English
צור קשר

מדיניות אבטחת מידע

1.     כללי

מטרת המדיניות הכללית הזו היא להגדיר את היעדים, העקרונות והכללים הבסיסיים בניהול אבטחת מידע.

מדיניות זו ישימה למערכת ניהול אבטחת המידע (ISMS) כולה, כפי שמוגדר במערכת אבטחת המידע.

2.     מטרה

המטרה והיעדים של מדיניות אבטחת זו הם לקבוע מסגרת להגנה על נכסי המידע של החברה, כולל:

  • להגן על מידע החברה מפני כל איום, בין אם פנימי ובין אם חיצוני, במכוון או בשוגג.
  • לאפשר את יישום האסטרטגיה העסקית באמצעות הנחיות לגבי אבטחה ופרטיות ועל ידי ניהול סיכונים ביישום האסטרטגיה ובמתן שירותים ללקוחות.
  • לאפשר שיתוף בטוח של מידע.
  • לעודד שימוש עקבי ומקצועי במידע.
  • להבטיח שכולם יבינו היטב את תפקידם ואחריותם בשימוש במידע ובהגנה עליו.
  • להבטיח את הרציפות העסקית ולמזער את הנזק לעסק.
  • להגן על החברה מפני חבות משפטית ומידע לא נאות במידע.

3.     הגדרות

סודיות (confidentiality)– מאפיין של המידע הקובע שהוא נגיש לאנשים או מערכות מורשים בלבד.

שלמות (integrity)– מאפיין של מידע המתיר אך ורק לאנשים מורשים או מערכות מורשות לשנות אותו, ובאופן מורשה בלבד.

זמינות (availability)– מאפיין של מידע המתייחס ליכולת של אנשים מורשים לגשת אליו בעת הצורך.

אבטחת מידע (Information security)– שמירה על הסודיות, השלמות והזמינות של מידע.

מערכת ניהול אבטחת מידע ((Information security management system (ISMS) – חלק מתהליכי הניהול, כולל תכנון, יישום, תחזוקה, בדיקה ושיפור אבטחת המידע.  

נכס (asset)– כל דבר בעל ערך לחברה, כולל נתונים, התקנים או רכיבים אחרים של הסביבה, התומכים בפעולות הקשורות למידע.

עמידה בחוקים נהלים ותקנות (compliance) – כדי להבטיח ציות לתקן או קווים מנחים, או  לצורך יישום עקבי של תקנים חשבונאיים או שיטות אחרות.

שליטה (control) –  אמצעי הגנה או אמצעי נגד למניעה, גילוי, בקרה או מזעור של סיכוני אבטחה לרכוש פיזי, מידע, מערכות מידע או נכסים אחרים.

איום (threat) – איום הוא כל דבר שיכול לנצל פרצות אבטחה. כל גורם אפשרי לתאונה יכול להיחשב לאיום. לדוגמה, שריפה היא איום שיכול להיגרם בשל חיפויי רצפה דליקים. מונח זה משמש לעתים קרובות בניהול אבטחת מידע ובניהול הרציפות של שירותי IT, אך ישים גם לתחומים אחרים, כמו למשל ניהול בעיות וזמינות.

פרצות אבטחה (Vulnerability) – פרצה שיכולה להיות מנוצלת על ידי איום – לדוגמה, פרצה חומת אש, סיסמה שלעולם לא משנים וגם שטיח דליק. מצב של היעדר בקרה נחשב אף הוא לפרצה.  

מידע אישי ((Personal data information) – כל מידע הקשור לאדם טבעי מזוהה או ניתן לזיהוי ("מושא הנתונים"); אדם טבעי ניתן לזיהוי הוא אדם שניתן לזהות, באופן ישיר או עקיף, באופן ספציפי באמצעות נתון מזהה, כמו למשל שם, מספר זיהוי, נתוני מיקום, או מזהה מקוון, או גורם ספציפי אחד או יותר לגבי הזהות הפיזית, הפסיכולוגית, הגנטית, המנטלית, הכלכלית, התרבותית או החברתית של אותו אדם טבעי.

4.     תפקידים ותחומי אחריות

אבטחת מידע תנוהל באמצעות מסגרת מאושרת, עם מינוי בעלי תפקידים ותיאום של יישום מדיניות אבטחה זו בכל רחבי החברה, וכן בהתנהלות החברה עם צדדים שלישיים. 

יש לפנות לייעוץ חיצוני מומחה בעת הצורך, כדי להבטיח עמידה במדיניות, בתהליכים ובנהלים לאבטחת מידע, וכדי לטפל באיומים ותקנים חדשים ואחרים.

המנכ"ל הוא הגורם האחראי הממונה על מדיניות אבטחת המידע, והוא אחראי לתחזוקה ולסקירה של מדיניות אבטחת המידע, מדיניות הפרטיות, והתהליכים והנהלים הקשורים בכך.

