נוהל: שימוש במידע אימות סודי A9.3.1

מטרה

מטרת נוהל זה היא להבטיח כי משתמשים בארגון ישתמשו בפרקטיקות אבטחת מידע נאותות בעת בחירת סיסמאות ובשימוש בהן, במטרה להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית.

תחום יישום

הנוהל חל על כל המשתמשים בארגון, לרבות עובדים, קבלני משנה ומשתמשים מטעם גורמים חיצוניים.

הגדרות

מידע אימות סודי: מידע המשמש לאימות זהות של משתמשים.
משתמש: כל אדם המקבל גישה לנכסי מידע של הארגון.

אחריות

משתמשים:

אחראים על שימוש בפרקטיקות אבטחת מידע בעת בחירת סיסמאות ובשימוש בהן, כדי להגן על המידע והגישה לנכסי הארגון.

ממונה אבטחת מידע:

אחראי על הסברה והדרכה למשתמשים לגבי פרקטיקות אבטחת מידע בעת בחירת סיסמאות ובשימוש בהן.

תהליך

1. בחירת סיסמאות

משתמשים יבחרו סיסמאות בהתאם להנחיות הבאות:

הסיסמאות יהיו באורך של לפחות 8 תווים ויכללו שילוב של אותיות, מספרים, וסמלים מיוחדים.
הסיסמאות לא יכללו מידע אישי, כגון שמות, תאריכי לידה או כתובות.
הסיסמאות לא יישמרו במקום גלוי או נגיש לציבור, כגון כתיבה על דף שמונח על השולחן או תיעוד בקובץ שאינו מוגן.

2. שימוש בסיסמאות

משתמשים ישתמשו בסיסמאות בהתאם להנחיות הבאות:

לא לשתף סיסמאות עם אף אדם אחר, כולל חברי צוות או מנהלים.
לשנות סיסמאות באופן קבוע, לפחות אחת ל-90 יום, או מיד עם חשד שהסיסמה נחשפה.
להיכנס למערכות הארגון רק באמצעות סיסמאות אישיות, ולא להשתמש בסיסמאות שכבר מוקלדות באתרים חיצוניים.

הנחיות נוספות

תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות לשימוש במידע אימות סודי.
ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך השימוש במידע אימות סודי, כדי לוודא עמידה בנהלים ותקינות הפרקטיקות.

מטרה​

תחום יישום​

הגדרות​

אחריות​

משתמשים:​

ממונה אבטחת מידע:​

תהליך​

1. בחירת סיסמאות​

2. שימוש בסיסמאות​

הנחיות נוספות​