Skip to main content

A.5.14 העברת מידע

מטרה

מטרת הנוהל היא להבטיח כי העברת מידע בתוך הארגון ומחוצה לו תתבצע בצורה מאובטחת, על מנת להגן על המידע מפני גישה לא מורשית, שינוי, גניבה או אובדן במהלך העברתו.

תחום יישום

הנוהל חל על כל סוגי המידע המועבר בין יחידות הארגון השונות, בין הארגון לגורמים חיצוניים, ובכל אמצעי התקשורת.

הגדרות

  • העברת מידע: תהליך של שליחת מידע ממקום אחד לאחר, באמצעות אמצעים פיזיים או אלקטרוניים.
  • אמצעי העברה: כלים או טכנולוגיות המשמשות להעברת מידע, כגון דואר אלקטרוני, שירותי ענן, העתקות פיזיות (דיסקים, ניירות), וכדומה.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת הנוהל להעברת מידע.
  • מנהלי מערכות ומנהלי מחלקות: אחראים על יישום הנוהל במערכות ובתהליכים שבאחריותם, ועל ווידוא כי המידע מועבר בצורה מאובטחת.
  • עובדי הארגון: אחראים על העברת מידע בהתאם להנחיות הנוהל ולשימוש באמצעי ההעברה המאובטחים.

תהליך

1. קביעת מדיניות להעברת מידע

  • הארגון יקבע מדיניות להעברת מידע בהתאם לרמת הסיווג של המידע ואמצעי ההעברה המתאימים.
  • המדיניות תכלול הנחיות להעברת מידע בתוך הארגון, בין הארגון לגורמים חיצוניים, ובאמצעים פיזיים ואלקטרוניים.

2. הגדרת אמצעי העברה מאובטחים

  • הארגון יגדיר ויאשר אמצעי העברה מאובטחים, כגון:
    • הצפנה: כל מידע רגיש שיועבר אלקטרונית יצפין באמצעות פרוטוקולי הצפנה מאושרים.
    • חתימה דיגיטלית: יש להשתמש בחתימות דיגיטליות כדי להבטיח את שלמות המידע במהלך העברתו.
    • שליחים מאובטחים: מידע פיזי חשוב יועבר באמצעות שליחים מאובטחים בלבד.
    • שירותי אחסון בענן מאובטחים: יש להשתמש בשירותי ענן שמספקים הגנה על המידע במהלך העברתו ואחסונו.

3. בקרת גישה במהלך העברה

  • יש להבטיח כי רק מורשים יבצעו פעולות של העברת מידע, בהתאם לרמות הסיווג שנקבעו.
  • המידע יועבר אך ורק לגורמים שקיבלו הרשאה לכך ושהינם מורשים לגשת למידע.

4. תיעוד ואימות

  • כל העברת מידע תתועד בצורה מתאימה, כולל תיעוד של המידע המועבר, האמצעי בו הוא הועבר, והגורמים שקיבלו את המידע.
  • אימות קבלה יתבצע כדי לוודא שהמידע הגיע ליעדו במצב שלם ולא נפגע.

5. הדרכה והכשרה

  • הארגון יספק לעובדיו הדרכה והכשרה בנושא העברת מידע בצורה מאובטחת, כולל שימוש נכון באמצעי העברה והחשיבות של הצפנת מידע.

6. טיפול באירועים חריגים

  • במידה ואירע אירוע חריג במהלך העברת מידע, כגון אובדן מידע או חשש לחשיפה לא מורשית, יש לדווח על כך באופן מיידי ולפעול בהתאם לנוהל לטיפול באירועי אבטחת מידע.

7. ביקורת ובקרה

  • הארגון יבצע ביקורות תקופתיות על תהליך העברת המידע, כדי לוודא שהנהלים מיושמים כהלכה ושלא מתרחשות הפרות של אבטחת מידע.

הערות

  • הארגון ישפר ויעדכן את תהליך העברת המידע בהתאם לצורך ולשינויים בטכנולוגיה, בחקיקה או בסיכונים.