כל עובדי החברה, צדדים שלישיים המועסקים כקבלנים, ונציגי החברה הניגשים למידע החברה נדרשים לציית למדיניות אבטחת המידע, מדיניות הפרטיות, התהליכים והנהלים הקשורים בכך.

כל העובדים נדרשים לעבור על מדיניות אבטחת המידע, מדיניות הפרטיות ושאר המסמכים הפנימיים אחת לשנה, ולאשר באופן אלקטרוני את הסכמתם לציית לכל קווי המדיניות והנהלים.

 

5.     קווי המדיניות של החברה

5.1.     מדיניות ISMS  

החברה מיישמת מערכת לניהול אבטחת מידע על פי הדרישות של תקן ISO 27001, כדי לקיים את דרישות ההנהלה, הלקוחות, החוקים והתקנות, וכן כדי לעמוד בתקנים מקובלים בשוק, ולספק ללקוחות שירות מקצועי ואמין.

החברה תתנהל ותפעל תוך ציות לכללים ולדרישות הלקוחות, וכן לתקנים הרגולטורים לגבי אבטחת נתונים.

החברה מכירה בצורך ליישם מנגנוני אבטחה ואבטחת מידע בתחומי פעילותה.

הנהלת החברה תשאף למנוע מקרי מעילה או הונאה על ידי עובדים או על ידי כל גורם שיש לו קשר עסקי עם החברה. 

החברה תיישם מערכת ניהול סיכונים דינמית בתחום של אבטחת מידע, ותפעל בכל עת כדי להפחית סיכונים על פי ההתפתחויות בפעילות. סיכונים ינוהלו על ידי קביעת קריטריוני חומרה ברורים כדי לאפשר השוואה בין סיכונים שונים.

החברה תיישם את כל הצעדים הדרושים כדי לתחזק את הסודיות, השלמות והזמינות של הנתונים, וכדי למנוע הגעה של המידע שלה ושל לקוחותיה לידי צדדים לא מורשים כלשהם.

כדי לקיים את הדרישות של מערכת ניהול אבטחת המידע, החברה תקבע יעדים בתחומים של משאבי אנוש, זמינות וסודיות.

החברה תעלה את המודעות של עובדיה ונציגיה לגבי כל האספקטים של אבטחת מידע, ותבטיח שכל המידע הרלבנטי המועבר על ידי עובדי החברה נשמר בסודיות, מבלי שהם יחששו מפעולה משמעתית או אחרת אשר תינקט על ידי החברה.

הנהלת החברה תיצור תשתית אשר תבטיח רציפות עסקית במקרה של אירוע חריג או כשל שעלולים למנוע מהחברה לפעול או לספק שירות איכותי ואמין.

הנהלת החברה תסקור ותעדכן את המדיניות אחת לשנה כחלק מסקר ההנהלה של החברה, ואחרי אירועים הקשורים לאבטחת מידע.

 

5.2.     ניהול נכסים

נכסי החברה יוגנו כהלכה.

כל הנכסים (נתונים, מידע, תוכנה, ציוד מחשבים ותקשורת, אמצעי שירות ואנשים) יילקחו בחשבון, ולכל נכס ייקבע גורם אחראי (בעלים).

נכסי נתונים יסווגו על פי הקטגוריות הבאות. כמו כן, יש לדאוג ליישום של בקרות מתאימות:

  • מידע ציבורי: מידע שאינו סודי ויכול להתפרסם באופן פומבי, מבלי שהדבר יגרום להשלכות על החברה. אובדן הזמינות של מידע זה בשל השבתת מערכות הוא סיכון קביל. שלמות הנתונים השייכים לקטגוריה הזו היא גורם חשוב, אך לא חיוני.
  • שימוש פנימי: מידע המוגבל לגישה פנימית באישור ההנהלה, ומוגן מפני גישה חיצונית. גישה של מידע מעין זה על ידי גורמים לא מורשים עלולה להשפיע על היעילות התפעולית של החברה, לגרום להפסד כספי משמעותי, לגרום לרווח משמעותי למתחרה, או לגרום לירידה משמעותית באמון הלקוחות. במקרה זה, שלמות הנתונים היא חיונית.
  • מידע מוגבל: מידע הנאסף ומשמש את החברה במהלך עסקיה, בהעסקה של עובדים, בפתיחה וביצוע של הזמנות של לקוחות, ובניהול האספקטים הפיננסיים של החברה. הגישה למידע זה היא מוגבלת מאוד בחברה. מידע זה מחייב את הרמות הגבוהות ביותר של הגנה על השלמות, הסודיות והזמינות.
  • נתונים סודיים של לקוחות: מידע המתקבל מלקוחות באופן כלשהו לצורך עיבוד על ידי החברה. אין לשנות באופן כלשהו את ההעתק המקורי של מידע זה ללא אישור בכתב מאת הלקוח. מידע זה מחייב את הרמות הגבוהות ביותר של הגנה על השלמות, הסודיות והזמינות.
  • נתונים אישיים: כל מידע הקשור לאדם טבעי אשר ניתן לזיהוי באופן ישיר או עקיף, ובפרט באמצעות מספר זיהוי. הגישה למידע זה מוגבלת מאוד בתוך החברה. מידע זה מחייב את הרמות הגבוהות ביותר של הגנה על השלמות, הסודיות והזמינות.
  • מידע המאפשר זיהוי אישי (Personally Identifiable Information – PII) מתייחס לכל סוג של מידע שיכול לשמש כדי לזהות אנשים ספציפיים ואת המאפיינים האישיים שלהם, כפי שמוגדר בתקנות הכלליות להגנת פרטיות (GDPR) ובחוקים ותקנות ישימים אחרים. נתונים אלה ייחשבו לנתונים רגישים והשימוש בהם בחברה יוגבל, והם יהיו נגישים למי שצריך לדעת אותם בלבד.

