דלג לתוכן הראשי

A.5.12 סיווג מידע

מטרה

מטרת הנוהל היא להבטיח כי כל המידע בארגון יסווג בצורה מתאימה בהתאם לרמת הרגישות שלו, וזאת על מנת להגן עליו מפני גישה בלתי מורשית, שינוי או חשיפה לא רצויה.

תחום יישום

הנוהל חל על כל סוגי המידע בארגון, כולל מידע דיגיטלי, מידע פיזי, מידע פנימי, מידע מסחרי, ומידע אישי.

הגדרות

  • מידע: כל נתון, מסמך, תוכן דיגיטלי, או פיזי שנמצא ברשות הארגון או שנוצר על ידי הארגון.
  • סיווג מידע: תהליך של קביעת רמת הרגישות של המידע וקביעה של אמצעי ההגנה הנדרשים עבורו.
  • רמות סיווג: קטגוריות אשר מגדירות את רמת הרגישות של המידע (למשל: ציבורי, פנימי, סודי, סודי ביותר).

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול, ובקרת נוהל סיווג המידע.
  • מנהלי מערכות: אחראים על הטמעת הסיווג במערכות המידע ובמסמכים בארגון.
  • עובדי הארגון: אחראים על שמירה על הסיווג שהוקצה למידע ושימוש באמצעי ההגנה המתאימים.

תהליך

1. קביעת קריטריונים לסיווג מידע

  • הארגון יקבע קריטריונים ברורים לסיווג המידע, בהתבסס על רמת הרגישות, ההשלכות של חשיפה בלתי מורשית, והרגולציות הרלוונטיות.
  • הקריטריונים יכללו מדרגי סיווג, כגון: מידע ציבורי, מידע פנימי, מידע מסווג, ומידע סודי ביותר.

2. סיווג ראשוני של המידע

  • כל מידע חדש שנוצר או נתקבל בארגון יסווג לפי הקריטריונים שנקבעו. סיווג המידע יתבצע על ידי יוצר המידע או על ידי הגורם האחראי על קבלתו.
  • הסיווג יופיע במערכת המידע של הארגון ובמידע הפיזי לפי הסימונים שהוגדרו.

3. תיוג מידע

  • מידע דיגיטלי ופיזי יסומן באופן ברור לפי הסיווג שנקבע. התיוג יכלול את רמת הסיווג ויצביע על אמצעי ההגנה הנדרשים.
  • לדוגמה, מסמכים מסווגים יסומנו בתווית צבעונית המתאימה לרמת הסיווג ויהיו מוגנים לפי הנהלים המתאימים.

4. ניהול גישה למידע מסווג

  • גישה למידע מסווג תינתן אך ורק לעובדים המורשים לכך בהתאם לרמת הסיווג והצורך בתפקיד.
  • הארגון יישם מנגנוני בקרת גישה על מידע דיגיטלי ומידע פיזי בהתאם לרמת הסיווג שנקבעה.

5. סקירה ועדכון סיווג

  • סיווג המידע ייבדק ויעודכן באופן תקופתי או במקרה של שינוי במצב המידע או בשימוש בו. עדכון הסיווג יבוצע בהתאם לקריטריונים שנקבעו ולשיקול דעתו של ממונה אבטחת המידע.
  • מידע שאינו נדרש לשמירה לפי רמת סיווג גבוהה, יועבר לרמת סיווג נמוכה יותר או יושמד בהתאם לנהלים.

6. תיעוד ושימור

  • כל מידע מסווג יתועד במערכת ניהול המידע של הארגון, כולל רמת הסיווג, אמצעי ההגנה הנדרשים, והאחראים על שמירתו.
  • הארגון יישמר עותקים של תיעוד זה ויוודא שהוא נגיש רק לאנשים המורשים.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לסיווג מידע ויוודא שכל המידע מסווג כראוי ומוגן בהתאם לסיווגו.
  • כל שינוי ברמות הסיווג או במדיניות הסיווג יעודכן ויופץ לכלל העובדים הרלוונטיים.