דלג לתוכן הראשי

A.6.7 עבודה מרחוק

מטרה

מטרת הנוהל היא להבטיח כי העובדים המבצעים עבודה מרחוק עושים זאת בצורה מאובטחת, תוך הגנה על המידע הארגוני ומניעת גישה לא מורשית למערכות המידע של הארגון.

תחום יישום

הנוהל חל על כל העובדים, הקבלנים והספקים המבצעים עבודה מרחוק תוך גישה למידע ארגוני או למערכות המידע של הארגון.

הגדרות

  • עבודה מרחוק: עבודה המתבצעת מחוץ למשרדי הארגון, כגון עבודה מהבית, מבתי קפה, או מכל מקום אחר עם גישה למידע ארגוני או למערכות המידע של הארגון.
  • גישה מרחוק: גישה למערכות המידע הארגוניות באמצעות רשתות חיצוניות.

אחריות

  • מחלקת IT: אחראית על מתן הכלים הטכנולוגיים לעבודה מרחוק, כולל תשתיות גישה מרחוק, הצפנה, ופתרונות אבטחה נוספים.
  • ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל, כולל הדרכה ופיקוח על יישומו.
  • מנהלים: אחראים על וידוא עמידת הצוותים שלהם בנוהל, כולל תהליך קבלת אישורים לעבודה מרחוק.

תהליך

1. אישור לעבודה מרחוק

  • כל עובד המבקש לעבוד מרחוק יידרש לקבל אישור מהמנהל הישיר שלו וממחלקת ה-IT.
  • האישור יינתן בכפוף להערכת הסיכונים ולדרישות אבטחת המידע.

2. תשתיות וטכנולוגיות לעבודה מרחוק

  • מחלקת IT תספק לעובדים את הכלים הנדרשים לעבודה מרחוק, כגון מחשבים ניידים מאובטחים, גישה מרחוק באמצעות VPN, וכלים לאימות דו-שלבי.
  • כל חיבור מרחוק למערכות המידע של הארגון ייעשה באמצעות ערוצי תקשורת מוצפנים (לדוגמה, VPN).

3. הגדרות אבטחה

  • יש להגדיר מדיניות אבטחה למכשירים המשמשים לעבודה מרחוק, הכוללת:
    • הצפנת נתונים על גבי המכשיר.
    • נעילת מכשירים בסיסמה חזקה ובאמצעי אימות נוספים.
    • הגנה על גישה למידע באמצעות אימות דו-שלבי.
    • עדכון שוטף של מערכות הפעלה ותוכנות אבטחה.

4. הדרכת עובדים

  • הארגון יספק הדרכות לעובדים על מדיניות אבטחת מידע בעבודה מרחוק, כולל:
    • סיכונים הקשורים לעבודה מרחוק.
    • נהלי גישה מרחוק למערכות הארגון.
    • התמודדות עם איומים כמו דיוג (phishing) ופריצות רשת.

5. מעקב ובקרה

  • מחלקת IT וממונה אבטחת מידע יעקבו באופן שוטף אחר פעילות גישה מרחוק למערכות הארגון.
  • כל גישה לא מורשית או חריגה תיבדק באופן מיידי וינקטו פעולות נדרשות בהתאם.

6. תגובה לאירועים

  • במקרה של אירוע אבטחת מידע הקשור לעבודה מרחוק, יינקטו פעולות מיידיות להפסיק את הגישה למערכת הרלוונטית, ותבוצע בדיקה לאיתור מקור האירוע.
  • במקרה של אובדן או גניבה של מכשיר המשמש לעבודה מרחוק, יש לדווח על כך מיידית לממונה אבטחת מידע ולמחלקת IT.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לעבודה מרחוק, כדי לוודא שהעובדים פועלים בהתאם להנחיות והמדיניות.
  • הנוהל ייבחן ויעודכן בהתאם לשינויים בטכנולוגיה, בסיכונים ובצרכים העסקיים של הארגון.