תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז - 2017

קבוצת יעל היא קבוצת IT מהמובילות בישראל, המתמחה בפתרונות עסקיים מבוססי טכנולוגיה ועוסקת ביישום והטמעה של מגוון מוצרי תוכנה וחומרה מהמובילים בעולם. פעילות הקבוצה כוללת פרויקטי אינטגרציה, יישום מערכות ERP ו-CRM, הטמעת פתרונות פיננסיים, BI ואנליטיקה, פתרונות ענן, דיגיטל וניהול תוכן ומסמכים. זאת לצד ניסיון רב במתן שירותי מיקור חוץ, ייעוץ והדרכה. המרכיב המרכזי בהצלחותיה של קבוצת יעל וצמיחתה לאורך השנים היא חדשנות מתמדת המשולבת בניסיון רב, ביכולת ההקשבה, מתן השירות והבנת הלקוח. חדשנות זו, היא שמסייעת לנו להפוך רעיון לערך ללקוח ולהטמיעו באופן שמייצר תועלת. כך חוזרים אלינו לקוחותינו פעם אחר פעם, כבר מעל חמישים שנה.

1. הגדרות (מתוך חוק הגנת הפרטיות, תשמ"א):

1.1. אבטחת מידע - הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין;

1.2. מאגר מידע - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט

(1) אוסף לשימוש אישי שאינו למטרות עסק;

או

(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;

1.3. מידע - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;

1.4. מידע רגיש

(3) נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו;

(4) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש;

1.5. מנהל מאגר - מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה;.

1.6. שלמות מידע - זהות הנתונים במאגר מידע למקור שממנו נשאבו, בלא ששונו, נמסרו או הושמדו ללא רשות כדין.

1.7. נושאי מידע במאגר – בני האדם ששמותיהם ופרטיהם כלולים ומופעים במאגר (עובדים, לקוחות, מועמדים, או כל אדם אשר פרטיו מופעים במאגר).

2. מדיניות אבטחת המידע.

2.1. חיסיון – תמנע גישת גורמים לא מורשים לכל מידע בכל רמת סיווג שהיא, המידע יהיה חשוף ונגיש לגורמים מורשים מהקבוצה ומחוצה לה.

2.2. זמינות – המידע יהיה זמין בכל עת, בהתאם למדדי זמן שההנהלה קבעה או התחייבה כלפי ללקוחותיה, לגורמים מורשים בלבד מעובדיה או גורמי צד ג'.

2.3. תאימות / שלימות – המידע יהיה שלם ואמין בכל מערכות המידע אשר אוגרות ומעבדות אותו.

3. מתוך תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 (להלן: "התקנות").

3.1. חוק הגנת הפרטיות, התשמ"א-1981 (להלן – החוק), קובע הוראות שונות וחובות המוטלות על בעל מאגר מידע, מחזיק במאגר מידע ומנהל מאגר מידע. אחת החובות המרכזיות היא חובת אבטחת המידע, שמטרתה צמצום החשש מפני שימוש לרעה או פגיעה בשלמות המידע.

3.2. סעיף 17 לחוק הגנת הפרטיות קובע כי:

3.2.1. "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע."

3.3. סעיף 7 לחוק מגדיר מה היא "אבטחת מידע":

3.3.1. "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין;"

4. תחום ותכולה:

4.1. מדיניות אבטחת מידע זו חלה על חברת יעל תוכנה ומערכות בע"מ לרבות החברות הבנות וחברת איי, אף, אן, פתרונות בע"מ (להלן: "קבוצת יעל").

4.2. מאגרי המידע של קבוצת יעל מנוהלים ומתוחזקים במערכות המידע של יעל תוכנה ומערכות בע"מ.

4.3. מדיניות אבטחת מידע זו וכל הנהלים וההנחיות הנגזרים ממנה חלים על כלל עובדי קבוצת יעל בכל רמה היררכית שהיא לרבות עובדי צד ג' העובדים מטעמה או נותני שירותים.

5. מידע ארגוני:

5.1. המידע אשר אגור ומצוי בבקבוצת יעל בכלל ובמערכות המידע בפרט רגיש מהיבטים עסקיים ואישיים, לכן חל איסור להשתמש בו שלא לצורכי העבודה, ולשתף בו גורמים שאינם מוסמכים מהקבוצה או מחוצה לה.

