19 |
הביטחון
אוגוסט-ספטמבר 4102
חבר הנהלת הארגון) ותאור תפקידו, וכל יחידה ארגונית שלה,
תפקיד מוגדר בתחום הגנת מידע וסייבר, כולל הגדרת תפקידה,
כגון, ביטחון, יועץ משפטי, משאבי אנוש, רכש, טכנולוגיית
מידע וכך הלאה.
הנחיות ספציפיות של הנהלת הארגון לגורמי הניהול השונים.
ג.
אלה הם בדרך־כלל דגשים כללים, כיצד הנהלת הארגון דורשת
שנושאים ספציפיים יטופלו. המעטפת הכללית הינה בסיס
הידע, אך להנהלת הארגון הזכות להגדיר נושאים ספציפיים
שהיא רואה צורך לציינם במסמך המדיניות.
תהליכי עבודה ומסמכים נלווים
בהטמעת הגנת מידע וסייבר
מנהל הגנת מידע וסייבר אחראי על מספר תהליכים ארגוניים
.1
בתחום. אופן פעולתו במסגרת זו נגזרת מהסמכות שנתנה לו
במדיניות הגנת מידע וסייבר על־ידי הנהלת הארגון.
עבור תהליכי עבודה שמצויים באחריותו הישירה כגון, תכנון
א.
וניהול סקרי הגנת מידע וסייבר ומבדקי חדירה או הנחיית
פרויקטים טכנולוגיים יכין מנהל הגנת המידע והסייבר מסמך,
שיציג את אופן פעילותו במסגרת התהליך. מסמך מעין זה
מכונה בדרך־כלל: "הוראת עבודה". מטרתו: הצגה פורמאלית
של אופן הפעולה של כותב המסמך בתהליך המתואר.
עבור תהליכי עבודה בארגון, שאינם באחריותו הישירה ואשר
ב.
נדרש כי תשולב בהם הגנת מידע וסייבר כגון, גיוס כוח־אדם
חדש והדרכתו בתחום הגנת מידע וסייבר, שילוב אבטחת מידע
בתהליכי רכש ארגוניים, מימוש פרקים בבסיס הידע כדוגמת
הקשחת מערכות טכנולוגיות וכיוצא בזה, יכין מנהל הגנת
המידע והסייבר הנחיות עבור אותם הגורמים.
מספר מצומצם של תהליכים שנחזים להיות כלליים, כדוגמת
ג.
דרישות הגנת מידע וסייבר למשתמשים עשויים להיכתב
במסמך שכותרתו: "נוהל ארגוני".
יחידה ארגונית אשר קיבלה הנחייה ממנהל הגנת מידע וסייבר
.2
תפעל לשלב בתהליכי העבודה שהיא אחראית עליהם את ההנחיה
או ההנחיות שהתקבלו. דוגמאות:
רכש ארגוני (יכול להתחלק בין מספר יחידות ארגוניות, שכל
א.
אחת אחראית על תהליכי רכש אחרים): מונחית על־ידי
מנהל הגנת מידע וסייבר לשלב דרישות הגנת מידע וסייבר
בתהליכיה. כמובן שבמסמך המדיניות, יחידת הרכש מוגדרת
כאחראית לבצע את השילוב. בהוראות העבודה של יחידת
הרכש, תשולב דרישת מנהל הגנת מידע וסייבר באופן שכל
מי שעוסק בנושא הרכש ביחידה יימצא מחויב לפעול באופן
הנדרש.
מנהל מערכות מידע (מנמ"ר) האחראי ליישם את כל ההגנות
ב.
הטכנולוגיות הרלוונטיות במערכות המידע שבאחריותו, על
בסיס שילוב הנחיות מקצועיות ותהליכיות של מנהל הגנת מידע
וסייבר.
מנהלי הפרויקטים אחראים ליישם אמצעי הגנה על היישומים
ג.
שבאחריותם בכל מחזור חייהם, על בסיס ההנחיה של מנהל
הגנת מידע וסייבר.
משאבי אנוש המחויבים לשלב את הגנת מידע וסייבר במחזור
ד.
חיי ניהול הגורם האנושי בארגון (בתהליך הגיוס, הסינון
והקליטה, במעברי תפקיד, ולקראת סיום העסקה), כל אלו על
בסיס הנחיותיו של מנהל הגנת המידע והסייבר. כמו כן אחראים
לוודא כי קיימים תהליכי אכיפה וענישה על עבירות של עובדים
על הנחיותיו מנהל הגנת המידע והסייבר.
היועץ המשפטי הארגוני הממונה על ההיבטים הנוגעים לחוקים
ה.
הקשורים בהגנת מידע וסייבר.
סכום
הגנת מידע וסייבר הינה תחום מקצועי מורכב ומסובך ובהיותו חוצה
ארגון נוגע בכל רקמות חיי הארגון. פעילות זו תהא מעוגנת במסמך
מדיניות כולל שיגדיר את יעדי הארגון בנושא ותתבסס על תשתית
ידע מקצועית המתעדכנת ומתאימה את עצמה באופן שוטף למבנה
הארגוני, לתהליכי העבודה בארגון, לטכנולוגיות שבהן נעשה שימוש,
לאיומים ולסיכונים ולפתרונות להם ולכל שינוי בין פנימי ובין חיצוני
העלול להשפיע על מצב הגנת המידע והסייבר בארגון.
כמו כל פעילות ארגונית אסטרטגית אחרת, מחייבת היערכות זו את
ברכת ההנהלה ואישורה שאם לא כן לא תצלח.
העומד בראש הפעילות, מנהל הגנת המידע והסייבר הארגוני חייב
להיות בעמדת ניהול בכירה, חבר הנהלת הארגון או בכפיפות ישירה
לחבר הנהלת הארגון.
