A.5.14 העברת מידע
מטרה
מטרת הנוהל היא להבטיח כי העברת מידע בתוך הארגון ומחוצה לו תתבצע בצורה מאובטחת, על מנת להגן על המידע מפני גישה לא מורשית, שינוי, גניבה או אובדן במהלך העברתו.
תחום יישום
הנוהל חל ע ל כל סוגי המידע המועבר בין יחידות הארגון השונות, בין הארגון לגורמים חיצוניים, ובכל אמצעי התקשורת.
הגדרות
- העברת מידע: תהליך של שליחת מידע ממקום אחד לאחר, באמצעות אמצעים פיזיים או אלקטרוניים.
- אמצעי העברה: כלים או טכנולוגיות המשמשות להעברת מידע, כגון דואר אלקטרוני, שירותי ענן, העתקות פיזיות (דיסקים, ניירות), וכדומה.
אחריות
- ממונה אבטחת מידע: אחראי על פיתוח, ניהול ובקרת הנוהל להעברת מידע.
- מנהלי מערכות ומנהלי מחלקות: אחראים על יישום הנוהל במערכות ובתהליכים שבאחריותם, ועל ווידוא כי המידע מועבר בצורה מאובטחת.
- עובדי הארגון: אחראים על העברת מידע בהתאם להנחיות הנוהל ולשימוש באמצעי ההעברה המאובטחים.
תהליך
1. קביעת מדיניות להעברת מידע
- הארגון יקבע מדיניות להעברת מידע בהתאם לרמת הסיווג של המידע ואמצעי ההעברה המתאימים.
- המדיניות תכלול הנחיות להעברת מידע בתוך הארגון, בין הארגון לגורמים חיצוניים, ובאמצעים פיזיים ואלקטרוניים.
2. הגדרת אמצעי העברה מאובטחים
- הארגון יגדיר ויאשר אמצעי העברה מאובטחים, כגון:
- הצפנה: כל מידע רגיש שיועבר אלקטרונית יצפין באמצעות פרוטוקולי הצפנה מאושרים.
- חתימה דיגיטלית: יש להשתמש בחתימות דיגיטליות כדי להבטיח את שלמות המידע במהלך העברתו.
- שליחים מאובטחים: מידע פיזי חשוב יועבר באמצעות שליחים מאובטחים בלבד.
- שירותי אחסון בענן מאובטחים: יש להשתמש בשירותי ענן שמספקים הגנה על המידע במהלך העברתו ואחסונו.