 

5.3.     אבטחת משאבי אנוש

קווי המדיניות של החברה לגבי אבטחה יימסרו לידיעת כל העובדים, הקבלנים והצדדים השלישיים, כדי להבטיח שכולם מבינים את אחריותם.

אם אחד העובדים מפר את מדיניות האבטחה של החברה, יינקטו כנגדו צעדים משמעתיים. 

5.4.     הדרכה להעלאת המודעות לאבטחה

עובדים חדשים יקבלו הדרכה להעלאת המודעות לאבטחת מידע. יש לספק הדרכת ריענון להעלאת המודעות לאבטחה אחת לשנה.

5.5.     אבטחה פיזית וסביבתית

המתקנים המשמשים לעיבוד של מידע סודי או קנייני יימצאו באזורים מאובטחים כהלכה.

האזורים המאובטחים הללו יוגנו על ידי אמצעי אבטחה היקפיים מתאימים, עם מחסומי אבטחה, בקרות כניסה ובקרות סביבתיות.

מידע סודי וקנייני יוגן באופן פיזי מפני גישה לא מורשית, נזק והפרעות.

החברה בחרה בספקי תשתיות כשירות (IaaS) מובילים בתעשייה, כמו למשל AWS, DigitalOcean, Internet Binat, ו-Triple C. יש לעיין במסמך הלבן שלהם למידע נוסף.

5.6.     ניהול התקשורת והתפעול

יש לקבוע ולהגדיר בבירור את תחומי האחריות והנהלים לניהול, הפעלה, אבטחה מתמשכת וזמינות כל מתקני עיבוד הנתונים והמידע.

יש לקבוע נוהלי הפעלה מתאימים.

יש ליישם הפרדת סמכויות ותפקידים, אם הדבר רלבנטי, כדי להפחית את הסיכון לשימוש לא נכון במערכת, בין אם בשל מחדל ובין אם במכוון.

יש לקבוע מדיניות ניהול שינויים פורמלית, כולל תיעוד של כל השינויים, הגדרת בעלים לכל שינוי, ונהלים לשינויים במצבי חירום.

יש להפריד באופן לוגי סביבות תפעול וייצור כדי להפחית את הסיכונים לגישה לא מורשית או שינויים לא מורשים במערכת התפעול.

יש ליישם אמצעי ניטור, כולל יומן ביקורת, אם הדבר אפשרי, כדי לגלות מקרים אפשריים של גישה לא מורשית והפרות אחרות של אבטחת מידע.

5.7.     בקרת גישה

יש לבקר כל גישה למידע.

הגישה למידע ולמערכות מידע תתבצע בכפוף לדרישות העסק. הרשאות גישה יינתנו, או שאמצעים יינתנו לעובדים, לשותפים ולספקים, כל אחד על פי תפקידו, אך ורק ברמה הנדרשת להם כדי לאפשר להם לבצע את תפקידם כהלכה. בכל מקרה, יש ליישם את העיקרון של רמת ההרשאה הנמוכה ביותר הנדרשת.

יש ליישם תהליך פורמלי של הרשאה וביטול ההרשאה של משתמשים לגשת לכל מערכות ושירותי המידע.

אם עובד מסיים את עבודתו או מחליף תפקיד, יש לבטל את הרשאות הגישה שלו למשאבי המידע, או לעדכן אותן בתוך 24 שעות. מחלקת משאבי אנוש תהיה אחראית לאיסוף כל הנכסים הפיזיים מהעובד.