5.2. בהתאם למוגדר בתקנות הגנת הפרטיות (אבטחת מידע) התשע"ז 2017 על מאגרי המידע בקבוצת יעל חלה רמת אבטחה בינונית.

5.2.1. ראה תוספת ראשונה, (תקנה 1 והתוספת השנייה) בתקנות, ראה בנספח.

5.3. המידע והנכסים אשר אגורים ומעובדים בקבוצה יסווגו בהתאם למידת הקריטיות והזמינות הדרושה להנהלה ו/או ללקוח ובהתאם לחוק הפרטיות התשמ"א והתקנות הנגזרות ממנו.

5.4. מערך המיחשוב של הקבוצה מאוחסן ושמור במתחם הקבוצה, כאשר הגישה איליו ולמידע האגור בו ומעובד על ידו אפשרית ומותרת בהתאם לתפקיד וההרשאה שהוקצתה לבעל תפקיד על ידי מנהל המאגר.

5.5. העובדים נקראים לא לשמור ולאחסן במאגרי ובמערכות המידע של החברה חומר וקבצים אסורים ולא חוקיים.

5.6. המידע הארגוני ישמר במאגרי המידע הארגוניים בלבד, אין לשמור כל מידע בכונן המחשב האישי.

5.7. העברת מידע לגורמים מחוץ לארגון ו/או קבלת מידע מגורמים חיצוניים תהייה בדרכים מאובטחות ובהתאם למוסכם בין הצדדים.

5.8. השימוש במאגר המידע יהיה בהתאם למטרה להם נועד המידע ולשמו נאסף ונאגר.

5.9. בהתאם לבקשת נושא המידע, על מנהל המאגר לאפשר לנושא המידע לצפות במידע הנוגע לו בלבד, ולדעת מה מקורו.

5.10. נושאי המידע במאגר רשאים, בהתאם לחוק, לבקש למחוק את המידע ופרטיהם האגורים במאגר, הממונה על אבטחת המידע יפעל לבער את המידע בהתאם לחוק.

6. ממונה על אבטחת המידע:

6.1. הנהלת הקבוצה מינתה את יוני בן הרוש כממונה על אבטחת המידע בארגון בכלל ועל מאגרי המידע בפרט.

6.2. הנהלת הקבוצה נותנת לממונה על אבטחת המידע את מלוא הגיבוי והאפשרויות למלא את המוטל עליו, ומקצה לשם כך את המשאבים הנדרשים לכך.

6.3. הממונה על אבטחת המידע בקבוצה בעל הכשרות והסמכות ייעודיות במערכות מחשבים ותקשורת בכלל ובהיבטי אבטחת מידע בפרט.

6.4. באחריות הממונה על אבטחת המידע להכין וליישם תכנית בקרה שוטפת על עמידת הקבוצה בדרישות הנגזרות בתקנות, בחוק ונוהלי אבטחת המידע שההנהלה אימצה.

6.5. הממונה יוודא תקיפות ועדכניות מסמך זה וכלל הנהלים הנגזרים מהתקנה ומסמך זה.

6.6. הממונה על אבטחת המידע בארגון יפעל בשם ו/או מטעם מנהל מאגר המידע בהיעדרו ו/או בתחומים אשר נדרשת מיומנות מיקצועית בתחומי מיחשוב בכלל ואבטחת מידע בפרט.

7. מנהל מאגר מידע:

7.1. בעל המידע, מנכ"ל הקבוצה, ימנה לכל מאגר מידע מנהל מאגר, אשר יהיה האחראי לנקיטת האמצעים הדרושים לאבטחת המידע במאגר שעליו הוא מופקד.

7.2. מנהל המאגר יהיה בעל תפקיד ניהולי אשר המכיר היטב את הנתונים הקיימים במאגר, את השימוש הנעשה בו ואת המשתמשים אשר נחשפים למידע ומעבדים אותו בהתאם לתפקידם.

7.3. מנהל המאגר יהיה מתחום המשתמשים במאגר.

8. ניהול נכסים וסיכונים.

8.1. באחריות הממונה על אבטחת מידע לקיים הליך של ניהול נכסים וסיכונים על כלל נכסי המידע בקבוצה, ועל מאגרי המידע בפרט.

