Skip to main content

A.5.9 רשימת מלאי של מידע ונכסים משויכים אחרים

מטרה

מטרת הנוהל היא להבטיח כי הארגון ישמור על רשימת מלאי מדויקת ועדכנית של כל המידע והנכסים המשויכים לו, כדי להבטיח הגנה נאותה על המידע והנכסים הקשורים אליו.

תחום יישום

הנוהל חל על כל המידע והנכסים המשויכים לארגון, לרבות חומרה, תוכנה, נתונים, מערכות, ומתקנים פיזיים.

הגדרות

  • מידע: נתונים המאוחסנים, מעובדים או מועברים באופן אלקטרוני, כתוב או פיזי.
  • נכס: כל פריט חומרה, תוכנה, נתונים, מתקנים או שירותים המשמשים את הארגון למטרות עסקיות.
  • רשימת מלאי: תיעוד מלא ומעודכן של כל המידע והנכסים הקשורים אליו.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת רשימת המלאי של המידע והנכסים.
  • מנהלי מערכות: אחראים על עדכון שוטף של רשימת המלאי וניהול המידע והנכסים שבתחום אחריותם.

תהליך

1. זיהוי מידע ונכסים

  • הארגון יזהה את כל המידע והנכסים המשויכים לו, לרבות:
    • חומרה: שרתים, מחשבים, התקני אחסון וכו'.
    • תוכנה: יישומים, מערכות הפעלה, רישיונות וכו'.
    • נתונים: מסדי נתונים, קבצים, מסמכים וכו'.
    • מתקנים: חדרי שרתים, מתקני תקשורת, וכו'.
    • שירותים: שירותי ענן, שירותי תקשורת, ספקים וכו'.

2. תיעוד הנכסים ברשימת מלאי

  • ממונה אבטחת מידע יוודא כי כל הנכסים והמידע זוהו ותועדו ברשימת מלאי מרכזית.
  • הרשימה תכלול פרטים כגון:
    • תיאור הנכס או המידע.
    • מיקום פיזי או דיגיטלי.
    • אחראי על הנכס או המידע.
    • רמת חשיבות וקריטיות לארגון.
    • תאריך עדכון אחרון.

3. סיווג הנכסים

  • הארגון יסווג את המידע והנכסים לפי רמת הקריטיות והרגישות שלהם.
  • סיווג זה ישמש בסיס להחלטות על רמת ההגנה הנדרשת עבור כל נכס.

4. בקרת גישה לנכסים

  • בהתאם לסיווג הנכסים, הארגון יקבע בקרות גישה מתאימות לנכסים שונים, כדי להבטיח גישה מורשית בלבד.
  • כל שינוי בהרשאות גישה יתועד ויעודכן ברשימת המלאי.

5. עדכון רשימת המלאי

  • מנהלי מערכות יעדכנו את רשימת המלאי באופן שוטף כדי לשקף שינויים בנכסים או במידע.
  • יש לבצע סקירה תקופתית של רשימת המלאי כדי לוודא את עדכניותה ודיוקה.

6. בדיקה ואימות

  • ממונה אבטחת מידע יבצע בדיקות תקופתיות כדי לוודא כי רשימת המלאי עדכנית ומדויקת.
  • כל ממצא שדורש תיקון יתועד ויטופל בהתאם.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום נוהל זה כדי לוודא כי כל המידע והנכסים משויכים כראוי ומתועדים ברשימת המלאי.
  • הארגון יבחן את רשימת המלאי על פי הצורך, במיוחד לאחר שינויים משמעותיים במערכות המידע או בתשתיות הארגוניות.