נוהל: מדיניות והליכים להעברת מידע A13.2.1
מטרה
מטרת הנוהל היא להבטיח כי מדיניות, הליכים ובקרות להעברת מידע יהיו מבוססות ומיושמות, על מנת להגן על המידע בעת העברתו באמצעות כל סוגי התקשורת.
תחום יישום
הנוהל חל על כל העברת מידע של הארגון, אשר מכילה מידע רגיש או קריטי.
הגדרות
- העברת מידע: העברה של מידע בין מערכות מידע או בין אנשים, באמצעות כל סוג של תקשורת, כגון דואר אלקטרוני, FTP, ענן וכדומה.
- מדיניות: מסמך המגדיר את העקרונות והנוהלים לביצוע פעולה מסוימת.
- הליך: צעדים בפועל לביצוע פעולה מסוימת.
- בקרה: פעולה או פרוצדורה אשר מיועדת להגן על משהו, כגון הגנה על מידע בעת העברתו.
אחריות
הנהלה:
- אחראית על קביעת מדיניות והליכים להעברת מידע.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות והליכים אלו.
- אחראית על מעקב אחר ביצוע מדיניות והליכים אלו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות והליכים להעברת מידע.
- אחראי על ניהול תהליך יישום מדיניות והליכים אלו.
מנהלי מערכות:
- אחראים על ביצוע מדיניות והליכים להעברת מידע.
תהליך
1. קביעת מדיניות והליכים להעברת מידע
הנהלת הארגון תקבע מדיניות והליכים להעברת מידע, אשר תכלול את הנושאים הבאים:
- סוגי המידע שיועברו: זיהוי וסיווג סוגי המידע שיועברו במסגרת התקשורת.
- דרכי העברת המידע: זיהוי הדרכים והאמצעים הבטוחים להעברת המידע, כגון שימוש בתקשורת מוצפנת.
- בקרות הנדרשות להגנה על המידע בעת העברה: הגדרת אמצעי ההגנה שייושמו כדי להבט�יח את ביטחון המידע המועבר, כגון הצפנה, זיהוי ואימות משתמשים.
2. יישום מדיניות והליכים להעברת מידע
מדיניות והליכים להעברת מידע יתורגמו למשימות ספציפיות, אשר יבוצעו על ידי עובדים מורשים. יש לוודא שהעובדים מקבלים הכשרה מתאימה ומבינים את ההליכים לביצוע העברות מידע בצורה מאובטחת.
3. מעקב אחר ביצוע מדיניות והליכים להעברת מידע
הנהלת הארגון תבצע מעקב אחר ביצוע מדיניות והליכים להעברת מידע, על מנת לוודא כי הם מיושמים כראוי וכי המידע מוגן במהלך העברתו. המעקב יכלול ביצוע בדיקות תקופתיות על תהליכי העברת המידע וזיהוי כשלים אפשריים.
הנחיות נוספות
- ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על יישום הנוהל, ותוודא כי כל אמצעי ההגנה מועילים ויעילים.
- עדכונים ושיפורים: כל עדכון או שינוי במדיניות או בהליכים ייעשה בהתאם לצורכי הארגון ולממצאי הביקורות.