8.2. הנהלת הקבוצה זיהתה ומיפתה את מאגרי המידע שברשותה תוך פירוט הנקודות הבאות:

8.2.1. פרטי מאגר המידע.

8.2.2. מטרת האיסוף והשימוש במידע.

8.2.3. פרטים הנוגעים לשימוש במידע מחוץ לגבולות המדינה – לא רלוונטי. אין שיתוף של מאגרי מידע פרטיים לגורמים מחוץ לגבולות המדינה.

8.2.4. פרטי מנהל מאגר המידע, והממונה על אבטחת המידע.

8.2.5. פרטים הנוגעים לסיכוני אבטחת המידע ואופן ההתמודדות עמם.

8.3. ראה קובץ מצורף YaelGrp_PrivecyLow_רשימת מאגרים

8.4. באחריות הממונה על אבטחת המידע בקבוצה לתקף מסמך מיפוי נכסי הקבוצה מידי תקופה אך לפחות פעם בשנה.

9. אבטחה פיזית וסביבתית

9.1. משרדי הנהלת הקבוצה שוכנים במתחם משרדים המוגן ומנוטר באמצעים פיזיים ואלקטרוניים.

9.2. מתחם המשרדים מנוטר באמצעות מצלמות מעקב גלויות, המתריעות ומתעדות תנועה בכלל ותנועה חריגה באזורים רגישים בפרט.

9.3. מערכות המידע והתקשורת אשר מאחסנות ומעבדות את המידע הארגוני נמצאות בחוות השרתים של הקבוצה וענן.

9.4. חוות השרתים הינה מתחם ממודר אשר התנועה והכניסה אליו לבעלי תפקיד מורשים בלבד, באישור הנהלה הקבוצה בלבד.

9.4.1. הממונה על אבטחת מידע של הקבוצה.

9.4.2. צוות מערכות המידע.

9.5. הכניסה לחוות השרתים מנוטרת, מבוקרת ומתועדת בכל עת.

9.6. באחריות צוות ה It לתעד כל הכנסת או הוצאת תשתיות ומערכות מידע בכלל והנוגעות למאגרי המידע בפרט.

9.7. אזור עבודת צוות מערכות המידע בכלל וחוות השרתים בפרט מאוישים בכל שעות פעילות הקבוצה. כאשר בשעות האחרות האזור מנוטר ומבוקר באמצעות הגנות ובקרות המדווחות למוקד אשר מאויש 24X7 הקיים במתחם מבנה המשרדים.

9.8. באחריות הממונה על אבטחת מידע לוודא כי מצעי מידע המכילים מידע בכלל ומאגר מידע בפרט אשר יצאו מכלל שימוש, יושמדו באמצעי פיזי.

9.8.1. כונני מחשב ו/או כל מצע מידע נייד יגרסו או יעשה בהם נזק משמעותי (קידוח).

10. ניהול אבטחת משאבי אנוש.

10.1. עובדי הקבוצה, במסגרת עבודתם, חשופים למידע רב הכולל מידע רגיש מהיבטים עסקיים ואישיים של הקבוצה ושל הלקוחות, לאור זאת תינתן תשומת לב רבה לאמינות העובד, יושרו וכישוריו בכל תקופת עבודתו בקבוצה.

10.2. נציגי ההנהלה יבטיחו כי העובדים בקבוצה לרבות גורמי צד ג' מתאימים לתפקיד שיועד להם, מבינים את האחריויות המוטלות עליהם לשם מניעת מקרי כשל, הונאה או שימוש לרעה במידע ונכסי הקבוצה והלקוחות.

10.3. מהימנותם של עובדי הקבוצה תיבדק לפני קליטתם באמצעות תשאול ממליצים ו/או באמצעות בחינה של גורם חיצוני, בהתאם לצורך התפקודי ומידת חשיפתם למידע רגיש.

10.4. כל עובד, בכל רמה היררכית שהיא, יחתום על הסכם שמירת סודיות וחיסיון NDA כתנאי לעבודתו בקבוצה.

10.5. לפני התחלת העבודה יעבור העובד החדש הדרכה להכרת הקבוצה ונוהלי אבטחת המידע בפרט. לפחות פעם בשנה יעברו כלל עובדי הקבוצה הדרכה להעלאת המודעות להיבטי אבטחת מידע בכלל ואבטחת מידע אישי רגיש בפרט.

