נוהל אבטחת מידע לדוגמא

Q: מי חותם על הנוהל?

חתימה ראשונית של בעל המאגר — לרוב המנכ"ל או יו"ר הדירקטוריון בארגון. חתימה משלימה של מנהל אבטחת מידע . אם הארגון מנוי על DPO as a Service , גם ה-DPO חותם כעדות לכך שהוא בדק את הנוהל. בארגונים גדולים, מומלץ גם אישור של ועדת ביקורת בדירקטוריון — זה מחזק את ההגנה במקרה של תביעה אישית של בעלי תפקידים.

Q: מה ההבדל בין נוהל אבטחת מידע לנוהל פרטיות כללי?

נוהל אבטחת מידע ממוקד ב איך שומרים על המאגר — הרשאות, גיבויים, ניטור, אירועי אבטחה. נוהל פרטיות רחב יותר — כולל גם זכויות נושאי מידע, הסכמות, העברות חוצות גבולות, ומדיניות פרטיות לאתר. ארגון יכול וצריך להיות לו שניהם, ולעיתים גם שלושה: נוהל אבטחת מידע, נוהל פרטיות פנימי, ומדיניות פרטיות חיצונית לפרסום. כל אחד עם קהל יעד שונה ומטרה שונה.

נוהל אבטחת מידע הוא דרישת חובה לכל בעל מאגר לפי תקנות 2017 ותיקון 13 לחוק הגנת הפרטיות. מבנה הנוהל, סעיפי החובה, וההבדלים לפי רמת אבטחה — בסיסית, בינונית, גבוהה — עם תבניות מעשיות לסעיפי הרשאות, גיבויים, ניהול אירועים, והדרכת עובדים. גם איך הנוהל משתלב במסמך הגדרות מאגר ובמערך התיעוד הכולל של הארגון.

למה צריך נוהל אבטחת מידע כתוב — דרישת תקנות 2017

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 מחייבות את בעל המאגר לקבוע, להחזיק ולעדכן נוהל אבטחת מידע בכתב. הנוהל אינו "המלצה" ואינו "best practice" — הוא מסמך משפטי שהרשות להגנת הפרטיות בודקת בכל ביקורת. ארגון בלי נוהל ייעודי, או עם נוהל גנרי שהורד מהאינטרנט בלי התאמה, נמצא בהפרה. בלקוחות שלנו אנחנו רואים שזו הנקודה הראשונה שהרשות מבקשת בכל פניה, ולכן הקדמת הסדרה שלו זול בהרבה מתיקון אחרי ביקורת. הנוהל חייב להיות חתום על ידי בעל המאגר (לרוב מנכ"ל / יו"ר), ולשקף את המאגר הספציפי של הארגון — לא תבנית שטוחה. במסגרת DPO as a Service אנחנו מספקים נוהל ייעודי לכל לקוח, מותאם לסוג המאגר, רמת האבטחה, וסביבת ה-IT.

שלוש רמות האבטחה והשלכותיהן על הנוהל

התקנות מגדירות שלוש רמות אבטחה — בסיסית, בינונית, וגבוהה — לפי מספר נושאי המידע, סוג המידע (האם רגיש), ומספר בעלי הרשאה. כל רמה דורשת סעיפים שונים בנוהל: ברמה הבסיסית מסתפקים במינויים, הרשאות, גיבויים ואירועים; ברמה הבינונית מתווספים סקרי סיכונים תקופתיים, ניטור אקטיבי וסעיפי תקשורת אחזקה; ברמה הגבוהה נדרשים לוגים מלאים של גישה, בקרת גישה פיזית ל-server room, וסיווג מבצעים. לפני שמתחילים לכתוב נוהל, חייבים לסווג את המאגר נכון — וזה חלק מתהליך הגדרת המאגר.

סעיפי החובה בכל נוהל (מינויים, הרשאות, גיבויים, אירועים, מחיקה)

בכל רמת אבטחה — גם הבסיסית — חייבים להופיע: (1) מינויים — מי בעל המאגר, מי מנהל אבטחת מידע, מי ה-DPO אם רלוונטי; (2) ניהול הרשאות — איך נכנסים, איך מקבלים הרשאה, איך מסירים בעת סיום העסקה, ובדיקה תקופתית של רשימת המורשים; (3) גיבויים — תדירות, מיקום, שחזור תקופתי לבדיקה; (4) ניהול אירועי אבטחה — מי מטפל, איך מתעדים, מתי מדווחים לרשות (תוך 24 שעות באירוע חמור); (5) מחיקה ובעור מידע — מתי, איך, ובידי מי. כל סעיף חייב להכיל פרוצדורה אופרטיבית — מי, מה, מתי — לא רק עקרון.

