דלג לתוכן הראשי

נוהל: סיווג מידע A8.2.1

מטרה

מטרת נוהל זה היא להבטיח שכל המידע בחברה יהיה מסווג באופן מדויק ומקיף, בהתאם לרגישותו וחשיבותו לארגון, במטרה להגן עליו בצורה מיטבית ולמנוע חשיפה, גניבה או אובדן של מידע קריטי.

תחום יישום

נוהל זה חל על כל המידע בחברה, לרבות מידע אלקטרוני, מידע מודפס, מידע נישא, וכל סוגי המידע הנמצאים בשימוש החברה.

הגדרות

  • מידע: כל נתון או עובדה בעלי ערך לחברה, כולל נתונים עסקיים, טכניים, פיננסיים ואישיים.
  • סיווג מידע: תהליך קביעת רמת הרגישות והחשיבות של המידע בהתאם לפוטנציאל הנזק במקרה של חשיפה או אובדן.
  • רגישות מידע: מידת הנזק שעלול להיגרם לחברה אם המידע ייחשף לגורמים בלתי מורשים או ייגנב.
  • קריטיות מידע: מידת ההשפעה שעלולה להיות לחברה אם המידע לא יהיה זמין, לא מדויק או לא יוכל לשמש לצרכים עסקיים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות סיווג מידע בתחום אבטחת המידע בחברה.
  • אחראית על הקצאת המשאבים הנדרשים ליישום מדיניות זו, כולל תמיכה טכנית ואנושית.
  • אחראית על מעקב שוטף אחר יישום המדיניות וביצוע תיקונים במידת הצורך.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות סיווג מידע בתחום אבטחת המידע בחברה.
  • אחראי על ניהול תהליך סיווג מידע, כולל פיקוח על הערכות המידע וביצוע הסיווג.
  • אחראי על ביצוע בדיקות תקופתיות כדי לוודא שהמידע מסווג בצורה נכונה ועדכנית.

מנהלי מחלקות:

  • אחראים על יישום מדיניות סיווג מידע במחלקותיהם, בהתאם להנחיות הממונה על אבטחת המידע.
  • מחויבים לוודא שכל המידע בתחום אחריותם מסווג בהתאם לרמת הרגישות והקריטיות שלו.

תהליך

1. זיהוי מידע

החברה תזהה ותמפה את כל המידע שבבעלותה או שבשימושה, כולל מידע אלקטרוני, מודפס, ומידע נישא, לצורך ביצוע הערכת רגישות וקריטיות.

2. הערכת מידע

החברה תבצע הערכה של כל המידע שזוהה, על מנת לקבוע את רמת הרגישות והקריטיות שלו. הערכה זו תכלול ניתוח של פוטנציאל הנזק במקרה של חשיפה, גניבה, או אובדן.

3. סיווג מידע

החברה תסווג את כל המידע בהתאם לרמת הרגישות והקריטיות שלו. הסיווג יכלול קטגוריות ברורות כגון: סודי, פנימי, ציבורי וכדומה, בהתאם למדיניות הארגון.

4. תיעוד סיווג מידע

החברה תתעד את סיווג המידע במערכת ניהול מתאימה, כולל פרטים מלאים על רמת הרגישות והקריטיות של כל פריט מידע.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד מלא ומסודר של כל הפעילויות הקשורות לסיווג מידע, כולל שינויים ועדכונים.
  • ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על סיווג המידע כדי לוודא שהסיווג נשאר רלוונטי ומתאים למצב הנוכחי של החברה.

שינוי ועדכון

נוהל זה יעודכן מעת לעת בהתאם לצרכים המשתנים של החברה, שינויים רגולטוריים, או שיפורים פנימיים. כל עדכון יופץ לעובדים הרלוונטיים ויוטמע באופן מיידי.