גישת המשתמשים תיבחן על ידי מנהל התפעול כל שישה חודשים ביחד עם המנהל של כל מחלקה רלבנטית, כדי להבטיח שרמות ההרשאה עדכניות ומתאימות למצב.  

5.8.     ניהול אירועי אבטחת מידע

אירועי אבטחת מידע ופרצות אבטחה במערכות מידע ידווחו בזמן. יש ליישם פעולה מתקנת מתאימה.

יש ליישם נוהל פורמלי לדיווח על תאונות ולטיפול בהן.  

כל העובדים, הקבלנים ומשתמשים שהם בגדר צדדים שלישיים יהיו מודעים לנהלים לדיווח על סוגים שונים של אירועי אבטחה, או לפרצות אבטחה שיכולות להשפיע על האבטחה של נכסי החברה, כחלק מתוכנית החברה למודעות לאבטחת מידע. 

אירועי אבטחת מידע ופרצות אבטחה ידווחו בהקדם האפשרי לצוות אבטחת המידע של החברה.

5.9.     ניהול הרציפות העסקית

החברה תדאג לאמצעים להגנה על תהליכים עסקיים קריטיים מפני השפעות של כשלים חמורים במערכות המידע או מקרי אסון, וכדי להבטיח את חזרתם המהירה לפעולה.

יש ליישם תהליך לניהול הרציפות העסקית כדי להפחית למינימום את ההשפעה על החברה, וכדי להתאושש ממצב של פגיעה בנכסי המידע. יש לזהות תהליכים עסקיים קריטיים.

יש לנתח את ההשפעות על העסק עקב מקרי אסון, כשלי אבטחה, אובדן שירות, ואובדן זמינות השירות, הן עבור החברה והן עבור הלקוחות.

5.10. אבטחת מידע על ידי צדדים שלישיים וקבלני משנה

כל קבלני המשנה והצדדים השלישיים נדרשים לציית לקווי המדיניות, התהליכים והנהלים לאבטחת מידע.

סמנכ"ל הכספים יהיה אחראי להערכת בקרות האבטחה וקווי המדיניות של האבטחה של כל הספקים החיצוניים. יש לבחון שוב את בקרות האבטחה עם כל חידוש חוזה.

יש לכלול את הדרישות והחובות בהקשר של אבטחת מידע בחוזים עם צדדים שלישיים ובהסכמים עם קבלני משנה.

5.11. ציות לחוקים נהלים ותקנות (Compliance)

החברה תציית לכל חוק, תקנה או חובה חוזית הקשורים למערכות המידע שלו.

התכנון, ההפעלה, השימוש והניהול של מערכות מידע יקיימו את כל דרישות האבטחה הקבועות בחוק, בתקנות ובחוזים.

יש לשלב את הדרישות של מדיניות, תהליכי ונוהלי אבטחת המידע בנוהלי התפעול של החברה ובהסכמים החוזיים שלה.

לפחות אחת לשנה, יש לקיים סקר הנהלה ולבקר את הסוגיות של פרטיות ואבטחת מידע, כדי לבחון ולבדוק את מידת ההתאמה של המדיניות המוגדרת לעומת המצב בפועל.

מדיניות "שולחן נקי"

כל משתמש אחראי למנוע מצדדים פנימיים ו/או חיצוניים המגיעים לשולחן העבודה שלו גישה למידע שאינו רלבנטי לאותו גורם.

כל משתמש אחראי להבטיח את היישום של כל תהליכי ונוהלי העבודה של החברה בהקשר של העברה / חשיפה / מסירה של מידע לידי צדדים חיצוניים (לקוחות, ספקים ועוד), וצדדים פנימיים. 

כל משתמש אחראי להבטיח שכל מסמך המגיע לידיו ואינו רלבנטי למחלקתו יוחזר לבעליו.

כל משתמש אחראי לדאוג לכך שסיסמת הגישה שלו לא תישמר בסביבת העבודה שלו.

כל משתמש אחראי להבטיח שמידע רגיש שהוא מטפל בו לא ייוודע בציבור.

5.12. עבודה מרחוק

גישה לסביבת הייצור: הרשאת גישה תינתן לצוות התשתיות והטלפוניה באמצעות ה-IP של המשרד בלבד.

חיבור למשרד באמצעות VPN.

גישה למערכת: הגישה תתבצע באמצעות תקשורת מוצפנת.

גישה מרחוק תתבצע באמצעות מחשבים ולא סמארטפונים.

אין הגבלה על עבודה מרחוק מבחינת המיקום ו/או שעות הפעילות.

5.13. העברת מידע  

יש להצפין מידע המועבר אל ומלקוח במערכת {https} .

העברת מידע עסקי של החברה תתועד על ידי הגוף המעביר {דוא"ל נחשב לתיעוד מספיק}.