נוהל: מערכת לניהול סיסמאות A9.4.3
מטרה
מטרת הנוהל היא להבטיח כי מערכות ניהול סיסמאות בארגון יהיו אינטראקטיביות ויבטיחו את איכות הסיסמאות, על מנת להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית.
תחום יישום
הנוהל חל על כל המערכות והאפליקציות בארגון, לרבות מערכות ומחשבים מקומיים, מערכות ומחשבים מבוססי ענן, וכן מערכות ואפליקציות של צד שלישי.
הגדרות
- מערכת ניהול סיסמאות: מערכת המאפשרת למשתמשים ליצור, לאחסן ולהשתמש בסיסמאות בצורה מאובטחת.
אחריות
הנהלה:
- אחראית על קביעת מדיניות מערכת ניהול סיסמאות בארגון.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות מערכת ניהול סיסמאות בארגון.
- אחראית על מעקב אחר ביצוע מדיניות מערכת ניהול סיסמאות בארגון.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות מערכת ניהול סיסמאות בארגון.
- אחראי על ניהול תהליך מערכת ניהול סיסמאות בארגון.
מנהלי מחלקות:
- אחראים על יישום מדיניות מערכת ניהול סיסמאות במחלקות שלהם בהתאם להנחיות הממונה על אבטחת המידע.
משתמשים:
- אחראים על שימוש במערכת ניהול סיסמאות בהתאם להנחיות הנוהל.
תהליך
1. קביעת מדיניות מערכת ניהול סיסמאות
הנהלת הארגון תקבע מדיניות מערכת ניהול סיסמאות, אשר תכלול את הנושאים הבאים:
- סוגים של מערכות ואפליקציות המוגנות.
- דרישות לסיסמאות (כגון אורך מינימלי, שילוב של אותיות, מספרים וסמלים).
- אופן שימוש במערכת ניהול סיסמאות, כולל הנחיות לגבי יצירת סיסמאות חזקות וניהולן בצורה בטוחה.
2. יישום מדיניות מערכת ניהול סיסמאות
מדיניות מערכת ניהול סיסמאות תיושם במערכות ואפליקציות בארגון בהתאם להנחיות הממונה על אבטחת המידע. המערכת תבטיח שימוש נוח אך מאובטח בסיסמאות, תוך עמידה בדרישות האבטחה של הארגון.
3. ניהול מדיניות מערכת ניהול סיסמאות
מדיניות מערכת ניהול סיסמאות תשמר בהתאם להנחיות הממונה על אבטחת המידע. הממונה יבחן את תקינות המערכת באופן שוטף ויעדכן את המדיניות לפי הצורך, בהתאם לשינויים טכנולוגיים וארגוניים.
הנחיות נוספות
- ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך מערכת ניהול סיסמאות, כדי לוודא שהמערכת עומדת בדרישות הארגון ושאופן השימוש בה מתאים למדיניות.
- תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות למערכת ניהול סיסמאות, לרבות יצירת סיסמאות, שינוי סיסמאות והעברת הרשאות.