דלג לתוכן הראשי

A.6.4 תהליך משמעתי

מטרה

מטרת הנוהל היא להבטיח כי כל הפרה של מדיניות אבטחת המידע תטופל בצורה מסודרת והוגנת, תוך שמירה על אבטחת המידע של הארגון והגנה על עובדיו.

תחום יישום

הנוהל חל על כל עובדי הארגון, קבלנים וספקים אשר חלים עליהם מדיניות אבטחת המידע של הארגון.

הגדרות

  • הפרת מדיניות אבטחת מידע: כל פעולה או מחדל המפרים את מדיניות, הנהלים או התקנים לאבטחת מידע של הארגון.
  • תהליך משמעתי: תהליך בו הארגון מטפל בהפרות של מדיניות אבטחת המידע, החל מחקירה ועד להטלת סנקציות אם יש צורך.

אחריות

  • מנהלים: אחראים לדווח על כל הפרת מדיניות אבטחת מידע ולהתחיל בתהליך משמעתי במידת הצורך.
  • ממונה אבטחת מידע: אחראי על ניהול החקירה של הפרת המדיניות והמלצה על צעדים משמעתיים.
  • מחלקת משאבי אנוש: אחראית על הטיפול בתהליך המשמעתי, כולל רישום ותיעוד ההליכים והפעולות שננקטו.

תהליך

1. דיווח על הפרת מדיניות אבטחת מידע

  • כל עובד או מנהל שמזהה הפרה של מדיניות אבטחת מידע חייב לדווח על כך באופן מיידי למנהל הישיר שלו או לממונה אבטחת מידע.
  • הדיווח יתבצע בכתב ויכלול תיאור מפורט של ההפרה.

2. חקירה ראשונית

  • ממונה אבטחת מידע יערוך חקירה ראשונית על מנת לקבוע את חומרת ההפרה, את הסיכונים הקשורים לה, ואת מידת האחריות של העובדים המעורבים.
  • החקירה תתבצע תוך שמירה על פרטיות המעורבים והגנה על מידע רגיש.

3. החלטה על צעדים משמעתיים

  • ממונה אבטחת מידע יגיש דוח על תוצאות החקירה להנהלה הבכירה, כולל המלצות לצעדים משמעתיים אם יש צורך.
  • הנהלה הבכירה תקבל החלטה על הצעדים המשמעתיים שיינקטו, בהתבסס על חומרת ההפרה והתקנות הפנימיות של הארגון.

4. יישום צעדים משמעתיים

  • מחלקת משאבי אנוש תיישם את הצעדים המשמעתיים שנקבעו, אשר עשויים לכלול אזהרה, השעיה, או סיום העסקה בהתאם לחומרת ההפרה.
  • כל פעולה משמעתית תתועד ותישמר בתיק האישי של העובד.

5. מעקב וסקירה

  • ממונה אבטחת מידע ומחלקת משאבי אנוש יבצעו מעקב אחר יישום הצעדים המשמעתיים ויוודאו שהעובדים המבצעים פועלים בהתאם להחלטות שהתקבלו.
  • הארגון יבצע סקירות תקופתיות על תהליך המשמעת, על מנת לשפרו ולהתאימו לשינויים אפשריים בארגון או בסיכונים.

הערות

  • הארגון ידאג לשמירה על זכויות העובדים במהלך התהליך המשמעתי, כולל זכות לשימוע וזכות להגנה.
  • במקרה של הפרה חמורה או חוזרת של מדיניות אבטחת המידע, הארגון ישקול להטיל סנקציות מחמירות בהתאם להנחיות הפנימיות.