10.6. הקצאת הרשאות גישה למערכות המחשב של הקבוצה תתבצע רק עם תום תהליך הקליטה וחתימת העובד על הסכמי הסודיות הנדרשים.

10.7. בעת מעבר מתפקיד לתפקיד באחריות הצוות הניהולי של הקבוצה לוודא כי מהימנותו ואמינותו של העובד אכן מתאימים לתפקיד החדש, תוך מתן דגש לחשיפה למידע אישי רגיש. יש לתת את הדעת להרשאות ולבקרות הגישה אשר היו לעובד בתפקיד הקודם מול ההרשאות החדשות המוקצות לו. כברירת מחדל, יחסמו ההרשאות של התפקיד הישן, ותפתחנה לעובד הרשאות חדשות התואמות את התפקיד החדש.

10.8. עם עזיבת עובד את הקבוצה, מכל סיבה שהיא, על הממונה הישיר לקיים הליך מסודר ובטוח ובהתאם לחוק, ולהבטיח כי העובד החזיר את נכסי הקבוצה אשר ברשותו, והרשאותיו במערכות המידע נחסמו.

10.9. באישור נציג ההנהלה, ניתן יהיה להעביר תוכן תיבת דואר אלקטרוני של עובד שעזב לעובד אחר.

11. ניהול הרשאות גישה

11.1. הנהלת הקבוצה קבעה את הכללים הבאים כמדיניות הקצאת הרשאות גישה:

11.1.1. הצורך לדעת בלבד – Need to Know.

11.1.2. הפרדת תפקידי מפתח – Segregation.

11.1.3. פיצול סמכויות (תפעול, בקרה ואישור).

11.1.4. הימנעות מהרשאות יתר ורחבות.

11.1.5. הקצאת הרשאות למשתמשי המערכת תתבצע בהתאם לתפקיד המוגדר ובאישור בעל המידע.

11.1.6. לא יהיה שימוש בשמות משתמש ציבוריים על ידי מספר משתמשים.

11.2. ניהול גישת משתמשים:

11.2.1. הקצאת קוד משתמש למערכות הממחשב של הקבוצה תהייה רק לאחר שהעובד סיים את תהליך הקליטה, חתם על הסכם הסודיות.

11.2.2. הממונה על אבטחת המידע בקבוצה יחד עם נציגי ההנהלה השונים (בעלי המידע) יגדירו מבנה הרשאה בחתך תפקיד, תוך מתן תשומת לב למדיניות הקצאת ההרשאות ולמידת רגישות המידע אשר תיחשף לבעל התפקיד.

11.2.3. באחריות הממונה הישיר של העובד לבקש את ההרשאות המגיעות לעובד בהתאם לתפקיד.

11.2.4. הוגדר תהליך מובנה להקמת משתמש במערכת, הכולל עדכון תכולת ההרשאה וחסימתה עם עזיבת עובד את הקבוצה ו/או מעבר לתפקיד אחר.

11.2.5. הקצאת הרשאות רחבות למשתמשי המערכת תיעשה באישור בעלי המידע תוך קביעת בקרות בעת ביצוע פעולות במידע או תהליך רגיש.

11.3. במסגרת מיפוי וזיהוי מאגרי המידע וסקר הערכת סיכונים בתהליך יזוהו בעלי התפקיד והעובדים אשר יש להם גישה למאגרי המידע הרגישים בארגון.

11.4. לפחות פעם בשנה, יתקיים סקר משתמשים במערכות הארגון, לווידוא כי רק במערכת פתוחים רק משתמשים אשר עובדים בקבוצה, ועובדים אשר עזבו נחסמו, באחריות הממונה על אבטחת מידע.

12. זיהוי ואימות.

12.1. לכל עובדי הקבוצה, בכל רמה היררכית שהיא, הוגדרה מידת האחריות לתהליך ולמידע אשר בבעלותם, לשם השגת אבטחה יעילה ואפקטיבית, ולמניעת הגעת המידע לגורמים לא מורשים מהקבוצה או מחוצה לה.

12.2. לכל משתמש מערכות המידע בקבוצה הוגדר קוד משתמש וסיסמא חד-חד ערכית (User ID & Password) אישיים אשר ידועים רק לו.

12.3. סיסמת הגישה למערכות המידע בכלל ולמאגרי מידע רגיש בפרט, תהייה מוקשחת בהתאם לנדרש בתקנה 9 לחוק.

