A.8.3 הגבלת גישה למידע
מטרה
מטרת הנוהל היא להבטיח שהגישה למידע ארגוני מוגבלת אך ורק לאנשים מורשים, כדי להגן על סודיות, שלמות וזמינות המידע, ולמנוע גישה לא מורשית או שימוש לרעה בנתונים הארגוניים.
תחום יישום
הנוהל חל על כל המידע הארגוני, כולל מידע המאוחסן במערכות מידע, מסדי נתונים, קבצים, מערכות ענן וכל מדיה אחרת שבה נשמר מידע.
הגדרות
- גישה למידע: הרשאה שניתנת לעובד, קבלן או ספק לגשת למידע ארגוני במסגרת תפקידו או לפי הצורך העסקי.
- הגבלת גישה למידע: פעולות שננקטות כדי להבטיח שרק אנשים מורשים יוכלו לגשת למידע רגיש, תוך שימוש בבקרות גישה מתאימות.
אחריות
- מחלקת IT: אחראית על ניהול ובקרה של הגישה למידע הארגוני, כולל הקצאת הרשאות, ניהול גישה וניטור שימוש במידע.
- מנהלים ישירים: אחראים להבטיח שהצוותים שלהם מקבלים גישה למידע רק בהתאם לצרכים העסקיים ובמסגרת תפקידם.
- כל עובד: אחראי לשמור על הרשאות הגישה שלו ולהשתמש במידע בהתאם למדיניות הארגון.
תהליך
1. קביעת זכויות גישה למידע
- גישה למידע תינתן אך ורק על בסיס עקרון "צורך לדעת" (Need to Know) ו"הרשאה מינימלית" (Least Privilege) על מנת לצמצם את הסיכון לחשיפה לא מורשית.
- כל בקשת גישה למידע תיבחן ותאושר על ידי המנהל הישיר ומחלקת IT, בהתאם למדיניות האבטחה של הארגון.