Skip to main content

A.8.10 מחיקת מידע

מטרה

מטרת הנוהל היא להבטיח שמידע רגיש ומידע שאינו נדרש עוד נשמר בצורה מאובטחת עד למחיקתו המלאה, וכי תהליך המחיקה מתבצע באופן שמונע שחזור מידע בלתי מורשה ומגן על פרטיות ואבטחת המידע.

תחום יישום

הנוהל חל על כל סוגי המידע המאוחסנים במערכות המידע, תשתיות, התקני אחסון, גיבויים, ומדיה פיזית בארגון, כולל מידע דיגיטלי ומידע מודפס.

הגדרות

  • מחיקת מידע: תהליך שבו מידע מוסר באופן בלתי הפיך ממערכות המידע, כך שלא ניתן לשחזרו בשום אמצעי.
  • מידע רגיש: כל מידע שהחשיפה הלא מורשית שלו עלולה לגרום נזק לארגון, ללקוחותיו או לעובדיו, כולל מידע אישי, קנייני ומסחרי.

אחריות

  • מחלקת IT: אחראית על יישום תהליכי מחיקת המידע בארגון, כולל בחירת שיטות מחיקה מתאימות וניהול תהליך המחיקה בצורה מאובטחת.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך מחיקת המידע ולוודא שהתהליכים מתבצעים בהתאם למדיניות הארגון ודרישות רגולטוריות.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם מדווחים על מידע שאינו נדרש יותר ומוודאים שהוא נמחק בהתאם להנחיות הארגון.

תהליך

1. זיהוי מידע למחיקה

  • מחלקת IT ומנהלי המחלקות יזהו את המידע שאין בו צורך יותר, כולל קבצים, מסמכים, גיבויים ומידע המוחזק במדיה פיזית.
  • יש לוודא שכל מידע שמיועד למחיקה תואם את מדיניות שמירת המידע של הארגון ואת דרישות הרגולציה.

2. בחירת שיטת מחיקה

  • מחיקת מידע דיגיטלי תתבצע באמצעות כלים ייעודיים שמבטיחים מחיקה מלאה ובלתי הפיכה, כגון מחיקה מאובטחת (Secure Erase) או כתיבה מחדש של המידע.
  • מידע רגיש או מידע המאוחסן במדיה פיזית, כגון ניירות או תקליטורים, יושמד באופן פיזי באמצעות גריסה או כל שיטה אחרת שמבטיחה את הרס המידע.

3. תהליך מחיקת מידע

  • מחלקת IT תבצע את תהליך המחיקה בהתאם לשיטה שנבחרה, תוך הבטחת אבטחת המידע במהלך התהליך ולאחריו.
  • כל תהליך מחיקה יתועד במערכת ניהול התחזוקה, כולל פרטי המידע שנמחק, השיטה שבה נעשה שימוש ותאריך המחיקה.

4. בדיקה ואימות

  • לאחר המחיקה, יש לבצע בדיקה לוודא שהמידע נמחק במלואו ושאין אפשרות לשחזור המידע שנמחק.
  • כל תהליך מחיקה ייבדק על ידי ממונה על אבטחת המידע כדי להבטיח עמידה בדרישות הארגון.

5. תיעוד ודיווח

  • מחלקת IT תתעד את כל תהליכי מחיקת המידע, כולל המידע שנמחק, השיטות בהן נעשה שימוש, תאריכי המחיקה והתוצאות.
  • דו"חות תקופתיים על מחיקות המידע יועברו להנהלת הארגון לצורך מעקב ובקרה.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנושא מחיקת מידע, כולל חשיבות המחיקה המאובטחת, שיטות למחיקת מידע, והנחיות לפעולה במקרה של צורך במחיקת מידע.
  • ההדרכה תכלול גם הנחיות לגבי דיווח על מידע שאינו נדרש עוד ומחיקתו בצורה מאובטחת.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי מחיקת המידע, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע למחיקת מידע, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.