12.4. חל איסור מוחלט למסור לכל גורם שהוא את הסיסמא, למניעת שימוש לרעה.

12.5. בהתאם לנדרש בתקנה 9 לחוק, כל פעילות המתבצעת במערכות ומאגרי מידע רגשים מתועדת במערכת הלוגים תוך קיום הליך של זיהוי ועקיבה אחר מבצע הפעולה.

12.6. מדיניות הסיסמא:

12.6.1. סיסמת כניסה ראשונית תהיה סיסמת מערכת קבועה אשר תקפה לשימוש אחד בלבד, לאחריו יהיה על המשתמש לבחור בסיסמא אישית.

12.6.2. סיסמא בעלת 8 תווים לפחות.

12.6.3. הסיסמא לא תהיה זהה לשם המשתמש.

12.6.4. יהיה בשימוש אותיות גדולות וקטנות (asdASD).

12.6.5. תוקף סיסמא רגילה - 90 ימים.

12.6.6. היסטוריית שימוש – 10 דורות.

12.6.7. ניסיונות כושלים לכניסה - לאחר 5 ניסיונות רצופים כושלים המערכת תינעל ל 30 דקות, נעילה נוספת תחייב שחרור ע"י מנהל המערכת

13. בקרה ותיעוד גישה

13.1. גישת משתמשים לטבלאות המערכת בכלל ולמאגרי מידע רגיש פרט מתועדת במערכות הלוגים של מערך המחשוב.

13.2. עם קרות אירוע חריג במערכת התפעולית, ניתן לקיים הליך של בקרת זהות המשתמש לצורך תחקור והפקת לקחים.

14. אירוע אבטחת מידע.

14.1. הגדרה מתוך התקנה - אירוע אבטחה חמור" - כל אחד מאלה:

14.1.1. 1.2 במאגר מידע שחלה עליו רמת אבטחה בינונית - אירוע שנעשה בו שימוש בחלק מהותי מן המאגר בלא הרשאה או בחריגה מהרשאה או שנעשתה פגיעה בשלמות המידע לגבי חלק מהותי מן המאגר;

14.2. הוגדר תהליך אשר יבטיח טיפול מהיר באירוע תוך נקיטת פעילות מתקנת למזעור הסיכון וכל נזק אפשרי, וכן קיום הליך של הפקת לקחים למניעת הישנות המקרה.

14.3. על עובדי הקבוצה, בכל רמה היררכית שהיא לרבות עובדי צד ג' לדווח לממונים עליהם ו/או לצוות ה It על כל נקודת כשל אפשרית בהיבט אבטחת מידע או על כל אירוע או חשד לאירוע אבטחתי למניעת החרפת המצב.

14.4. משתמשי המערכת לא יטפלו או לא יבצעו כל פעילות תיקון או מנע ללא הנחיית הממונה על אבטחת מידע או בא כוחו.

14.5. בעת קרות אירוע חריג בהיבט אבטחת מידע או חשד, יערך הליך מזעור הנזק, תחקיר והפקת לקחים לשם לימוד ומניעה בעתיד.

14.6. הנהלת הקבוצה מינתה את הממונה על אבטחת המידע כאחראי לטיפול באירוע חריג, תוך מתן פתרון הולם ואפקטיבי לחזרה מהירה לשגרה ומזעור נזקים אפשריים. בהעדרו נציג מה It.

14.7. מהלך הטיפול באירוע יתועד ויתוחקר לשם הפקת לקחים למניעת הישנות המקרה.

14.8. במידה והאירוע נבע מחריגה ממדיניות אבטחת המידע והנהלים הנגזרים ממנה, יתקיים בירור והליך משמעתי עם העובד ע"י הממונה הישיר ו/או נציג ההנהלה.

14.9. בתום הטיפול באירוע, ייערך "תחקיר אירוע" ובו תיאור המקרה, תמצית הממצאים, דרך הטיפול בהם ומסקנות. התחקיר יופץ להנהלת הקבוצה, וישמש כבסיס להערכת נזקים, הפקת לקחים, אימוץ פתרונות אבטחתיים מתאימים. לפחות פעם בשנה תתקיים ישיבת הנהלה בנושאי אבטחת מידע בכלל ו"אירוע חריג" בפרט.

