דלג לתוכן הראשי

נוהל: רישום משתמשים וניתוקם A9.2.1

מטרה

מטרת נוהל זה היא להבטיח כי כל המשתמשים בארגון ירשמו וינותקו באופן רשמי, על מנת לאפשר את השמת הרשאות הגישה שלהם בהתאם לתפקידם ולצורכיהם העסקיים ולמנוע גישה בלתי מורשית לנכסי המידע של הארגון.

תחום יישום

נוהל זה חל על כל המשתמשים בארגון, לרבות עובדים, לקוחות, ספקים ומבקרים, אשר מקבלים גישה לנכסי המידע של החברה.

הגדרות

  • משתמש רשום: משתמש אשר עבר תהליך רישום רשמי בארגון וקיבל הרשאות גישה לנכסי מידע.
  • משתמש מנותק: משתמש אשר עבר תהליך ניתוק רשמי מהארגון, וביטול כל הרשאות הגישה שלו.
  • הרשאות גישה: הרשאות המאפשרות למשתמשים לבצע פעולות מסוימות בנכסי המידע של הארגון, כגון קריאה, כתיבה, עריכה או מחיקה של נתונים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות רישום וניתוק משתמשים בתחום אבטחת המידע בחברה.
  • אחראית על הקצאת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב שוטף אחר ביצוע מדיניות רישום וניתוק משתמשים ועדכונה במידת הצורך.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות רישום וניתוק משתמשים, כולל ניהול התהליך ואישור הבקשות.
  • אחראי על פיקוח על תהליך רישום וניתוק המשתמשים וביצוע בדיקות תקופתיות לוודא עמידה במדיניות.

מנהלי מחלקות:

  • אחראים על יישום מדיניות רישום וניתוק משתמשים במחלקותיהם, בהתאם להנחיות ממונה אבטחת המידע.
  • אחראים על הגשת בקשות לרישום או ניתוק משתמשים במחלקותיהם.

עובדים:

  • אחראים על פנייה בבקשות לרישום או ניתוק גישה בהתאם לתפקידם ועל שמירה על הרשאותיהם.
  • אחראים על דיווח על כל גישה בלתי מורשית או חשש לאי-התאמה בהרשאות.

תהליך

1. רישום משתמשים

שלב 1: איסוף מידע

החברה תאסוף את המידע הדרוש לרישום משתמשים, כולל:

  • שם מלא
  • תפקיד
  • כתובת דואר אלקטרוני
  • מספר טלפון
  • תאריך התחלה
  • תאריך סיום (אם רלוונטי)

שלב 2: בדיקת זהות

החברה תבצע בדיקת זהות למשתמשים באמצעות אמצעי זיהוי מאומתים, כגון תעודת זהות, דרכון, או אמצעי אחר בהתאם למדיניות הארגון.

שלב 3: הגדרת הרשאות גישה

בהתאם לתפקיד המשתמש ולצורכיהם העסקיים, החברה תגדיר את הרשאות הגישה הנדרשות.

2. ניתוק משתמשים

שלב 1: הודעה למשתמשים

החברה תודיע למשתמשים על כוונתה לנתק אותם מהארגון לפחות 30 יום מראש, למעט מקרים דחופים בהם יבוצע ניתוק מיידי בהתאם למדיניות הארגון.

שלב 2: ביטול הרשאות גישה

במועד הניתוק, החברה תבטל את כל הרשאות הגישה של המשתמש, כולל גישה פיזית למתקנים וגישה למערכות ממוחשבות.

שלב 3: השמדת מידע

החברה תנקוט באמצעים להשמדת כל המידע השייך למשתמש המנותק, לרבות מידע מודפס, מידע אלקטרוני ומידע פיזי אחר, בהתאם לרגישות המידע ולמדיניות החברה.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד מסודר של כל הפעילויות הקשורות לרישום וניתוק משתמשים, כולל תיעוד בקשות, אישורים, וביטול הרשאות.
  • ביקורות תקופתיות: החברה תבצע ביקורות תקופתיות על תהליך רישום וניתוק משתמשים, כדי לוודא שהרשאות ניתנות ומנוהלות בהתאם למדיניות הארגון ובאופן המגן על נכסי המידע.

חשיבות הנוהל

נוהל רישום וניתוק משתמשים הוא חלק קריטי בתהליכי אבטחת המידע של הארגון, ומבטיח שמירה על סודיות, שלמות וזמינות המידע, תוך הגנה על הארגון מפני סיכוני סייבר ואיומים פנימיים.