יעוץ מיידי
ּ

נוהל אבטחת מידע

נוהל אבטחת מידע מהווה חלק משמעותי מדרישות התקנות (תקנות הגנת הפרטיות – אבטחת מידע תשע"ז 2017), והנו חובה שחלה על הבעלים או המחזיק של מאגר מידע ברמה הבסיסית, הבינונית או הגבוהה. מטרת נוהל אבטחת המידע (או מדיניות אבטחת המידע) הנו להגדיר את האופן שבו תתנהל פעילות הארגון בכל הנוגע להגנת הפרטיות, תוך מתן חשיבות להתאמת הנוהל ליכולת הארגון ולסביבתו העסקית.תהליך נכון ליישום הוראות התקנות בעניין נוהל אבטחת מידע כולל שילוב פעילות של מנהלי הארגון, ייעוץ משפטי וגורם אבטחת מידע מקצועי. קרי, מומלץ לערוך ביצוע סקר ראשוני לארגון, ניסוח נוהל בהתאם לדרישות שבדין, ביצוע התאמה של הנוהל לדרישות מנהלי הארגון, ובקרה של גורם אבטחת מידע מקצועי ליישום של מדיניות אבטחת המידע.

מבנה המדיניות

לכל ארגון יש מקום רב להשפיע על אופן כתיבת ויישום מדיניות אבטחת המידע שלו, אך הוא נדרש לכלול בתוכו ולהתייחס למספר נושאים בהתאם להוראות הדין:

  • הנחיות שנוגעות לאבטחה הפיזית והסביבתית של מאגר המידע והגישה אליו.
  • אופן ניהול הרשאות הגישה למאגר המידע ולמערכות המאגר.
  • פירוט אמצעים שמיועדים להגנה על מערכות המאגר.
  • הוראות לבעלי הרשאת גישה למאגר המידע ולמערכות המאגר.
  • סקר סיכונים.
  • דרכי התמודדות עם אירועי אבטחת מידע.
  • הוראות בעניין התקנים ניידים (מחשבים נישאים, סלולריים, דיסק און קי)

במאגרים ברמת אבטחה בינונית או גבוהה נדרש בנוסף להגדיר במדיניות אבטחת המידע:

  • מהם האמצעים ואופן הזיהוי והאימות לגישה למערכות.
  • דרכי בקרה ותיעוד גישה ושימוש במאגר המידע.
  • יישום ההוראות לביקורות תקופתיות.
  • ביצוע גיבוי נתונים.
  • אופן יישום ותיעוד פעולות לפיתוח מאגר מידע

 

ומה אחר כך?

עם סיום ניסוח נוהל האבטחה יש המקום לזכור כי הנוהל הינו חסוי בארגון כלפי מי שאינם מורשים לגישה אליו וכי יש לחזור ולעדכן את הנוהל בכל שנה או בעת שנעשו שינויים מהותיים במאגר או במערכות המחשוב וכן כשנודע על סיכונים טכנולוגיים חדשים.

אם כל אלה עוד לא התבצעו בהליך יישום הגנת הפרטיות בארגון, נדרש לזכור למנות בעלי תפקידים בארגון לעניין הגנת הפרטיות, לבצע התאמה של הסכמי ההתקשרות עם עובדים, ספקים ולקוחות, להשלים מדיניות פרטיות ולנהל את תהליכי ההטמעה הדרושים במערכות המחשוב ובקרב העובדים

סיכומו של דבר

יישום נוהל אבטחת מידע בארגון מדרש על פי חוק ואין להמעיט בחשיבותו, עם זאת ישנה חשיבות רבה לכך שהנוהל יעמוד ביכולות הארגון. משרד ESBM ליווה ארגונים רבים בתהליך יישום נוהל אבטחת מידע בארגון ויוכל לסייע רבות במציאת האיזונים הנכונים בין דרישות החוק לצרכי הארגון.

 

ניתן לפנות לעו"ד אלדר סיון לשם קבלת ייעוץ משפטי ראשוני בטלפון052-5440147

 

***מאמר זה מוגן בהתאם לדיני הקניין הרוחני וזכויות יוצרים. המאמר מובא כשירות לציבור ואין לראות בו תחליף לייעוץ משפטי פרטני***

למעלה

השאר פרטים וניצור עימך קשר בהקדם

ּ