Skip to main content

A.5.13 תיוג מידע

מטרה

מטרת הנוהל היא להבטיח כי כל המידע בארגון יתויג בהתאם לסיווגו בצורה נכונה ומדויקת, על מנת להבטיח את הגנתו מפני גישה לא מורשית, חשיפה לא רצויה או שימוש לא מורשה.

תחום יישום

הנוהל חל על כל סוגי המידע שבידי הארגון, לרבות מסמכים פיזיים, קבצים דיגיטליים, דואר אלקטרוני, ומידע המאוחסן במערכות מידע.

הגדרות

  • תיוג מידע: הוספת סימן, תג או תווית למידע, המצביעים על סיווגו ואופן השימוש בו.
  • סיווג מידע: תהליך של קביעת רמת הרגישות של המידע בהתאם לערכו ולסיכונים הקשורים לחשיפתו.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת הנוהל לתיוג מידע.
  • מנהלי מערכות ומנהלי מחלקות: אחראים על יישום הנוהל במערכות שבאחריותם ועל ווידוא שהמידע מסומן בהתאם לסיווגו.
  • עובדי הארגון: אחראים על תיוג המידע שהם יוצרים או מנהלים בהתאם להנחיות ולנהלים שנקבעו.

תהליך

1. קביעת קריטריונים לתיוג מידע

  • הארגון יקבע קריטריונים לתיוג המידע בהתאם לסיווגו, כדי להבטיח שמידע מסווג יטופל כראוי.
  • הקריטריונים יכללו תיוג לפי רמות הסיווג כגון "סודי", "רגיש", "פנימי" או "ציבורי".

2. תיוג מסמכים פיזיים

  • כל מסמך פיזי יסומן בהתאם לסיווגו, באמצעות תוויות, חותמות או סימונים אחרים. הסימון יבוצע במקום גלוי וברור.

3. תיוג קבצים דיגיטליים

  • קבצים דיגיטליים יסומנו באמצעות תיוג במערכת ניהול הקבצים, או באמצעות הוספת מידע לתוך הקובץ עצמו (כגון בשורת הכותרת או בנתוני המטה של הקובץ).

4. תיוג דואר אלקטרוני

  • דואר אלקטרוני המכיל מידע מסווג יתוייג בהתאם לסיווג המידע, על ידי הוספת תג בכותרת ההודעה או בגוף ההודעה.

5. תיוג מערכות מידע

  • מידע המאוחסן במערכות מידע יסומן בהתאם לסיווגו, על ידי שימוש בכלים ותכונות מתקדמות במערכות ניהול המידע.

6. בקרת גישה בהתאם לתיוג

  • תיוג המידע ישמש כבסיס לבקרת הגישה למידע. גישה למידע מסווג תינתן אך ורק למורשים, בהתאם לתגי הסיווג שהוצמדו למידע.

7. הדרכה והכשרה

  • הארגון ידריך את עובדיו בנוגע לנהלי תיוג המידע ויבצע הכשרות תקופתיות, כדי לוודא שהעובדים מודעים לחשיבות תיוג המידע ולשימוש נכון בתגי הסיווג.

8. עדכון תיוג מידע

  • תיוג המידע יעודכן בהתאם לשינויים בסיווג המידע, כגון במקרה של שינוי בערך המידע או רמת הרגישות שלו.

9. ביקורת ובקרה

  • הארגון יבצע ביקורות תקופתיות כדי לוודא שהמידע מתויג כראוי ובהתאם לנהלים.
  • ממונה אבטחת המידע יפיק דוחות ביקורת ויציע המלצות לשיפור תהליכי תיוג המידע.

הערות

  • הארגון ישפר את תהליך תיוג המידע בהתאם לצורך כדי להתאים לשינויים בטכנולוגיה, בחקיקה או בסיכונים.