דלג לתוכן הראשי

A.7.6 עבודה באזורים מאובטחים

מטרה

מטרת הנוהל היא להבטיח כי עבודה המתבצעת באזורים מאובטחים נעשית בהתאם לסטנדרטים הגבוהים ביותר של אבטחת מידע ופיזית, כדי להגן על הנכסים והמידע הרגישים של הארגון.

תחום יישום

הנוהל חל על כל העובדים, הקבלנים והספקים המבצעים עבודה באזורים מוגדרים כמאובטחים, כולל חדרי שרתים, מתקני אחסון נתונים, ומשרדים רגישים אחרים.

הגדרות

  • אזור מאובטח: כל אזור בארגון בו מאוחסנים, מטופלים או מועבדים נכסים או מידע רגישים, ונדרשת בו רמת אבטחה גבוהה.
  • עבודה באזורים מאובטחים: כל פעילות המתבצעת באזורים מאובטחים, כולל תחזוקה, שדרוגים, טיפול במערכות טכנולוגיות, וגישה למידע רגיש.

אחריות

  • מחלקת אבטחה פיזית: אחראית על ניהול והגבלת הגישה לאזורים המאובטחים, וכן על פיקוח על פעילויות המתרחשות באזורים אלו.
  • מחלקת IT: אחראית על הבטחת אבטחת המידע והמערכות הטכנולוגיות באזורים המאובטחים.
  • מנהלים ישירים: אחראים לוודא שהעובדים בצוותם פועלים בהתאם לנוהלי העבודה באזורים מאובטחים.

תהליך

1. ניהול גישה לאזורים מאובטחים

  • הגישה לאזורים מאובטחים תותר אך ורק לעובדים מורשים בלבד, אשר עברו תהליך בדיקת רקע ואישור מתאים.
  • יש להשתמש באמצעי זיהוי כגון כרטיסי גישה ביומטריים או תגים חכמים כדי להיכנס לאזורים אלו.

2. הדרכת עובדים

  • כל עובד המורשה להיכנס ולעבוד באזור מאובטח יעבור הדרכה ייעודית בנושא נהלי עבודה, אבטחת מידע ואבטחה פיזית.
  • ההדרכה תכלול הסברים על סיכונים פוטנציאליים ודרכי מניעה, וכן על הנהלים והתקנות שיש לפעול לפיהם.

3. פיקוח ובקרה

  • מחלקת אבטחה פיזית תפקח על כל פעילות באזורים המאובטחים, כולל ניטור בזמן אמת של מצלמות אבטחה ובקרת כניסות.
  • כל פעילות חריגה או ניסיון גישה לא מורשית ידווחו מידית ויטופלו בהתאם לנהלים.

4. תיעוד פעילויות

  • כל כניסה לאזור מאובטח תתועד במערכת בקרת הגישה, כולל פרטי העובד, זמן כניסה ויציאה, וסיבת הביקור.
  • יש לתעד את כל הפעילויות המתבצעות באזור המאובטח ולשמור על תיעוד נגיש לצורכי בקרה וניתוח.

5. תחזוקה ובדיקות תקופתיות

  • כל עבודות תחזוקה באזורים מאובטחים יבוצעו אך ורק לאחר קבלת אישור מתאים, ובכפוף לנוהלי אבטחה מחמירים.
  • יש לבצע בדיקות תקופתיות למערכות הנמצאות באזורים מאובטחים כדי להבטיח את תקינותן ועמידותן.

6. עדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי העבודה באזורים מאובטחים, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לעבודה באזורים מאובטחים, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.