סעיפים נוספים ברמת אבטחה בינונית

מאגר ברמת אבטחה בינונית — לרוב מאגר עם 100,000+ נושאי מידע, או 10,000+ עם מידע רגיש (רפואי, כלכלי, אמוני) — מחייב סעיפים נוספים בנוהל: סקר סיכונים תקופתי אחת לשנתיים לפחות, כולל מתודולוגיה; ניטור אקטיבי של ניסיונות גישה לא מורשים; נוהל תקשורת אחזקה — מי מ-IT נכנס למערכת, מתי, ולמה; הסכמי סודיות עם ספקים — כל ספק שניגש למידע חותם על נספח אבטחה; בקרה רבעונית על מספר ההרשאות הפעילות. הנוהל ברמה זו גדל ל-25-35 עמודים, ובדרך כלל מתחלק לפרקים ברורים.

סעיפים נוספים ברמת אבטחה גבוהה (לוגים, ניטור, בקרת גישה פיזית)

ברמת אבטחה גבוהה — מאגרי בנקים, בתי חולים, ספקי שירות ציבורי גדולים — הנוהל הופך למסמך תפעולי של 40-60 עמודים. נדרשים: לוגים מלאים של כל גישה (read/write/delete) עם שמירה של 24 חודשים לפחות; ניטור 24/7 או הסכם SOC חיצוני; בקרת גישה פיזית — server rooms עם כניסת token, מצלמות, לוג כניסות; הצפנה בעת מנוחה ובעת תקשורת; סיווג מבצעים — כל עובד עם הרשאת ניהול עובר בדיקת מהימנות. ראיתי לקוחות שמגלים שהם ברמה גבוהה רק תוך כדי gap analysis — וזה משנה דרמטית את ה-roadmap.

הקשר בין הנוהל למסמך הגדרות מאגר

הנוהל לא חי לבד. הוא חלק ממערך תיעוד שכולל את מסמך הגדרות מאגר, מיפוי נתונים, רשימת ספקים, ונוהל ניהול אירועים. מסמך הגדרות המאגר מצהיר מה יש במאגר ולמי; הנוהל מצהיר איך שומרים עליו. השניים חייבים להיות עקביים — אם במסמך ההגדרות כתוב שיש 5,000 נושאי מידע במאגר רפואי, הנוהל חייב להיות ברמת אבטחה בינונית לפחות. אי-עקביות בין שני המסמכים היא הדבר הראשון שהרשות מאתרת בביקורת.

הדרכת עובדים על הנוהל

התקנות מחייבות הדרכת אבטחת מידע שנתית לכל עובד שניגש למאגר. הדרכה לא אומרת "שולחים מצגת במייל" — היא דורשת מסירת תוכן, מבחן הבנה, ותיעוד שמירה ב-7 שנים. הנוהל חייב להגדיר את תכולת ההדרכה (אילו נושאים), את אורכה (לרוב 60-90 דקות), ואת האחריות (מי מארגן, מי מבצע, מי מתעד). ב-DPO as a Service אנחנו מספקים את ההדרכה השנתית כחלק מהריטיינר — עם תיעוד מסודר שעומד בביקורת.

תחזוקה ועדכון תקופתי

נוהל אבטחת מידע אינו מסמך "set and forget". התקנות דורשות עדכון שנתי לפחות, ועדכון מיידי בעת אחת מאלה: שינוי בסיווג רמת האבטחה; הכנסת מערכת חדשה שניגשת למאגר; שינוי מבני בארגון (מיזוג, פיצול, החלפת CEO); אירוע אבטחה משמעותי; עדכון רגולטורי. בכל עדכון — חתימה חדשה של בעל המאגר ושמירת גרסה קודמת בארכיון. ארגונים שמזניחים את העדכון השנתי נמצאים בהפרה גם אם הנוהל המקורי היה מצוין.

איך אנחנו בונים נוהל ייעודי ללקוחות

במסגרת DPO as a Service או GRC Privacy אנחנו עוברים תהליך של 3-5 שבועות: שבוע 1 — מיפוי מאגרים וסיווג רמת אבטחה; שבוע 2 — ראיונות עם IT, HR, משפטית; שבוע 3 — כתיבת טיוטה ראשונה; שבוע 4 — feedback מהארגון ועדכון; שבוע 5 — חתימה והטמעה. הנוהל מסופק בעברית, עם נספחים באנגלית אם יש עובדים זרים. אנחנו לא מספקים תבניות בלבד — כל לקוח מקבל נוהל ייחודי לעסק שלו, שעומד בביקורת רגולטורית.

