נוהל: הגבלת גישה למידע A9.4.1

מטרה

מטרת נוהל זה היא להבטיח כי גישה למידע ולפונקציונליות מערכת בארגון תוגבל בהתאם למדיניות בקרת הגישה של הארגון, כדי להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית.

תחום יישום

הנוהל חל על כל המשתמשים בארגון, לרבות עובדים, קבלני משנה ומשתמשים מטעם גורמים חיצוניים.

הגדרות

בקרת גישה: תהליך של הגבלת גישה למידע ולפונקציונליות מערכת בהתאם להרשאות של משתמשים.
משתמש: כל אדם המקבל גישה לנכסי מידע של הארגון.
אנשי תמיכה: עובדים האחראים לתמיכה בנכסי מידע של הארגון.

אחריות

הנהלה:

אחראית על קביעת מדיניות בקרת גישה בארגון.
אחראית על אספקת המשאבים הדרושים ליישום מדיניות בקרת גישה בארגון.
אחראית על מעקב אחר ביצוע מדיניות בקרת גישה בארגון.

ממונה אבטחת מידע:

אחראי על יישום מדיניות בקרת גישה בארגון.
אחראי על ניהול תהליך בקרת גישה בארגון.

מנהלי מחלקות:

אחראים על יישום מדיניות בקרת גישה במחלקותיהם בהתאם להנחיות הממונה על אבטחת המידע.

משתמשים:

אחראים על עמידה במדיניות בקרת גישה בארגון.

תהליך

1. קביעת מדיניות בקרת גישה

הנהלת הארגון תקבע מדיניות בקרת גישה, שתכלול את הנושאים הבאים:

סוגים של מידע וגישה מערכת המוגנים.
קריטריונים לקביעת הרשאות גישה.
אופן הקצאת הרשאות גישה.
אופן ניהול הרשאות גישה.

2. הקצאת הרשאות גישה

הרשאות גישה יוקצו למשתמשים בהתאם למדיניות בקרת גישה של הארגון ולקריטריונים שנקבעו.

3. ניהול הרשאות גישה

הרשאות גישה ינוהלו בהתאם למדיניות בקרת גישה של הארגון, כולל תחזוקה ועדכון של ההרשאות.

הנחיות נוספות

תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות להקצאת וניהול הרשאות גישה.
ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך הקצאת וניהול הרשאות גישה כדי לוודא את תקינות התהליך ועמידתו במדיניות הארגון.

מטרה​

תחום יישום​

הגדרות​

אחריות​

הנהלה:​

ממונה אבטחת מידע:​

מנהלי מחלקות:​

משתמשים:​

תהליך​

1. קביעת מדיניות בקרת גישה​

2. הקצאת הרשאות גישה​

3. ניהול הרשאות גישה​

הנחיות נוספות​