נוהל: ניהול מידע אימות סודי של משתמשים A9.2.4
מטרה
מטרת נוהל זה היא להבטיח כי ההקצאה, האחסון והשימוש במידע אימות סודי של משתמשים בארגון יהיו מבוקרים, מאובטחים ומנוהלים באמצעות תהליכים רשמיים, על מנת להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית או שימוש לרעה.
תחום יישום
נוהל זה חל על כל מידע אימות סודי של משתמשים בארגון, כולל אך לא מוגבל לסיסמאות, קוד PIN, אמצעי אימות דו-גורמי, ומידע אחר המשמש לאימות זהות משתמשים.
הגדרות
- מידע אימות סודי: כל מידע המשמש לאימות זהות של משתמשים, כגון סיסמאות, קוד PIN, ושיטות אימות דו-גורמי.
- משתמש: כל אדם המקבל גישה לנכסי מידע של הארגון, לרבות עובדים, ספקים, לקוחות, ושותפים עסקיים.
- ניהול מידע אימות סודי: תהליך יצירה, אחסון, שימוש וניהול הרשאות גישה למידע אימות סודי של משתמשים.
אחריות
הנהלה:
- אחראית על קביעת מדיניות ניהול מידע אימות סודי של משתמשים, כולל הגדרות, נהלים ותהליכים ברורים.
- אחראית על אספקת המשאבים הדרושים ליישום המדיניות ועמידה בהנחיות.
- אחראית על סקירת מדיניות זו ועדכונה בהתאם לצרכים עסקיים משתנים ולאיומים פוטנציאליים על אבטחת המידע.