דלג לתוכן הראשי

נוהל: ציות למדיניות ותקני אבטחת מידע A18.2.2

מטרה

מטרת הנוהל היא להבטיח כי הארגון יעמוד במדיניות ובתקני אבטחת המידע, על ידי ביצוע סקרי ציות תקופתיים על ידי מנהלים.

תחום יישום

הנוהל חל על כל מנהלים בארגון, לרבות מנהלים בכירים, מנהלים בדרג ביניים, ומנהלים זוטרים.

הגדרות

  • מדיניות אבטחת מידע: מסמך המגדיר את המדיניות והנהלים לאבטחת מידע בארגון.
  • תקן אבטחת מידע: תקן רשמי אשר מספק הנחיות לאבטחת מידע.
  • דרישה אבטחתית אחרת: כל דרישת אבטחת מידע אשר אינה כלולה במדיניות או בתקן אבטחת מידע.

אחריות

  • כל מנהל יהיה אחראי על ביצוע סקרי ציות תקופתיים באזור האחריות שלו.

תהליך

1. תכנון

המנהל יתכנן את סקר הציות, לרבות היקף הסקר, טווח הזמן, והצוות שיערוך את הסקר.

2. ביצוע

צוות הסקר יערוך את הסקר, ויאסוף מידע רלוונטי, כגון:

  • מדיניות אבטחת מידע.
  • תקני אבטחת מידע.
  • דרישות אבטחת מידע אחרות.
  • תהליכים ואמצעים לאבטחת מידע.

3. דיווח

צוות הסקר יגיש דוח ממצאים למנהל, אשר יכלול המלצות לשיפורים.

4. פעולה

המנהל יבחן את המלצות צוות הסקר, וינקוט בפעולות הנדרשות, כגון:

  • עדכון תהליכים ואמצעים לאבטחת מידע.
  • הדרכה לעובדים.
  • בקרה ובקרה.