עברית English
 

מדיניות אבטחת מידע פנים ארגונית / חיצונית

מדיניות אבטחת המידע הינו מסמך אשר נכתב על ידי ההנהלה הבכירה בארגון ובשל כך מהווה קו מנחה ומחייב לכלל עובדי החברה כמובן מסמך זה אינו סודי ומופץ לכל העובדים כדי ש- "ילמדו" את חוקי החברה בהקשר אבטחת המידע.


בדרך כלל המדינות הארגונית נקבעת על ידי מנהל מערכות מידע שהארגון מינה (במידה ויש כזה, בדרך כלל בארגונים קטנים הדבר פחות נפוץ ולכן משתמשים שירותי ייעוץ מומחים) .

מדיניות אבטחת המידע בחברה כוללת את העקרונות שלפיהם יוקם מערך אבטחת המידע במידה ועדיין אין וכוללת את הקו המנחה לניהול אבטחת המידע הן מהצד המיישם (צוות אבטחת המידע) והן מצד המשתמשים, מדיניות אבטחת המידע בעצם הופכת כל עובד בארגון להיות "מיישם" אבטחת מידע ומחייבת אותו לפעול על פי הכללים שנקבעו הדורשים לשמר את המידע ברגון.

מדיניות אבטחת המידע אמורה להיבדק ולהתעדכן במידת הצורך לפחות אחת לשנה כאשר אנו ממליצים לבצע זאת כל רבעון.



מדיניות אבטחת המידע מתבססת על כמה עקרונות עיקריים:



  • הגדרת העקרונות אבטחת המידע המתבססים על פי החלטות הארגון.
  • הגדרת צוות היגוי בנושא אבטחת מידע אשר יפקח על שמירת המדיניות ויישומה.
  • הגדרת התפקידים של צוות אבטחת המידע, הן ברמת הניהול והן ברמת היישום (במקרים מסויימים אף מטילים אחריות ניהולית בדרגה מסויימת גם לעובדים).
  • הגדרת רמת אבטחת המידע הנדרשת בהתאם לרלוונטיות הארגון ולניהול הסיכוניים העסקי.
  • קביעת המשאבים והתקציבים אשר יעמדו לרשות אבטחת המידע, הן בצד כוח האדם והן בצד החומרתי.
  • סיווג המידע הקיים בארגון וקביעת הנגישות בהתאם לרמת הסיווג של מבקש המידע.
  • הגדרת בעלי המידע ולקיחת אחריות.
  • בדיקת היבטים משפטיים והשלכות על הפעולות השונות.
  • הגדרת תוכנית להגברת המודעות בקרב העובדים וקביעת תהליך הפצת המדיניות.
  • הגדרת ניטור ובקרה .
  • הגדרת תוכנית עתידית.
  • קביעת מדיניות למצב שבו רוצים לשנות את המדיניות הקיימת.
  • קביעת מדיניות בנושא גיבויים והתאששות מאסון.
  • קביעת יישום המדיניות כבר בשלבי הפיתוח.

במהלך תהליך יצירת המדיניות נערכות פגישות ביננו לבין מנהלי הצוותים והמחלקות לצורך הבנת הארגון בכל תחומיו  כדי לקבל "תמונה" כוללת על הארגון.