A.8.2 זכויות גישה מורשות
מטרה
מטרת הנוהל היא להבטיח שניתנות זכויות גישה רק למשתמשים המורשים ולתפקידים המתאימים בארגון, כדי למנוע גישה לא מורשית למידע ולמערכות הארגוניות, ולהגן על שלמות וסודיות המידע.
תחום יישום
הנוהל חל על כל המערכות, המידע, והנכסים הדיגיטליים של הארגון, כולל שרתים, מסדי נתונים, יישומים, רשתות, וציוד אחר המחייב ניהול גישה מבוקר.
הגדרות
- זכויות גישה מורשות: רמות גישה מוגדרות מראש הניתנות למשתמשים בהתאם לתפקידם בארגון ולצורכיהם העסקיים.
- ניהול גישה: תהליך המורכב מהקצאה, תחזוקה, ניטור ובקרה של זכויות גישה למערכות ולמשאבים בארגון.
אחריות
- מחלקת IT: אחראית על ניהול ובקרה של זכויות הגישה במערכות הארגוניות, כולל הקצאת גישה, ניטור שימוש, וביצוע ביקורות גישה תקופתיות.
- מנהלים ישירים: אחראים להבטיח שהעובדים בצוותיהם מקבלים רק את זכויות הגישה הנחוצות לביצוע תפקידם, ושזכויות אלה מתעדכנות בהתאם לשינויים בתפקיד.
- כל עובד: אחראי לשמור על אבטחת הגישה האישית שלו למערכות ולדווח על כל חשד לגישה לא מורשית או שימוש לרעה בזכויות גישה.
תהליך
1. הקצאת זכויות גישה
- זכויות גישה יוקצו למשתמשים על בסיס עקרון "צורך לדעת" (Need to Know) ו"הרשאה מינימלית" (Least Privilege), במטרה לצמצם את הסיכון לגישה לא מורשית.
- כל בקשת גישה תיבדק ותאושר על ידי המנהל הישיר של העובד ומחלקת IT בהתאם לנהלי הארגון.