מטרה
להגדיר את אחריות העובדים לשמירה על אבטחת מידע והגנת פרטיות בהתאם למדיניות הארגון, חוק הגנת הפרטיות, תקנות אבטחת מידע והוראות רגולציה רלוונטי כולל תיקון 13 לחוק.
תחולה
הנוהל חל על כלל העובדים, בעלי גישה למידע אישי, מערכות מידע או תשתיות הארגון.
עקרונות מרכזיים
- שמירה על סודיות מידע
- אין להעביר מידע ארגוני או אישי לגורמים שאינם מורשים.
- אין לגלות מידע אשר הגיע לידיעת העובד במסגרת עבודתו, למעט לצורך העבודה. התחייבות זו חלה גם לאחר סיום ההעסקה, וכל זאת בהתאם לדרישות החוק להגנת הפרטיות.
- אין להוציא מידע ארגוני מחוץ למתחמים או השרתים של הארגון, בכלל זה שרתי דואר אלקטרוני חיצוניים , רשתות חברתיות, שרותי ענן ואמצעי אחסון שונים. כל הוצאה של מידע כאמור , חייבת לקבל אישור בכתב, מהמנהל חתומה על ידי מנהל אבטחת המידע ומנהל המאגר לפי העניין.
- אין לשתף סיסמאות או אמצעי גישה.
- שימוש במערכות מידע
- שימוש במערכות הארגון אך ורק לצרכים עסקיים.
- אין להתקין תוכנות ו/או תוספות לא מורשות או לחבר התקנים ללא אישור.
- אין לחבר כל ציוד שהוא כגון מחשבים, מתגים, נתבים, או כל ציוד אחר לרשת.
- קבצים הנשמרים במחשב או במכשיר אחר אינם מגובים ולכן , שמירת קבצי עבודה תתבצע רק בכונני הרשת המיועדים לכך , לא ישמר מידע בעל ערך כל שהוא לארגון במחשב או במכשיר מקומי.
- ניהול סיסמאות
- אין לשמור סיסמאות בקבצים לא מוצפנים או על גבי נייר.
- שם המשתמש אישי לעובד ואסור לעובד או לכל אדם אחר לתת לאחרים להשתמש בו. במידה ויעשה שימוש לרעה על ידי כל אדם, שם המשתמש הוא מעיד וקובע מי ביצע את הפעולה בפועל.
- עובד רשאי לבקש מהמנהל לתת הרשאות לעובד אחר, ובלבד שפעל בכלים המקובלים ומתוך שיקול דעת, ובאישור בכתב מהמנהל. חל איסור מוחלט על עובד להעביר באופן ישיר ולאפשר שימוש בשם המשתמש והסיסמא שלו לביצוע פעולות אלו.
- הסיסמא היא אישית וחסויה ואין להעביר את הסיסמה לאף אדם.
- הגנת פרטיות בהתאם לחוק
- עיבוד מידע אישי יתבצע רק למטרה שהוגדרה ובאופן חוקי.
- יש להקפיד על עקרון צמצום מידע ושמירה לפרק זמן הכרחי למטרת איסוף המידע.
- זכויות נושאי מידע
- לכל אדם זכות לעיין, לתקן ולבקש מחיקה של מידע אישי.
- בקשות יש להעביר לגורם הממונה בארגון לקבלת אישור.
- אין להעביר מידע ללא אישור ממונה הגנת הפרטיות.
- אבטחת מידע
- יישום תקנות אבטחת מידע: הגנה על מחשבים, נעילת מסכים.
- דיווח מיידי על אירוע אבטחה או חשד לדליפת מידע.
- מדיניות "שולחן נקי"
- אין להשאיר חומר כתוב , המכיל מידע על תושבים , עובדים , או כל מידע עסקי אחר , בצורה גלויה לאורחים או לעובדים אחרים בסביבת העבודה. את החומר יש לשמור בארון נעול כאשר אינו בשימוש.
- אין להשאיר את המחשב עם חומר עבודה המוצג על המסך. כאשר עוזבים את עמדת העבודה או המחשב , יש לבצע נעילת מסך המחשב. אין להפנות את מסך המשב לכיוון המסדרון או לכל אזור בו שוהים אנשים היכולים לראות את המידע המוקרן של המסך.
- כאשר יוצאים מהמשרד , ככל הניתן , יש לנעול את הדלת על מנת למנוע כניסת אנשים שאינם מורשים.
- אין להשאיר הדפסות או פקסים המתקבלים באזור המדפסת .
- דיווח על אירועים
- כל חשד לאירוע אבטחת מידע או פגיעה בפרטיות יש לדווח מידית לממונה אבטחת מידע/ממונה פרטיות. לציין את הסיבות שהביאו לחשד , סוג המידע המעורב ואת הנתונים של המקום וכיצד זיהה המשתמש את הבעיה.
- אחריות העובד
- לקרוא ולהבין את מדיניות אבטחת המידע והגנת הפרטיות.
- כל עובד בארגון אחראי באופן אישי לאבטחת המידע אליו הוא נחשף במהלך עבודתו. כל פגיעה במידע שתנבע מרשלנותו של העובד או מאי עמידה בנהלים אלו תהיה באחריות העובד.
- להשתתף בהדרכות תקופתיות. ההדרכה תהייה הדרכה פרונטלית או לומדה ממחושבת. על העובד להיות נוכח בהרצאות או לבצע את הלומדות במלואן.
- לפעול בהתאם להנחיות ולדווח על חריגות.
- ניטור
הארגון התחבר לצורך קבלת שירותי מודיעין סייבר ואבטחה למוקד המספק התראות לארגון 24\7
ולכן בהתאם להנחיות אבטחת המידע בארגון, שימושיך ברשת הארגונית , לרבות גלישתך באינטרנט והודעות הדוא"ל המועברות באמצעות תיבת הדוא"ל הארגונית , מנוטרות ונשמרות באופן שוטף לצורכי איתור ונטרול איומי סייבר כנגד מערכות המחשוב הארגוניות, ונבדקת תעבורה החשודה כזדונית.
מירב המידע הנאסף הוא מידע על אופן פעילותן של מערכות מחשב, אולם הוא עלול לכלול לעיתים רכיבים הכוללים מידע אישי על פעילותם של המשתמשים ברשת.
המידע ישמש לתכלית של הגנת הסייבר בארגון ולמתן התראות בהתבסס על המידע האמור.
מידע פרטי מתוכו לא יועבר במסגרת ההתראות אלא כאשר הדבר מותר על פי דין, ולא ייעשה שימוש במידע לכל תכלית אחרת, לרבות לצורכי פיקוח, אכיפה ומשמעת, למעט אם מסירת המידע מחויבת על פי דין.
בתהליכי הניטור אין הבחנה בין שימוש במחשב וברשת הארגון (כגון - גלישה ושימוש בדוא"ל הארגוני) לצרכים פרטיים לבין פעולות כאמור הנעשות לצורכי עבודה.
על כן מובהר כי בבחירה לבצע פעילות פרטית, כגון גלישה או שליחת דוא"ל דווקא דרך הרשת הארגונית ולא באמצעים טכנולוגיים אחרים, למשל שימוש בטאבלט אישי או טלפון חכם וגלישה באמצעותם שלא ברשת הארגונית, הנך מסכים/ה לביצוע פעולות הניטור של שימושיך הפרטיים לתכלית של איתור ונטרול איומי סייבר כאמור.
