דלג לתוכן הראשי

A.5.3 הפרדת תפקידים

מטרה

מטרת הנוהל היא להבטיח כי תפקידים הקשורים לאבטחת מידע ולניהול מערכות המידע יופרדו בצורה מתאימה, על מנת למנוע ניגודי עניינים, להקטין את הסיכון לשגיאות או להונאות, ולהבטיח חלוקת אחריות אפקטיבית.

תחום יישום

הנוהל חל על כל תהליכי העבודה בארגון, לרבות פיתוח, תחזוקה ותפעול של מערכות מידע, ניהול סיכונים, וטיפול באירועי אבטחת מידע.

הגדרות

  • הפרדת תפקידים: חלוקת משימות ואחריות בין מספר אנשים או תפקידים, כך שאף אדם אחד לא יהיה אחראי על כל התהליך מתחילתו ועד סופו.
  • ניגוד עניינים: מצב שבו אדם בעל סמכות או אחריות מסוימת עלול להיות מונע על ידי אינטרסים אישיים או זרים העלולים לפגוע בהחלטותיו הארגוניות.

אחריות

  • הנהלת הארגון:
    • אחראית על קביעת מדיניות להפרדת תפקידים והבטחת יישומה.
    • מספקת את המשאבים הנדרשים כדי להבטיח הפרדת תפקידים בצורה אפקטיבית.
  • ממונה אבטחת מידע:
    • אחראי על פיתוח, ניהול ופיקוח על הפרדת התפקידים בארגון.
    • מוודא כי קיימת הפרדה מספקת בין תפקידים קריטיים לצורך הפחתת סיכונים.
  • מנהלי יחידות:
    • אחראים על יישום מדיניות הפרדת תפקידים ביחידותיהם.
    • מוודאים כי עובדים מבצעים את תפקידם בהתאם להנחיות הפרדת התפקידים.
  • עובדי הארגון:
    • מחויבים לפעול בהתאם להנחיות הפרדת התפקידים ולדווח על כל ניגוד עניינים אפשרי.

תהליך

1. זיהוי תפקידים ותהליכים קריטיים

  • הארגון יזהה את התפקידים והתהליכים הקריטיים הנדרשים להפרדת תפקידים, כולל תחומים בהם עשוי להיות ניגוד עניינים או ריכוז סמכויות מסוכן.

2. חלוקת משימות ואחריות

  • הממונה על אבטחת המידע, יחד עם הנהלת הארגון, יבטיחו כי משימות ואחריות יתחלקו בין מספר תפקידים או אנשים, בהתאם לצורך, כדי למנוע ריכוז סמכויות מסוכן.

3. בקרות והגנה

  • הארגון יקים בקרות ואמצעי בקרה כדי לוודא כי ההפרדה בין תפקידים נשמרת, כולל מערכות לניטור ובדיקה של יישום ההנחיות.

4. הכשרה והדרכה

  • הארגון יספק הכשרה והדרכה לעובדים על מדיניות הפרדת תפקידים, כולל הסבר על החשיבות והיתרונות של הפרדת תפקידים.

5. בקרה ובקרה

  • ממונה אבטחת המידע יבצע ביקורות תקופתיות לוודא כי ההנחיות להפרדת תפקידים מיושמות בפועל.

6. דיווח חריגות

  • כל עובד או מנהל בארגון מחויב לדווח על כל חשד לניגוד עניינים או הפרה של מדיניות הפרדת תפקידים לממונה אבטחת המידע.

הערות

  • הארגון יבצע הערכות תקופתיות של תהליכי הפרדת תפקידים, ויעדכן את המדיניות בהתאם לשינויים בסביבת העבודה או בטכנולוגיות המשמשות את הארגון.
  • מדיניות הפרדת התפקידים תהיה חלק מתוכנית ניהול הסיכונים של הארגון.