דלג לתוכן הראשי

A.5.4 אחריות הנהלה

מטרה

מטרת הנוהל היא להבטיח שהנהלת הארגון תומכת, מכוונת ומנהלת את פעילויות אבטחת המידע באופן פעיל ויעיל, כדי להבטיח שמירה על סודיות, שלמות וזמינות של המידע הארגוני.

תחום יישום

הנוהל חל על כל רמות ההנהלה בארגון, לרבות הנהלה בכירה, הנהלת ביניים ומנהלי יחידות.

הגדרות

  • אחריות הנהלה: המחויבות והפעולות של ההנהלה לקביעת מדיניות, תמיכה בפעולות אבטחת מידע, והבטחת עמידה בסטנדרטים ובתקנים של אבטחת מידע.

אחריות

  • הנהלה בכירה:
    • אחראית על קביעת מדיניות אבטחת מידע והבטחת יישומה ברחבי הארגון.
    • אחראית להקצות משאבים מתאימים (אנושיים, טכנולוגיים וכלכליים) ליישום וניהול אבטחת המידע.
    • מבטיחה כי אבטחת מידע משולבת באסטרטגיה העסקית ובתהליכים המרכזיים של הארגון.
    • מבטיחה כי מתקיימת תקשורת פתוחה ושקופה בנושא אבטחת מידע בתוך הארגון ועם צדדים חיצוניים לפי הצורך.
  • מנהלי ביניים ומנהלי יחידות:
    • אחראים ליישום המדיניות וההנחיות של אבטחת מידע ביחידותיהם.
    • אחראים לספק הכשרה והדרכה לעובדים בתחום אבטחת המידע.
    • מבצעים מעקב ובקרה על יישום נהלי אבטחת המידע באופן שוטף, ומדווחים להנהלה הבכירה על בעיות או חריגות.

תהליך

1. קביעת מדיניות אבטחת מידע

  • הנהלת הארגון תגדיר ותאשר מדיניות אבטחת מידע הכוללת את היעדים, העקרונות וההנחיות לניהול אבטחת המידע בארגון.

2. הקצאת משאבים

  • ההנהלה תוודא כי משאבים מספיקים מוקצים לניהול אבטחת המידע, כולל כוח אדם, טכנולוגיות, וכלים אחרים הנדרשים לשמירה על אבטחת המידע.

3. תמיכה ואכיפה

  • הנהלת הארגון תתמוך ביישום נהלי אבטחת המידע ותאכוף את המדיניות בקרב כל עובדי הארגון.
  • ההנהלה תוודא כי כל עובד ומנהל בארגון מבין את חובותיו ואחריותו בנוגע לאבטחת המידע.

4. מעקב ודיווח

  • ההנהלה תקיים פגישות תקופתיות לבחינת מצב אבטחת המידע בארגון, ותוודא כי קיימות בקרות המבטיחות עמידה בדרישות המדיניות.
  • דיווחים על מצב אבטחת המידע יובאו להנהלה הבכירה לקבלת החלטות ואישור צעדים מתקנים במקרה הצורך.

5. בחינה ועדכון המדיניות

  • הנהלת הארגון תבחן את מדיניות אבטחת המידע ותעדכן אותה בהתאם לצרכים המשתנים של הארגון, לסיכונים חדשים, או לשינויים ברגולציה.

6. תקשורת

  • ההנהלה תוודא כי כל המידע הרלוונטי בנוגע לאבטחת מידע מופץ בצורה יעילה לכל הדרגים בארגון, כולל דיווח על אירועים, סיכונים והדרכות.

הערות

  • הארגון יקבע לוח זמנים לסקירות תקופתיות של המדיניות והאחריות ההנהלתית לאבטחת מידע, ויבצע התאמות בהתאם לצורך.
  • ההנהלה תתמוך בתרבות ארגונית המעודדת שמירה על אבטחת מידע ועמידה בסטנדרטים הגבוהים ביותר בתחום זה.