דלג לתוכן הראשי

A.7.10 אמצעי אחסון

מטרה

מטרת הנוהל היא להבטיח כי כל אמצעי האחסון המשמשים את הארגון מוגנים בצורה נאותה כדי למנוע אובדן מידע, גישה לא מורשית, נזק פיזי או גניבה של נתונים רגישים.

תחום יישום

הנוהל חל על כל אמצעי האחסון הפיזיים והדיגיטליים המשמשים לאחסון נתונים ארגוניים, כולל כוננים קשיחים, התקני USB, מדיה אופטית, מערכות אחסון בענן, ומערכות גיבוי.

הגדרות

  • אמצעי אחסון: כל מכשיר, התקן או מערכת המשמשים לאחסון מידע, כולל התקנים ניידים ומערכות אחסון ארגוניות.
  • הגנה על אמצעי אחסון: פעולות שננקטות כדי להבטיח שמירה על שלמות המידע המאוחסן ומניעת גישה לא מורשית או נזק פיזי.

אחריות

  • מחלקת IT: אחראית על ניהול, תחזוקה והגנה על אמצעי האחסון בארגון, כולל התקנת מערכות הגנה, פיקוח על גישה וניהול גיבויים.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם משתמשים באמצעי האחסון בהתאם לנוהלי האבטחה.
  • כל עובד: אחראי לשמור על אמצעי האחסון שבאחריותו ולהשתמש בהם בהתאם להנחיות הארגון.

תהליך

1. ניהול אמצעי אחסון

  • כל אמצעי אחסון יקוטלג ויתועד במערכת ניהול נכסים ארגונית, כולל פרטי התקן, מיקום, והאחריות על תחזוקתו.
  • יש להבטיח שמערכות אחסון מרכזיות מוגנות על ידי בקרת גישה מתאימה, הצפנה ובקרת גישה פיזית.

2. הגנה פיזית על אמצעי אחסון

  • אמצעי אחסון רגישים יישמרו באזורים מוגנים ומאובטחים, כולל שימוש בכספות, חדרים מוגבלים או ארונות נעולים.
  • ציוד אחסון נייד, כגון התקני USB, יישמר במקום מאובטח כאשר אינו בשימוש, ויישומו אמצעי הגנה נוספים כגון הצפנה.

3. הגנה על נתונים

  • כל מידע המאוחסן באמצעי אחסון רגישים יוגן באמצעות הצפנה חזקה כדי למנוע גישה לא מורשית במקרה של אובדן או גניבה.
  • מחלקת IT תוודא שמדיניות ההצפנה מיושמת בכל אמצעי האחסון הניידים והסטטיים בארגון.

4. ניהול גיבויים

  • יש לנהל גיבויים סדירים של כל המידע המאוחסן באמצעי אחסון קריטיים, ולשמור את הגיבויים במיקום מאובטח ונפרד ממיקום הנתונים המקוריים.
  • מחלקת IT תבצע בדיקות תקופתיות של הגיבויים כדי לוודא את שלמותם ויכולת השחזור במקרה הצורך.

5. השמדה מאובטחת

  • כאשר אין צורך יותר באמצעי אחסון מסוימים, יש לוודא השמדה מאובטחת של המידע המאוחסן בהם, בהתאם לנהלי הארגון.
  • יש להשתמש בשיטות השמדה מאובטחות כגון גריסה פיזית של התקנים, מחיקת מידע בלתי הפיכה או שימוש בכלים ייעודיים להשמדת מידע דיגיטלי.

6. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי האחסון, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לאמצעי אחסון, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.