A.6.3 מודעות, חינוך והדרכה לאבטחת מידע
מטרה
מטרת הנוהל היא להבטיח שכל עובדי הארגון, קבלנים וספקים יהיו מודעים לחשיבות אבטחת המידע, יכירו את מדיניות הארגון בנושא זה, ויעברו הדרכות מתאימות על מנת למזער סיכונים לאבטחת המידע.
תחום יישום
הנוהל חל על כל עובדי הארגון, קבלנים וספקים, לרבות עובדים חדשים ועובדים ותיקים.
הגדרות
- מודעות לאבטחת מידע: ההבנה של עובדים לגבי הסיכונים הקשורים לאבטחת מידע והחשיבות של פעולותיהם בשמירה על אבטחת המידע בארגון.
- הדרכת אבטחת מידע: תהליך בו מועברים לעובדים ידע וכלים הנדרשים לצורך שמירה על אבטחת המידע בהתאם למדיניות הארגון.
אחריות
- ממונה אבטחת מידע: אחראי על פיתוח תכנית המודעות וההדרכה לאבטחת מידע.
- משאבי אנוש: אחראים על תיאום הדרכות והבטחת השתתפות העובדים.
- מנהלים: אחראים על עידוד העובדים להשתתף בהדרכות ומעקב אחר השתתפותם.
תהליך
1. פיתוח תכנית המודעות וההדרכה
- ממונה אבטחת מידע יפתח תכנית מודעות והדרכה לאבטחת מידע הכוללת הדרכות ראשוניות, הדרכות חוזרות, והפצת מידע תקופתי.
- התכנית תכלול נושאים כמו זיהוי איומים, מדיניות אבטחת המידע של הארגון, אמצעי הגנה על מידע רגיש ושימוש בטוח במע�רכות מידע.
2. הדרכה ראשונית לעובדים חדשים
- כל עובד חדש יעבור הדרכת אבטחת מידע כחלק מתהליך הקליטה לארגון.
- ההדרכה תכסה את כללי אבטחת המידע בארגון, מדיניות, נוהלים ואת חובותיו של העובד בתחום זה.
3. הדרכות תקופתיות לעובדים קיימים
- ממונה אבטחת מידע יבטיח שכל העובדים יעברו הדרכות חוזרות בנושא אבטחת מידע לפחות אחת לשנה.
- ההדרכות יכללו עדכונים בנושאי אבטחת מידע, חידוש כללים ונהלים, והדגשת חשיבות השמירה על אבטחת המידע.
4. הפצת מידע תקופתי
- ממונה אבטחת מידע יפיץ עדכונים, טיפים ומידע חשוב בנושא אבטחת מידע לעובדים באופן תקופתי, באמצעות דואר אלקטרוני, עלוני מידע, או ערוצים נוספים.
5. תיעוד ובקרה
- משאבי אנוש יתעדו את השתתפות העובדים בהדרכות ויבצעו מעקב אחר השלמתן.
- ממונה אבטחת מידע יבצע ביקורות על תכנית ההדרכה ויוודא שהיא מותאמת לשינויים במדיניות, בטכנולוגיה, ובסיכונים הארגוניים.
הערות
- הארגון יבצע ביקורות תקופתיות על יישום הנוהל והבטחת ציות העובדים והקבלנים להדרכות אבטחת מידע.
- המודעות וההדרכה יועברו בצורה שתתאים לכל רמות העובדים בארגון, תוך שימת דגש על הסיכונים הקשורים לתפקידם הספציפי.