A.5.13 תיוג מידע
מטרה
מטרת הנוהל היא להבטיח כי כל המידע בארגון יתויג בהתאם לסיווגו בצורה נכונה ומדויקת, על מנת להבטיח את הגנתו מפני גישה לא מורשית, חשיפה לא רצויה או שימוש לא מורשה.
תחום יישום
הנוהל חל על כל סוגי המידע שבידי הארגון, לרבות מסמכים פיזיים, קבצים דיגיטליים, דואר אלקטרוני, ומידע המאוחסן במערכות מידע.
הגדרות
- תיוג מידע: הוספת סימן, תג או תווית למידע, המצביעים על סיווגו ואופן השימוש בו.
- סיווג מידע: תהליך של קביעת רמת הרגישות של המידע בהתאם לערכו ולסיכונים הקשורים לחשיפתו.
אחריות
- ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת הנוהל לתיוג מידע.
- מנהלי מערכות ומנהלי מחלקות: אחראים על יישום הנוהל במערכות שבאחריותם ועל ווידוא שהמידע מסומן בהתאם לסיווגו.
- עובדי הארגון: אחראים על תיוג המידע שהם יוצרים או מנהלים בהתאם להנחיות ולנהלים שנקבעו.
תהליך
1. קביעת קריטריונים לתיוג מידע
- הארגון יקבע קריטריונים לתיוג המידע בהתאם לסיווגו, כדי להבטיח שמידע מסווג יטופל כראוי.
- הקריטריונים יכללו תיוג לפי רמות הסיווג כגון "סודי", "רגיש", "פנימי" או "ציבורי".
2. תיוג מסמכים פיזיים
- כל מסמך פיזי יסומן בהתאם לסיווגו, באמצעות תוויות, חותמות או סימונים אחרים. הסימון יבוצע במקום גלוי וברור.
3. תיוג קבצים דיגיטליים
- קבצים דיגיטליים יסומנו באמצעות תיוג במערכת ניהול הקבצים, או באמצעות הוספת מידע לתוך הקובץ עצמו (כגון בשורת הכותרת או בנתוני המטה של הקובץ).