נוהל: פרטיות והגנה על מידע זיהוי אישי A18.1.4

מטרה

מטרת הנוהל היא להבטיח כי הארגון ינקוט בצעדים הדרושים על מנת להגן על פרטיותם של האנשים שנתוני המידע שלהם נמצאים ברשות הארגון, וכי הארגון יימנע מהפרת חוק הגנת הפרטיות.

תחום יישום

הנוהל חל על כל המידע הזיהוי האישי של אנשים אשר נמצאים ברשות הארגון, לרבות נתוני לקוחות, נתוני עובדים, נתוני ספקים, ונתוני צד שלישי.

הגדרות

מידע זיהוי אישי: כל מידע שניתן להשתמש בו כדי לזהות אדם מסוים, כגון שם, כתובת, מספר טלפון, או מספר זהות.
פרטיות: הזכות של אדם להישאר אנונימי ולהגן על המידע האישי שלו מפני חשיפה או שימוש לא מורשה.

אחריות

ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל.
מנהל המערכות האחראי: אחראי על יישום הנוהל.

תהליך

1. זיהוי מידע זיהוי אישי

הארגון יזהה את כל המידע הזיהוי האישי אשר נמצא ברשותו, כולל סוג המידע, היקף המידע, וחשיבותו.

2. הערכת סיכונים

הארגון יעריך את הסיכונים הקשורים להגנה על המידע הזיהוי האישי, כגון סיכון של הדלפה או שימוש לא מורשה.

3. פיתוח בקרות

הארגון יפעל לפיתוח בקרות אבטחה אשר יבטיחו את ההגנה על המידע הזיהוי האישי.

4. יישום בקרות

הארגון יישם את הבקרות שפותחו, על מנת להבטיח את ההגנה על המידע הזיהוי האישי.

5. בקרה ופיקוח

הארגון יבצע בקרה ופיקוח על יישום הבקרות, על מנת לוודא כי הן פועלות כראוי.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לפרטיות והגנה על מידע זיהוי אישי.
הארגון יבצע תהליך של הערכת סיכונים, על מנת לקבוע את הסיכונים לאבטחת המידע הקשורים למידע זיהוי אישי.

מטרה​

תחום יישום​

הגדרות​

אחריות​

תהליך​

1. זיהוי מידע זיהוי אישי​

2. הערכת סיכונים​

3. פיתוח בקרות​

4. יישום בקרות​

5. בקרה ופיקוח​

הערות​