A.5.1 מדיניות לאבטחת מידע
מטרה
מטרת הנוהל היא להבטיח כי הארגון יגדיר, יישם, ויתחזק מדיניות לאבטחת מידע אשר תתמוך בניהול סיכוני האבטחה ותשמור על סודיות, שלמות, וזמינות המידע הארגוני.
תחום יישום
הנוהל חל על כל הארגון, לרבות כל יחידות הארגון וכל מערכות המידע שלו.
הגדרות
- מדיניות אבטחת מידע: מסמך המגדיר את העקרונות וההנחיות המרכזיות לניהול אבטחת המידע בארגון.
- אבטחת מידע: שמירה על סודיות, שלמות וזמינות של מידע בהתאם לדרישות העסקיות, המשפטיות, והרגולטוריות.
אחריות
- הנהלת הארגון: אחראית על אישור, פרסום, והפצה של מדיניות אבטחת המידע.
- ממונה אבטחת מידע: אחראי על פיתוח, עדכון ותחזוקה של מדיניות אבטחת המידע, וכן על ווידוא יישום המדיניות בכל יחידות הארגון.
- כל עובדי הארגון: מחויבים לפעול בהתאם למדיניות אבטחת המידע ולהשתתף בהדרכות ובהכשרות הנדרשות.
תהליך
1. פיתוח מדיניות אבטחת מידע
- ממונה אבטחת מידע יפתח מדיניות אבטחת מידע אשר תתבסס על הערכת סיכונים ותכלול את הנושאים הבאים:
- עקרונות מרכזיים לאבטחת מידע.
- מטרות האבטחה והנחיות כלליות לניהול סיכונים.
- חובות וזכויות של עובדי הארגון בנוגע לאבטחת מידע.
- הנחיות לגבי ניהול אירועי אבטחת מידע.
2. אישור מדיניות אבטחת מידע
- הנהלת הארגון תאשר את המדיניות ותוודא כי היא מתאימה לצרכים העסקיים ולדרישות הרגולטוריות של הארגון.
3. פרסום והפצת מדיניות אבטחת מידע
- המדיניות תופץ לכל עובדי הארגון, ותהיה זמינה לעיון באמצעות פורטל הארגון או בכל אמצעי אחר שיקבע.
- ייערכו הדרכות והכשרות על המדיניות החדשה או המעודכנת לכל�ל העובדים.
4. תחזוקה ועדכון של מדיניות אבטחת מידע
- ממונה אבטחת מידע יבצע סקירה תקופתית של המדיניות, ויעדכן אותה בהתאם לשינויים בסיכונים, דרישות עסקיות, רגולטוריות, וטכנולוגיות.
- כל שינוי במדיניות יובא לאישור ההנהלה, ולאחר מכן יופץ לכלל עובדי הארגון.
5. בקרה ובקרה
- הארגון יבצע ביקורות תקופתיות על יישום מדיניות אבטחת המידע, על מנת לוודא כי היא מתקיימת כראוי וכי העובדים מודעים לה ומשתמשים בה בפועל.
הערות
- הארגון יבצע הערכת סיכונים תקופתית, על מנת להבטיח כי מדיניות אבטחת המידע מכסה את כל הסיכונים הרלוונטיים.
- כל עובד בארגון מחויב לדווח על כל הפרה של מדיניות אבטחת המידע לממונה אבטחת מידע.