14.10. בהתאם לתקנה 11 אשר חוק הגנת הפרטיות, התשמ"א-1981, על הממונה על אבטחת המידע בקבוצה חלה החובה לדווח לרשם במשרד המשפטים עם קרות אירוע אבטחה חמור, הדבר ייעשה בתיאום עם מנכ"ל הקבוצה באופן מידי עם קרות האירוע.

14.11. הדיווח לרשויות הממלכתיות יכלול תיאור האירוע, צעדים שננקטו עד עתה, וכן דיווח שוטף עד החזרה לשגרה.

14.12. מומלץ לידע ולהתייעץ עם הרשות הלאומית להגנת הסייבר לשם קבלת כלים נוספים לטיפול באירוע.

14.13. לפי מידת חומרת האירוע ו/או הנחיית הגורם הממלכתי, על בעל המידע / מנכ"ל הקבוצה להודיע לנשואי המידע בדבר האירוע וההשלכות לגבי מאגר המידע.

15. התקנים ניידים ועבודה מרחוק:

15.1. עובדי הקבוצה, בכל ההירכיה שהיא מתבקשים להימנע משימוש במצעי מידע ניידים Disk On Key או אחרים, לכל מטרה שהיא.

15.2. השימוש במחשב נייד אפשרי ומותר לשימוש לעובדי הקבוצה לצורך מילוי תפקידם בקבוצה במתחם הקבוצה ומחוצה לה, תוך שימוש בבקרות וההגנות אשר נופקו ע"י צוות ה It.

15.3. לפי מידת הצורך התפקודי תתאפשר למשתמשי מערכות המידע התחברות מרחוק למערכות המיחשוב של הקבוצה תוך שימוש בבבקרות ובהגנות יעודיות לדבר (Ssl Vpn). לפחות פעם בשנה יתבצע סקר משתמשים המתחברים מרחוק אשר יאושר ע"י הנהלה הקבוצה.

15.4. חל איסור מוחלט למשתמש לאגור מידע מסווג (רגיש) במצעי מידע ניידים ונתיקים, כל חיבור מצע נייד למערכות המידע של הקבוצה מחיייב אישור צוות It.

16. ניהול מאובטח ומעודכן של מערכות המאגר.

16.1. לשם אבטחה נאותה על מאגרי המידע אשר מאוחסנים ומעובדים במערכות המחשב והתקשורת מתקיים הליך ניטור ובקרה אוטומטי אשר שולח הודעות שוטפות לצוות ה It בדבר תקינות או אי תקינות התהליך.

16.2. צוות ה It מקבל דיווח שוטף בדבר תקינות ונאותות הבקרות ותהליכי העבודה הממוחשבים בקבוצה.

16.3. במערכות המידע של הקבוצה מותקנות בקרות והגנות ייעודיות לשם קיום אבטחת מידע כולל על המערכות בכלל ועל המידע בפרט Anti-Virus Fire wall.

16.4. הגישה למערכות תפעוליות אשר מעבדות מידע רגיש תהייה ממודרת, כאשר הגישה למערכת ולמידע אשר בה למשתמשים מורשים בלבד.

17. אבטחת תקשורת.

17.1. הקבוצה פועלת בכל רחבי הארץ תוך שימוש במערכות מידע ומאגרי מידע משותפים לכלל המשתמשים, תוך שימוש ברשתות תקשורת ציבוריות ומשותפות.

17.2. לצורך עמידה בדרישות אבטחת מידע (חיסיון, זמינות ושלמות) מתוקנות בקרות והגנות ייעודיות ברשת המחשבים של הקבוצה, כאשר כל הניהול, המערכות ומאגרי המידע נמצאים במקום ריכוזי אחד.

17.3. לפי מידת הצורך והעניין מועברים קבצי מידע מהקבוצה לגורמים חיצוניים לה ולהיפך בקווי תקשורת מוגנים, בהתאם למוסכם בין הצדדים והנחיית בעל המידע.

18. מיקור חוץ.

18.1. מערכות המידע והתקשורת של הקבוצה מתוחזקות על ידי צוות ה It של הקבוצה, לפי מידת הצורך והעיניין, כאשר נידרש ידע של מומחה ו/או תיגבור, יועסק גורם צד ג' לנושא לאחר שחתם על הסכם סודיות.

