דלג לתוכן הראשי

נוהל: ניהול מידע אימות סודי של משתמשים A9.2.4

מטרה

מטרת נוהל זה היא להבטיח כי ההקצאה, האחסון והשימוש במידע אימות סודי של משתמשים בארגון יהיו מבוקרים, מאובטחים ומנוהלים באמצעות תהליכים רשמיים, על מנת להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית או שימוש לרעה.

תחום יישום

נוהל זה חל על כל מידע אימות סודי של משתמשים בארגון, כולל אך לא מוגבל לסיסמאות, קוד PIN, אמצעי אימות דו-גורמי, ומידע אחר המשמש לאימות זהות משתמשים.

הגדרות

  • מידע אימות סודי: כל מידע המשמש לאימות זהות של משתמשים, כגון סיסמאות, קוד PIN, ושיטות אימות דו-גורמי.
  • משתמש: כל אדם המקבל גישה לנכסי מידע של הארגון, לרבות עובדים, ספקים, לקוחות, ושותפים עסקיים.
  • ניהול מידע אימות סודי: תהליך יצירה, אחסון, שימוש וניהול הרשאות גישה למידע אימות סודי של משתמשים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות ניהול מידע אימות סודי של משתמשים, כולל הגדרות, נהלים ותהליכים ברורים.
  • אחראית על אספקת המשאבים הדרושים ליישום המדיניות ועמידה בהנחיות.
  • אחראית על סקירת מדיניות זו ועדכונה בהתאם לצרכים עסקיים משתנים ולאיומים פוטנציאליים על אבטחת המידע.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות ניהול מידע אימות סודי של משתמשים, כולל פיקוח על תהליכי הקצאה, שימוש ואחסון.
  • אחראי על ניהול תהליך הביקורת והבקרה על כל הפעילויות הקשורות לניהול מידע אימות סודי של משתמשים.
  • אחראי על הדרכה והכוונה למנהלי מחלקות ולעובדים בנוגע לשימוש נכון ובטוח במידע אימות סודי.

מנהלי מחלקות:

  • אחראים על יישום מדיניות ניהול מידע אימות סודי של משתמשים במחלקותיהם, בהתאם להנחיות ממונה אבטחת המידע.
  • אחראים על זיהוי הצורך במידע אימות סודי והגשת בקשות מתאימות להקצאת הרשאות למשתמשים תחת אחריותם.

עובדים:

  • אחראים על שמירה ושימוש נכון במידע אימות סודי שניתן להם, בהתאם להנחיות ולמדיניות הארגון.
  • מחויבים לדווח על כל גישה בלתי מורשית או שימוש לא נכון במידע אימות סודי לממונה אבטחת המידע.

תהליך

1. קביעת מדיניות ניהול מידע אימות סודי של משתמשים

  • הנהלת הארגון תגדיר מדיניות ניהול מידע אימות סודי של משתמשים, אשר תכלול:
    • סוגים של מידע אימות סודי שניתן להשתמש בהם בארגון.
    • אופן יצירת מידע אימות סודי (כגון יצירת סיסמאות חזקות).
    • אופן אחסון מידע אימות סודי (כגון שימוש בהצפנה לאחסון סיסמאות).
    • אופן שימוש במידע אימות סודי (כגון מדיניות שינוי סיסמאות תקופתית).
    • אופן ניהול הרשאות גישה למידע אימות סודי (כגון ניהול הרשאות על פי תפקיד).

2. הקצאת מידע אימות סודי של משתמשים

  • הקצאת מידע אימות סודי תתבצע אך ורק על פי מדיניות ניהול המידע שנקבעה.
  • כל הקצאה תהיה מבוקרת ומתועדת, כדי להבטיח עקיבות ולמנוע שימוש לרעה.

3. שימוש במידע אימות סודי של משתמשים

  • שימוש במידע אימות סודי יהיה מוגבל למשתמשים מורשים בלבד.
  • החברה תוודא כי כל אמצעי אימות סודי נשמר בצורה מאובטחת, ונעשה בו שימוש בהתאם למדיניות.

4. בקרה וביקורת

  • ממונה אבטחת המידע יבצע בדיקות תקופתיות כדי לוודא כי מדיניות ניהול מידע אימות סודי מיושמת כהלכה.
  • במקרה של זיהוי פגמים או אי-התאמות, תינקט פעולה מיידית לתיקון.

הנחיות נוספות

  • תיעוד: החברה תשמור על תיעוד מקיף של כל הפעילויות הקשורות לניהול מידע אימות סודי של משתמשים.
  • ביקורות: החברה תבצע ביקורות תקופתיות על תהליך ניהול מידע אימות סודי, כולל בדיקות אבטחה ואימות יישום המדיניות.
  • הדרכה: עובדים המנהלים מידע אימות סודי יקבלו הדרכה תקופתית על נהלי הארגון ואיומים פוטנציאליים.