Skip to main content

נוהל: סקירת הרשאות גישה A9.2.5

מטרה

מטרת נוהל זה היא להבטיח כי הרשאות הגישה של המשתמשים בארגון ייבדקו באופן סדיר, על מנת לוודא שהן רלוונטיות לצרכים העסקיים של הארגון ומספקות את ההגנה הנדרשת לנכסי המידע שלו.

תחום יישום

הנוהל חל על כל המשתמשים בארגון, כולל עובדים, לקוחות, ספקים ומבקרים.

הגדרות

  • בעלי נכסים: עובדים הממונים על נכסי מידע ספציפיים בארגון, כולל ניהול ההרשאות הקשורות לאותם נכסים.
  • סקירת הרשאות גישה: תהליך של בדיקה ותיקון הרשאות הגישה של המשתמשים בארגון, כדי לוודא שהן עדכניות ומתאימות לצרכים העסקיים.

אחריות

בעלי נכסים:

  • אחראים על תכנון וביצוע סקירת הרשאות הגישה לנכסי המידע שבאחריותם.
  • אחראים על דיווח תוצאות הסקירה לממונה על אבטחת המידע, כולל המלצות לשינויים בהרשאות.

ממונה אבטחת מידע:

  • אחראי על הנחיית ותמיכה בבעלי הנכסים בביצוע סקירת הרשאות גישה.
  • אחראי על מעקב אחרי ביצוע הסקירות ובדיקת תאימותן למדיניות הארגון.

תהליך

1. תכנון סקירת הרשאות גישה

בעלי נכסים יכינו תוכנית סקירה המבוססת על הקריטריונים הבאים:

  • רגישות נכסי המידע: רמת החשיבות והסיכון של המידע המצוי בנכסים השונים.
  • צורכי העסק: צרכים עסקיים משתנים שיכולים להשפיע על הצורך בהרשאות מסוימות.
  • שינויים ארגוניים: כל שינוי במבנה הארגוני או במצבת כוח האדם שישפיע על ההרשאות.

2. ביצוע סקירת הרשאות גישה

בעלי נכסים יבצעו את הסקירה בהתאם להנחיות הבאות:

  • בדיקת הרשאות: בדיקת כל הרשאות הגישה הקיימות למשתמשים לנכסי המידע.
  • וידוא רלוונטיות: ווידוא כי הרשאות הגישה תואמות את הצרכים העסקיים הנוכחיים ואת רמות הרגישות של המידע.
  • ביטול הרשאות מיותרות: ביטול הרשאות שאינן נחוצות עוד, או שאינן מתאימות לתפקיד המשתמש.

3. דיווח על תוצאות סקירת הרשאות גישה

בעלי נכסים יגישו דו"ח מפורט לממונה על אבטחת המידע, אשר יכלול:

  • ממצאי הסקירה: פירוט הרשאות הגישה שנבדקו.
  • המלצות לתיקון: הצעות לשינויים בהרשאות, כולל הסרת גישות בלתי נדרשות או הוספת הרשאות חדשות לפי הצורך.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד מלא של כל הפעולות הקשורות לסקירת הרשאות גישה.
  • ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך סקירת הרשאות גישה, כדי לוודא שהוא מתבצע בהתאם למדיניות ולנהלי האבטחה.