מידע אימות סודי של משתמשים בארגון, כולל אך לא מוגבל לסיסמאות, קוד PIN, אמצעי אימות דו-גורמי, ומידע אחר המשמש לאימות זהות משתמ שים.
הגדרות
- מידע אימות סודי: כל מידע המשמש לאימות זהות של משתמשים, כגון סיסמאות, קוד PIN, ושיטות אימות דו-גורמי.
- משתמש: כל אדם המקבל גישה לנכסי מידע של הארגון, לרבות עובדים, ספקים, לקוחות, ושותפים עסקיים.
- ניהול מידע אימות סודי: תהליך יצירה, אחסון, שימוש וניהול הרשאות גישה למידע אימות סודי של משתמשים.
אחריות
הנהלה:
- אחראית על קביעת מדיניות ניהול מידע אימות סודי של משתמשים, כולל הגדרות, נהלים ותהליכים ברורים.
- אחראית על אספקת המשאבים הדרושים ליישום המדיניות ועמידה בהנחיות.
- אחראית על סקירת מדיניות זו ועדכונה בהתאם לצרכים עסקיים משתנים ולאיומים פוטנציאליים על אבטחת המידע.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות ניהול מידע אימות סודי של משתמשים, כולל פיקוח על תהליכי הקצאה, שימוש ואחסון.
- אחראי על ניהול תהליך הביקורת והבקרה על כל הפעילויות הקשורות לניהול מידע אימות סודי של משתמשים.
- אחראי על הדרכה והכוונה למנהלי מחלקות ולעובדים בנוגע לשימוש נכון ובטוח במידע אימות סודי.
מנהלי מחלקות:
- אחראים על יישום מדיניות ניהול מידע אימות סודי של משתמשים במחלקותיהם, בהתאם להנחיות ממונה אבטחת המידע.
- אחראים על זיהוי הצורך במידע אימות סודי והגשת בקשות מתאימות להקצאת הרשאות למשתמשים תחת אחריותם.
עובדים:
- אחראים על שמירה ושימוש נכון במידע אימות סודי שניתן להם, בהתאם להנחיות ולמדיניות הארגון.
- מחויבים לדווח על כל גישה בלתי מורשית או שימוש לא נכון במידע אימות סודי לממונה אבטחת המידע.