דלג לתוכן הראשי

A.5.33 הגנת תיעודים

מטרה

מטרת הנוהל היא להבטיח את ההגנה על תיעודים בארגון מפני אובדן, שינוי, גישה לא מורשית, והשמדה, וכן לעמוד בדרישות החוקיות, הרגולטוריות והעסקיות בנוגע לשמירה על תיעודים.

תחום יישום

הנוהל חל על כל התיעודים שנוצרים, נשמרים, או מנוהלים בארגון, כולל תיעודים פיזיים ודיגיטליים.

הגדרות

  • תיעוד: כל סוג של מסמך, בין אם פיזי ובין אם דיגיטלי, שנוצר או נשמר במסגרת פעילות הארגון, כולל נתונים, דוחות, התכתבויות, חוזים, ועוד.
  • הגנה על תיעודים: אמצעים שננקטים כדי להבטיח את השלמות, הזמינות והסודיות של תיעודים, ולמנוע גישה לא מורשית או שינויים לא מורשים.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל, וכן על הפיקוח על יישום אמצעי ההגנה על תיעודים.
  • מנהל המערכות האחראי: אחראי על יישום אמצעי ההגנה על תיעודים, כולל תשתיות המחשוב והשירותים המקושרים.
  • מנהלי מחלקות: אחראים על יישום הנוהל במחלקותיהם ועל הדיווח על כל אירוע חריג שקשור להגנת תיעודים.

תהליך

1. זיהוי וסיווג תיעודים

  • הארגון יזהה את כל התיעודים שנוצרים ונשמרים במסגרת פעילותו, ויסווג אותם לפי רמת הרגישות שלהם.
  • תיעודים יסווגו כ"רגישים", "קריטיים", "פנימיים" או "ציבוריים" בהתאם לחשיבותם ולצורך בהגנה עליהם.

2. הערכת סיכונים

  • הארגון יבצע הערכת סיכונים הקשורים לתיעודים, על מנת לזהות את הסיכונים האפשריים לאובדן, שינוי, או גישה לא מורשית.
  • הערכת הסיכונים תכלול ניתוח של איומים פנימיים וחיצוניים העלולים להשפיע על תיעודים רגישים.

3. פיתוח ויישום בקרות

  • הארגון יפתח ויישם בקרות להגנה על תיעודים, כולל בקרות גישה, הצפנה, גיבוי, ואחסון מאובטח.
  • בקרות הגישה יבטיחו שרק בעלי הרשאות מתאימות יוכלו לגשת לתיעודים מסוימים.
  • תיעודים רגישים וקריטיים יוגנו באמצעות הצפנה ויועברו לאחסון מאובטח.

4. תחזוקה ובקרה

  • הארגון יבצע תחזוקה תקופתית של אמצעי ההגנה על תיעודים כדי לוודא כי הם פועלים ביעילות.
  • הארגון יפקח באופן שוטף על הגישה לתיעודים ויוודא כי אין גישה לא מורשית או שינויים לא מורשים.

5. ניהול תקריות

  • הארגון יפעל על פי נוהל ניהול תקריות במקרה של אובדן, שינוי, או גישה לא מורשית לתיעודים.
  • כל תקרית תדווח באופן מיידי לממונה אבטחת מידע ותטופל בהתאם לתהליכים שנקבעו.

6. שמירה והשמדה של תיעודים

  • הארגון יקבע מדיניות ברורה לשמירה והשמדה של תיעודים, בהתאם לדרישות החוקיות, הרגולטוריות, והעסקיות.
  • תיעודים יישמרו רק כל עוד הם נחוצים לפעילות הארגון, ולאחר מכן יושמדו בצורה מאובטחת.

הערות

  • הארגון יבטיח כי כל העובדים מודעים לחשיבות ההגנה על תיעודים וכי הם פועלים בהתאם למדיניות הארגון.
  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע להגנת תיעודים ויעדכן את הנוהל בהתאם לשינויים בארגון או בסביבה החיצונית.