18.2. לפי מידת הצורך והעניין ולצורכי עבודה בלבד, ניתנת גישה לגורם צד ג' לתחזק ולטפל במערכות המידע של הקבוצה מרחוק, אך הדבר נעשה לפי בקשה מיוחדת ובאישור הממונה על אבטחת המידע, תוך שימוש בקווי תקשורת מוגנות ומאובטחות Vpn Ssl.

18.3. באחריות הממונה על אבטחת מידע בארגון, לקיים סקר בעלי הרשאות גישה מרחוק ע"י גורמי צד ג', ולאשרם ע"י נציג הנהלה, ולתקף את הסכמי הסודיות.

19. גיבוי ושחזור:

19.1. באחריות משתמשי מערכות המידע לשמור את המידע וכל פעילות מחשב שהיא ברשת הארגונית ולא בכוננים האישיים אשר אינם מגובים.

19.2. מידי לילה, מתבצע גיבוי המידע האגור והמעובד במערכות המידע של הקבוצה באמצעות תוכנה ייעודית המופעלת אוטומטית (Night Job) על גבי קלטות גיבוי.

19.3. בקבוצה יבוצעו גיבויים יומיים, דו שבועיים וחודשיים שבמסגרתם יגובו כל מערכות המידע, בסיסי הנתונים, שרתי הקבצים ומערכות התשתית של הקבוצה.

19.4. מערכת ניטור ובקרה אוטומטית מבקרת ומנטרת את פעילות הגיבוי האוטומטי, במידה ומזוהה תקלה או פעילות לא סדירה בתהליך הגיבוי, נשלח מייל לצוות ה It.

19.5. לפי מידת הצורך יטפל צוות ה It בתקלה לפי הנחיות מערכת הגיבוי ויצרני מדיות הגיבוי.

19.6. הגיבוי השבועי נשמר במקום מוגן מחוץ לכותלי הקבוצה.

19.7. לפחות פעם בשנה באחריות הממונה על אבטחת מידע לקיים שיחזור מדגמי לשם בקרת תקינות תהליך הגיבוי.

20. ביקורות תקופתיות

20.1. לפחות פעם בשנה יערך מבדק פנימי במערכת ניהול אבטחת המידע בקבוצה.

20.2. במבדק הפנימי תבחן מידת עמידת הקבוצה ביישום נוהל אבטחת מידע זה וההנחיות הנגזרות ממנו, וכן עמידת הקבוצה בתקנות הגנת הפרטיות אבטחת מידע התשע"ז- 2017.

20.3. המבדק הפנימי יתבצע על ידי גורם חיצוני לארגון או אשר אינו נשוא הביקורת (אינו נמנה על צוות ה It ואבטחת המידע).

נספח - מתוך: תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017

תוספת ראשונה

(תקנה 1 והתוספת השנייה)

מאגרי מידע שחלה עליהם רמת האבטחה הבינונית:

(1) מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;

(2) מאגר מידע שבעליו הוא גוף ציבורי כמשמעותו בסעיף 23 לחוק, אף אם לא התקיימו בו הוראות פסקה (1) או (3);

(3) מאגר מידע הכולל מידע שהוא אחד מאלה:

(א) מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;

(ב) מידע רפואי או מידע על מצבו הנפשי של אדם;

(ג) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס"א-2000

(ד) מידע אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;

(ה) מידע אודות עברו הפלילי של אדם;

(ו) נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס"ח –2007

(ז) מידע ביומטרי;

(ח) מידע על נכסיו של אדם, התחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם;

(ט) הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו.

2. על אף האמור בפרט 1(3), על מאגר מידע המקיים אחד מאלה, לא חלה רמת האבטחה הבינונית אלא רמת האבטחה הבסיסית;

(1) המאגר כולל מידע מן הסוגים המפורטים בפרט 1(3)(ב), (ה), (ו), (ז) לעניין תמונות פנים בלבד ו-(ח), אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע מן הסוגים המפורטים בפרט1(3)(א), (ג),(ד) ו-(ז) לעניין מידע שאינו תמונות פנים;

(2) מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה.



שם

תפקיד

תאריך

חתימה

כתב

נדב אריכא

יועץ אבטחת מידע וידע

‏‏מרץ 2018

נדב

אישר

יוני בן הרוש

מנהל מערכות מידע
מרץ 2018



מעקב שינויים:

מהות השינוי

אסמכתא

תאריך