Skip to main content

A.5.36 תאימות למדיניות, כללים ותקנים לאבטחת מידע

מטרה

מטרת הנוהל היא להבטיח כי הארגון עומד בכל מדיניות, הכללים והתקנים לאבטחת מידע על מנת לשמור על רמת אבטחה גבוהה ולמנוע סיכונים לארגון.

תחום יישום

הנוהל חל על כל עובדי הארגון, מנהליו, קבלני המשנה, וכל גורם אחר המעורב בפעילות הארגון.

הגדרות

  • מדיניות אבטחת מידע: מסמך המגדיר את המדיניות והנהלים לאבטחת מידע בארגון.
  • כללים לאבטחת מידע: הנחיות מפורטות לביצוע פעולות או תהליכים כדי להבטיח אבטחת מידע.
  • תקנים לאבטחת מידע: תקנים רשמיים המספקים הנחיות או דרישות לאבטחת מידע.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל ועל ווידוא עמידת הארגון במדיניות, בכללים ובתקנים לאבטחת מידע.
  • מנהלים בכל הדרגים: אחראים על ווידוא כי האזור שבתחום אחריותם עומד בדרישות הנוהל.
  • עובדים וקבלני משנה: אחראים על עמידה בכל מדיניות, כללים ותקנים לאבטחת מידע החלים על עבודתם.

תהליך

1. תכנון

  • ממונה אבטחת מידע יפתח תכנית סקרים וסקירות תקופתיות על מנת לוודא עמידה בכל מדיניות, כללים ותקנים לאבטחת מידע.
  • מנהלים בכל הדרגים יוודאו כי כל העובדים והקבלנים מכירים ומבינים את המדיניות, הכללים והתקנים החלים עליהם.

2. ביצוע סקרים וסקירות

  • צוות ייעודי יבצע סקרים וסקירות תקופתיות לבדיקת עמידה במדיניות, כללים ותקנים לאבטחת מידע.
  • הסקרים והסקירות יכללו בדיקה של יישום המדיניות והכללים בפועל, התאמת מערכות ותהליכים לדרישות התקנים, ואיתור ליקויים או אי-עמידה.

3. ניתוח הממצאים

  • צוות הבדיקה ינתח את הממצאים ויזהה תחומים בהם יש צורך בשיפור או עדכון.
  • תתבצע השוואה בין הממצאים לבין דרישות המדיניות, הכללים והתקנים הרלוונטיים.

4. דיווח והמלצות

  • ממונה אבטחת מידע יקבל דוח ממצאים מפורט מצוות הבדיקה ויגיש אותו להנהלה.
  • הדוח יכלול המלצות לתיקון ליקויים, עדכונים נדרשים למדיניות או לכללים, והצעות לשיפור תהליכי העבודה.

5. יישום פעולות מתקנות

  • מנהלים בכל הדרגים ינקטו בפעולות המתקנות הנדרשות על פי הממצאים וההמלצות שהתקבלו.
  • ממונה אבטחת מידע יוודא כי הפעולות המתקנות מבוצעות כנדרש וכי אי-העמידה מתוקנת.

6. מעקב ועדכון

  • הארגון יבצע מעקב אחר יישום ההמלצות ועדכונים בתדירות שנקבעה מראש, כגון אחת לשנה או לאחר שינויים משמעותיים.
  • הנוהל יתעדכן בהתאם לממצאי הסקרים והסקירות על מנת להבטיח עמידה מלאה בכל מדיניות, כללים ותקנים לאבטחת מידע.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל ועל עמידת הארגון במדיניות, כללים ותקנים לאבטחת מידע.
  • תהליך זה יסייע לארגון לזהות ולתקן אי-עמידה בזמן אמת ולשפר את רמת אבטחת המידע הכוללת.