Skip to main content

A.5.2 תפקידים ואחריות לאבטחת מידע

מטרה

מטרת הנוהל היא להגדיר בבירור את התפקידים והאחריות הקשורים לאבטחת מידע בארגון, על מנת להבטיח כי כל עובד יודע את תפקידו ותורם לניהול סיכוני האבטחה בצורה יעילה.

תחום יישום

הנוהל חל על כל עובדי הארגון, לרבות הנהלה, עובדים, קבלני משנה, וספקים חיצוניים העובדים עם מערכות המידע של הארגון.

הגדרות

  • תפקיד אבטחת מידע: תפקיד מוגדר בארגון הכולל אחריות ישירה או עקיפה לאבטחת מידע.
  • אחריות לאבטחת מידע: חובות וזכויות של עובד או מחזיק תפקיד בארגון בנוגע לשמירה על סודיות, שלמות וזמינות המידע.

אחריות

  • הנהלת הארגון:
    • אחראית על הקצאת משאבים ותמיכה בתפקידים הקשורים לאבטחת מידע.
    • מגדירה את מדיניות האבטחה וקובעת את תחומי האחריות של כל תפקיד.
  • ממונה אבטחת מידע:
    • אחראי על פיתוח, ניהול והפצת מדיניות אבטחת המידע.
    • מוודא כי כל בעלי התפקידים מכירים את תפקידם ואחריותם בנוגע לאבטחת מידע.
  • מנהלי יחידות:
    • אחראים על הטמעת נהלי אבטחת המידע ביחידותיהם ולוודא עמידה בהם.
    • מוודאים כי כל עובד ביחידתם מודע לתפקידו ולאחריותו בנוגע לאבטחת מידע.
  • עובדי הארגון:
    • אחראים לפעול בהתאם לנהלי אבטחת המידע ולהגן על המידע שהם נחשפים אליו במסגרת תפקידם.
    • חייבים לדווח על כל חשש או אירוע אבטחת מידע לממונה אבטחת המידע.

תהליך

1. הגדרת תפקידים לאבטחת מידע

  • הנהלת הארגון, בשיתוף עם ממונה אבטחת המידע, תגדיר את התפקידים המרכזיים הקשורים לאבטחת מידע, כולל תחומי אחריות, סמכויות וזכויות.

2. הקצאת תפקידים ואחריות

  • כל עובד בארגון יקבל תפקידים ואחריות מוגדרת בנוגע לאבטחת מידע, בהתאם לתפקידו בארגון ולתחום הפעילות שלו.

3. הכשרה והדרכה

  • הארגון ידאג להדרכת עובדים ומנהלים לגבי תפקידיהם ואחריותם לאבטחת מידע, כולל עדכונים תקופתיים על נהלים חדשים ושינויים במדיניות האבטחה.

4. בקרה ובקרה

  • ממונה אבטחת המידע יבצע בדיקות תקופתיות לוודא כי כל העובדים מכירים ומיישמים את תחומי האחריות שלהם בנוגע לאבטחת מידע.

5. דיווח ודיווח חריגים

  • כל עובד בארגון מחויב לדווח לממונה אבטחת המידע על כל חשד להפרה של נהלי אבטחת מידע או על אי-בהירות בתפקידו או באחריותו.

הערות

  • הארגון יקיים סקרי ציות תקופתיים על מנת להבטיח כי כל בעלי התפקידים ממלאים את אחריותם לאבטחת מידע בצורה יעילה.
  • נהלי אבטחת המידע יהיו חלק מהסכם העבודה של כל עובד חדש בארגון ויובהרו לו במהלך ההדרכה הראשונית.