שאלות נפוצות על נוהל אבטחת מידע

אפשר להוריד תבנית מהאינטרנט במקום לכתוב מאפס?

בעיקרון אפשר להתחיל מתבנית, אבל לא לפרסם תבנית כמו שהיא. הרשות להגנת הפרטיות מאתרת מיד נוהל שאינו מותאם לארגון — סעיפים שלא רלוונטיים, חוסר תיאום עם רמת האבטחה, או טכנולוגיות שלא קיימות בארגון. נוהל גנרי לעיתים גרוע מ"אין נוהל בכלל" כי הוא מצביע על כשל בהטמעה. אצלנו אנחנו מתחילים מבסיס פנימי ומתאימים ל-100% ללקוח — זה מה שמייצר נוהל שעומד בביקורת ולא רק נראה טוב.

כמה עולה לכתוב נוהל אבטחת מידע?

נוהל בודד ברמת אבטחה בסיסית — 6,000-12,000 ₪. נוהל ברמה בינונית עם מספר מאגרים — 15,000-25,000 ₪. נוהל ברמה גבוהה עם תיעוד מלא — 30,000-60,000 ₪. אם הארגון מנוי על DPO as a Service, הנוהל וכל עדכוניו השנתיים כלולים בריטיינר ללא תוספת תשלום. זו אחת הסיבות המרכזיות שלקוחות בוחרים במסלול שירות חודשי ולא בפרויקט בודד.

מי חותם על הנוהל?

חתימה ראשונית של בעל המאגר — לרוב המנכ"ל או יו"ר הדירקטוריון בארגון. חתימה משלימה של מנהל אבטחת מידע. אם הארגון מנוי על DPO as a Service, גם ה-DPO חותם כעדות לכך שהוא בדק את הנוהל. בארגונים גדולים, מומלץ גם אישור של ועדת ביקורת בדירקטוריון — זה מחזק את ההגנה במקרה של תביעה אישית של בעלי תפקידים.

מה ההבדל בין נוהל אבטחת מידע לנוהל פרטיות כללי?

נוהל אבטחת מידע ממוקד באיך שומרים על המאגר — הרשאות, גיבויים, ניטור, אירועי אבטחה. נוהל פרטיות רחב יותר — כולל גם זכויות נושאי מידע, הסכמות, העברות חוצות גבולות, ומדיניות פרטיות לאתר. ארגון יכול וצריך להיות לו שניהם, ולעיתים גם שלושה: נוהל אבטחת מידע, נוהל פרטיות פנימי, ומדיניות פרטיות חיצונית לפרסום. כל אחד עם קהל יעד שונה ומטרה שונה.

איזה רמת אבטחה חלה על הארגון שלי?

התקנות מגדירות זאת לפי שלושה קריטריונים: מספר נושאי המידע, סוג המידע (רגיש או לא), ומספר בעלי הרשאה. ארגון עם מאגר של 10,000 לקוחות רגילים — לרוב בסיסית. ארגון עם 100,000+ נושאי מידע, או עם מידע רפואי/כלכלי בהיקף כלשהו — בינונית. ארגון עם הרשאות גישה ל-100+ עובדים, או נושאי מידע ביותר ממיליון — גבוהה. אם אתם לא בטוחים — אנחנו מבצעים סיווג חינם כחלק משיחת ייעוץ ראשונית.

האם הנוהל חייב להיות בעברית?

התקנות לא קובעות שפה במפורש, אבל הרשות עבדה רק עם עברית. הפרקטיקה: גרסה ראשית בעברית — חתומה ומחייבת. אם יש עובדים זרים או הנהלה זרה — תרגום מקצועי לאנגלית כנספח. שתי הגרסאות זהות במהות; במחלוקת — העברית גוברת. אנחנו לא ממליצים על נוהל באנגלית בלבד — זה דגל אדום בכל ביקורת.

מה קורה אם יש מספר מאגרי מידע — נוהל אחד או כמה?

תלוי. אם המאגרים דומים — אותה רמת אבטחה, אותם בעלי הרשאה, אותה מערכת — אפשר נוהל אחד עם נספחים. אם המאגרים שונים — לדוגמא מאגר עובדים ומאגר לקוחות עם רמות אבטחה שונות — חייבים נהלים נפרדים, או נוהל מאסטר עם פרקים ייעודיים לכל מאגר. הכלל: הנוהל חייב להיות אופרטיבי — עובד צריך להבין מהקריאה מה לעשות במצב מסוים.

צריך נוהל אבטחת מידע שעומד בביקורת?

שיחה של 30 דקות, סיווג רמת אבטחה חינם, נוהל ייעודי תוך 3-5 שבועות.

פרטים על DPO as a Service