דלג לתוכן הראשי

A.5.10 שימוש מקובל במידע ונכסים משויכים אחרים

מטרה

מטרת הנוהל היא להבטיח כי כל עובדי הארגון, ספקים, וקבלני משנה מבינים ומקפידים על השימוש המקובל במידע ובנכסים המשויכים אליו, במטרה להגן על המידע והנכסים מפני שימוש לרעה, נזק או אובדן.

תחום יישום

הנוהל חל על כל עובדי הארגון, ספקים, וקבלני משנה אשר עושים שימוש במידע או בנכסים המשויכים לו, לרבות חומרה, תוכנה, נתונים, ומערכות תקשורת.

הגדרות

  • מידע: נתונים המאוחסנים, מעובדים או מועברים באופן אלקטרוני, כתוב או פיזי.
  • נכס: כל פריט חומרה, תוכנה, נתונים, מתקנים או שירותים המשמשים את הארגון למטרות עסקיות.
  • שימוש מקובל: שימוש במידע ובנכסים משויכים אחרים בהתאם למדיניות הארגון, נהלים והנחיות קיימות.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת נוהל השימוש המקובל.
  • מנהלי מערכות: אחראים על הבטחת השימוש הנכון במידע ובנכסים שבתחום אחריותם ועל הדרכת עובדים בתחום זה.
  • עובדים, ספקים, וקבלני משנה: אחראים על השימוש במידע ובנכסים בהתאם להנחיות ולהוראות הארגון.

תהליך

1. הגדרת שימוש מקובל

  • הארגון יגדיר את כללי השימוש המקובל במידע ובנכסים המשויכים, לרבות:
    • שימוש בתוכנה וחומרה בהתאם לרישיונות ולמדיניות הארגון.
    • גישה מורשית בלבד למידע ולמערכות.
    • אחסון ושימוש במידע בהתאם לרמת הסיווג שלו.
    • שמירה על סודיות המידע ונכסים אחרים.
    • שימוש ברשתות תקשורת של הארגון בהתאם למדיניות אבטחת המידע.

2. הדרכה והטמעה

  • הארגון ידאג להדריך את כל העובדים, הספקים וקבלני המשנה על השימוש המקובל במידע ובנכסים המשויכים.
  • ההדרכות יכללו הסברים על המדיניות, כללי השימוש ואמצעים לניהול נכון של המידע והנכסים.

3. בקרה על השימוש

  • מנהלי מערכות יבצעו בקרה על השימוש במידע ובנכסים, ויוודאו כי כל המשתמשים עומדים בכללי השימוש המקובל.
  • הבקרות יכללו סקירת יומנים, ניתוח שימוש במערכות ובנכסים, ובדיקת עמידה במדיניות הארגונית.

4. דיווח וטיפול באירועים חריגים

  • כל חריגה מכללי השימוש המקובל תדווח מיידית לממונה אבטחת מידע.
  • ממונה אבטחת מידע יטפל באירועים החריגים בהתאם לנהלים הקיימים, יבחן את המקרים וינקוט בפעולות מתקנות לפי הצורך.

5. עדכון הנהלים

  • הארגון יבצע עדכונים תקופתיים לנהלי השימוש המקובל, בהתאם לשינויים בטכנולוגיה, במדיניות הארגונית או בסיכוני האבטחה.
  • כל עדכון יופץ לכלל העובדים, הספקים וקבלני המשנה, וילווה בהדרכה מתאימה.

6. בקרת ציות

  • הארגון יבצע בדיקות תקופתיות כדי לוודא את הציות לכללי השימוש המקובל במידע ובנכסים המשויכים.
  • ממצאים מהבדיקות ידווחו להנהלה ויובילו לפעולות מתקנות, ככל שיידרש.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום נוהל זה כדי לוודא שכל העובדים והגורמים המעורבים פועלים בהתאם להנחיות השימוש המקובל במידע ובנכסים המשויכים.