דלג לתוכן הראשי

נוהל: מדיניות בקרת גישה A9.1.1

מטרה

מטרת נוהל זה היא לקבוע את מדיניות בקרת הגישה בארגון, במטרה להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית, ולוודא שהגישה למידע ניתנת רק למשתמשים המורשים לכך על פי צורכי תפקידם.

תחום יישום

נוהל זה חל על כל נכסי המידע של הארגון, לרבות מידע רגיש או קריטי, בין אם מדובר במידע פיזי, אלקטרוני או אנושי.

הגדרות

  • בקרת גישה: תהליך של הגנה על נכסי מידע מפני גישה בלתי מורשית, תוך שימוש באמצעי אבטחה טכניים, פיזיים ונהלים מנהליים.
  • נכסי מידע: כל הנכסים של הארגון אשר מכילים מידע, לרבות מסמכים, מערכות מידע, תשתיות, ותהליכים.
  • גישה בלתי מורשית: גישה לנכסי מידע על ידי אדם או ישות שאין להם הרשאה לכך.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות בקרת גישה בתחום אבטחת המידע בארגון.
  • אחראית על הקצאת המשאבים הנדרשים ליישום מדיניות בקרת גישה, כולל כוח אדם, טכנולוגיה ותמיכה ניהולית.
  • אחראית על מעקב שוטף אחר יישום המדיניות ועל התאמתה לצרכים העסקיים המשתנים.

ממונה אבטחת מידע:

  • אחראי על יישום המדיניות בתחום בקרת הגישה, כולל פיקוח על תהליכי הזיהוי, האימות וההרשאה של משתמשים.
  • אחראי על ניהול והפעלת אמצעי בקרת גישה, פיזיים ולוגיים כאחד, ועל ביצוע בדיקות תקופתיות לבקרת גישה.

עובדים:

  • אחראים על יישום מדיניות בקרת גישה בהתאם להנחיות הממונה על אבטחת המידע, ועל שמירה על סודיות והגנה על המידע שהם נחשפים אליו.

תהליך

1. קביעת מדיניות

החברה תגבש מדיניות בקרת גישה שתגדיר את העקרונות והנהלים הבסיסיים לניהול בקרת גישה בארגון. המדיניות תכלול הנחיות לגבי זיהוי, אימות, והענקת הרשאות, וכן אמצעים למעקב ובקרה.

2. תיעוד מדיניות

המדיניות תתועד במסמך רשמי שיכלול את כל הנושאים הבאים:

  • הגדרות יסוד של בקרת גישה.
  • מטרות מדיניות בקרת גישה.
  • תחום יישום המדיניות.
  • חלוקת אחריות בין הגורמים הרלוונטיים.
  • תהליכים ונהלים ליישום המדיניות.

3. סקירת מדיניות

המדיניות תיבחן באופן תקופתי כדי לוודא שהיא עדכנית ומתאימה לדרישות העסקיות ולצרכי אבטחת המידע של הארגון. כל שינוי במדיניות יופץ לכלל העובדים וייושם בהתאם לצורך.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות לבקרת גישה, כולל ניהול הרשאות, זיהוי ואימות משתמשים, ובקרת גישה למערכות ומידע.
  • ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על בקרת הגישה כדי לוודא שהאמצעים פועלים כנדרש ושאין חריגות במדיניות.

דוגמאות לאמצעי בקרת גישה

  • זיהוי ואימות משתמשים:

    • אימות זהות משתמשים באמצעות סיסמאות, קוד PIN או אמצעי אימות דו-גורמי.
    • זיהוי משתמשים באמצעות טביעת אצבע, זיהוי פנים או אמצעי ביומטרי אחר.

  • הענקת הרשאות:

    • הענקת הרשאות למשתמשים בהתאם לתפקידם ולצורכיהם העסקיים, תוך שימוש בעקרונות המינימום הנדרש.

  • בקרת גישה למערכות מידע:

    • אמצעי אבטחה פיזיים כגון התקנת מערכות בקרת כניסה והתקנת מצלמות אבטחה.
    • אמצעי אבטחה לוגיים כגון הגדרת הרשאות גישה למערכות מידע, והגבלת הגישה על פי מיקום, זמן וגורמים נוספים.

  • בקרת גישה למידע פיזי:

    • התקנת מערכות אזעקה, מנעולים וחדרי מסמכים מאובטחים.
    • נוהלי עבודה מחמירים לניהול מסמכים חסויים ואמצעים נוספים להגנה על מידע רגיש.

שינוי ועדכון

נוהל זה יעודכן מעת לעת בהתאם לצרכים המשתנים של החברה, שינויים רגולטוריים, או שיפורים פנימיים. כל עדכון יופץ לעובדים הרלוונטיים וייושם באופן מיידי.