נוהל: הפרדת תפקידים לאבטחת מידע A6.1.2

16/12/2023 10:00:52 – Updated on 16/12/2023 10:48:34

אבטחה > ISO 27001 > ארגון אבטחת מידע A6 > ארגון פנימי A.6.1 > נוהל: הפרדת תפקידים לאבטחת מידע A6.1.2

מטרה

מטרת הנוהל היא להבטיח הפרדה של תפקידים בנושאי אבטחת מידע בחברת איי.אמ.אס טכנולוגיות.

תחום יישום

הנוהל חל על כל עובדי החברה, לרבות עובדים קבועים, עובדים זמניים ועובדים בחוזה.

הגדרות

  • הפרדת תפקידים: חלוקה של משימות וסמכות בין עובדים שונים, כך שלא יהיה לעובד אחד שליטה מלאה על תהליך או מערכת אבטחת מידע.
  • חפיפה בתחומי אחריות: מצב שבו שני עובדים או יותר מחזיקים באחריות על אותה משימה או מערכת אבטחת מידע.

אחריות

  • הנהלה:
    • אחראית על קביעת מדיניות הפרדת תפקידים לאבטחת מידע בחברה.
    • אחראית על אספקת המשאבים הדרושים ליישום מדיניות הפרדת תפקידים לאבטחת מידע.
    • אחראית על מעקב אחר ביצוע מדיניות הפרדת תפקידים לאבטחת מידע.
  • ממונה אבטחת מידע:
    • אחראי על יישום מדיניות הפרדת תפקידים לאבטחת מידע בחברה.
    • אחראי על ניהול תהליך ההערכה של חפיפות בתחומי אחריות.
  • עובדים:
    • אחראים על יישום מדיניות הפרדת תפקידים לאבטחת מידע בעבודתם השוטפת.

תהליך

1. הערכה של חפיפות בתחומי אחריות

הממונה על אבטחת המידע יערוך הערכה של חפיפות בתחומי אחריות בנושאי אבטחת מידע. ההערכה תכלול את הנושאים הבאים:

  • זיהוי תפקידים עם חפיפות בתחומי אחריות.
  • הערכת מידת החפיפה בין התפקידים.
  • זיהוי אירועים או פעולות שעלולות להיגרם כתוצאה מחפיפות בתחומי אחריות.

2. נקיטת פעולות להפחתת חפיפות בתחומי אחריות

על בסיס ממצאי ההערכה, הממונה על אבטחת המידע יקח את הצעדים הבאים להפחתת חפיפות בתחומי אחריות:

  • שינוי תיאור התפקידים.
  • שינוי הרשאות הגישה למערכות אבטחת מידע.
  • חלוקת אחריות בין עובדים שונים.

3. מעקב אחר ביצוע

הנהלת החברה תעקוב אחר ביצוע מדיניות הפרדת תפקידים לאבטחת מידע. המעקב יכלול את הנושאים הבאים:

  • בדיקת יישום מדיניות הפרדת תפקידים לאבטחת מידע בחברה.
  • בדיקת יעילות מדיניות הפרדת תפקידים לאבטחת מידע בחברה.

הנחיות נוספות

  • החברה תכין רשימה של תפקידים עם חפיפות בתחומי אחריות.
  • החברה תעדכן את רשימת התפקידים עם חפיפות בתחומי אחריות מעת לעת.

שינוי

נוהל זה יעודכן מעת לעת בהתאם לצורך.

דוגמאות לחפיפות בתחומי אחריות

  • עובד אחראי על יישום מדיניות אבטחת מידע הוא גם בעל גישה למערכות אבטחת מידע.
  • עובד אחראי על אבטחת רשתות הוא גם בעל גישה למידע רגיש.
  • עובד אחראי על שינויים במערכת מידע הוא גם בעל גישה למידע רגיש.

הערה

הפרדת תפקידים היא אמצעי חשוב להגנה על נכסי המידע של הארגון. הפרדת תפקידים מונעת מעובד אחד לשלוט לחלוטין על תהליך או מערכת אבטחת מידע, מה שמקטין את הסיכון לאירועי אבטחת מידע.