Skip to main content

A.6.1 סינון

מטרה

מטרת הנוהל היא להבטיח כי תהליכי הגיוס, הבחירה וההעסקה של עובדים, קבלנים וספקים כוללים תהליך סינון קפדני, על מנת להבטיח כי אנשים המועסקים או מועסקים על ידי הארגון הם מתאימים ואמינים לעבודה במערכות ובתפקידים קריטיים לאבטחת המידע.

תחום יישום

הנוהל חל על כל העובדים, הקבלנים והספקים החדשים המועסקים על ידי הארגון, וכן על עובדים קיימים בתפקידים קריטיים לאבטחת מידע.

הגדרות

  • סינון: תהליך של בדיקת רקע, כישורים והמלצות על מועמד לתפקיד, כולל בדיקות אבטחה במידת הצורך.
  • עובדים קריטיים לאבטחת מידע: עובדים שתפקידם כולל גישה למערכות מידע רגישות או לנכסים קריטיים.

אחריות

  • משאבי אנוש: אחראים על פיתוח, יישום וניהול תהליך הסינון.
  • ממונה אבטחת מידע: אחראי על הגדרת דרישות הסינון בהתאם לתפקידים הקריטיים לאבטחת מידע.
  • מנהלי מחלקות: אחראים על שיתוף פעולה עם משאבי אנוש בביצוע תהליך הסינון למועמדים בתפקידים קריטיים.

תהליך

1. הגדרת דרישות סינון

  • משאבי אנוש בשיתוף ממונה אבטחת מידע יגדירו את הדרישות לסינון בהתאם לרמות הסיכון של התפקידים השונים בארגון.
  • תפקידים קריטיים לאבטחת מידע יקבלו רמת סינון גבוהה יותר הכוללת בדיקות רקע, אימות זהות, ובדיקות אבטחה נוספות.

2. ביצוע סינון

  • משאבי אנוש יבצעו את תהליך הסינון בהתאם לדרישות שהוגדרו. תהליך הסינון יכלול את השלבים הבאים:
    • בדיקות רקע תעסוקתי ולימודי.
    • אימות זהות והמלצות.
    • בדיקות אבטחה, במידת הצורך, כגון בדיקות משפטיות או בדיקות ביטחוניות.
    • ראיון אישי על ידי מנהל המחלקה ומנהל משאבי אנוש.

3. החלטה על קבלה או דחייה

  • משאבי אנוש ומנהל המחלקה יקבלו החלטה לגבי קבלת המועמד לתפקיד על בסיס ממצאי תהליך הסינון.
  • במקרים של ממצאים חריגים, ייעשה דיון עם ממונה אבטחת מידע לפני קבלת ההחלטה הסופית.

4. תיעוד ושמירת מסמכים

  • משאבי אנוש ישמרו את כל המסמכים והתיעוד הקשורים לתהליך הסינון בתיק האישי של המועמד.
  • תיעוד הסינון יישמר במקום מאובטח ויהיה נגיש רק לגורמים מוסמכים.

5. סינון תקופתי

  • עובדים בתפקידים קריטיים יעברו סינון תקופתי לבדיקת אמינותם והתאמתם המתמשכת לתפקיד.
  • תדירות הסינון התקופתי תיקבע בהתאם לרמות הסיכון של התפקידים.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל והאפקטיביות של תהליך הסינון.
  • הארגון יבטיח את עדכניות וההתאמה של תהליך הסינון לשינויים בחוק, ברגולציה או בפעילות הארגונית.