מדיניות אבטחת מידע

 

  1. רקע

קבוצת קלי ( להלן: החברה) רואה חשיבות רבה בהגנה על הפרטיות של עובדיה, לקוחותיה ועובדיהם.

החברה, בהיותה 'מחזיק' במאגר מידע  כהגדרת מונח זה בחוק הגנת הפרטיות  פועלת בקשר עם מאגרי המידע בהם תיחשב כ-'מחזיק' במסגרת מתן השירותים על-ידה עבור לקוחותיה, כמפורט במסמך זה להלן.

למונחים שלא הוגדרו במפורש במסמך זה תהא המשמעות הנתונה להם בחוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע) שהותקנו מכוחו.

מערכות מידע ממוחשבות הן מרכיב מרכזי וחשוב בתשתית הארגונית בחברה אשר תומכות בפעילותה העסקית. מערכות המידע, הנתונים והמידע הממוחשב של החברה מהווים נכס חיוני שיש להגן עליו מפני חשיפות ו/או נזקים העלולים לפגוע במטרות, ביעדים ובניהולה השוטף של החברה או לפגוע בפרטיותם של נשואי המידע.

במדיניות זאת: מידע – הוא כל נתון הנוגע ו/או קשור לפעילותה העסקית של החברה ונמצא על גבי מצעים פיזיים ודיגיטליים; מידע רגיש – הוא מידע השייך לחברה אשר חשיפתו או פגיעה בו עלולים לגרום נזק לפעילותה השוטפת של החברה.

אבטחת המידע והגנת סייבר הם מכלול הפעולות והאמצעים שיש לנקוט וליישם במטרה להגן על המידע מפני חדירה, דליפה, פגיעה, הרס, חשיפה ו/או שינוי מידע לא מאושר במזיד או בשוגג. פעולות אבטחת המידע והגנת הסייבר נועדו להבטיח את סודיות, שלמות, אמינות וזמינות המידע, לרבות – שמירה על חסיון המידע של עובדי החברה, לקוחותיה וספקיה ושל כל אדם אחר שהמידע אודותיו מצוי במערכות מידע של החברה, מזעור סיכונים תפעוליים, מניעת נזקים כספיים ונזקי מוניטין, עמידה בדרישות הדין ואבטחת רצף פעילות החברה.

 

  1. מטרה

מטרת המסמך היא קביעת מדיניות לאבטחת מערכות המידע והמידע הממוחשב של החברה, הגדרת יעדי האבטחה, תהליכים ניהוליים, אמצעים למימוש, עקרונות בסיסיים ליישום האבטחה, ומתן הכוונה ותמיכה בנושא אבטחת מידע והגנת סייבר.

להלן הנושאים העיקריים המפורטים במדיניות זו:

א. הצגת תפיסת החברה ומחויבותה לנושא אבטחת המידע והגנת הסייבר.

ב. קביעת עקרונות מנחים ליישום אבטחת המידע בחברה ולהעלאת מודעות של כל הגורמים בחברה לנושאי אבטחת המידע והגנת הסייבר.

ג. קביעת תפקידים, סמכויות, אחראיות, מסגרת תהליכית וארגונית, והקצאת משאבים עבור פעילות אבטחת מידע והגנת הסייבר בחברה.

 

  1. תחום

המדיניות מחייבת את כלל עובדי החברה, לרבות ספקי שירות חיצוניים, לרבות קבלנים, קבלני משנה וספקי מיקור חוץ. המדיניות חלה על כלל המערכות הממוחשבות המשמשות את החברה, לרבות שרתים ,מסדי נתונים וכל אמצעי מחשוב ותקשורת אחר שבניהול החברה, בבעלותה ו/או בשליטתה.

 

  1. הצהרת הנהלה לאבטחת מידע והגנת הסייבר

עקרונות המדיניות הקבועים במסמך זה גובשו על ידי ממונה אבטחת מידע והגנת הסייבר בחברה ואושרו על ידי ההנהלה.

בכל מקרה של שינוי בכללי המדיניות או שינוי שאינו זניח בסביבה הטכנולוגית יש לבצע אישור נוסף למסמך המדיניות.

לאחר אישור ועדכון המדיניות יש ליידע את כלל הגורמים הרלוונטיים (הנהלה, עובדים, ספקים וכו') על השינויים שבוצעו.

אחת לרבעון יתקיים דיון בנושא אבטחת המידע במאגרים לפי חוק הגנת הפרטיות ותקנותיו,  בדיון ישתתפו: חברי ההנהלה, ממונה אבטחת מידע ומנהל תשתיות המחשוב.

 

  1. יעדי אבטחת המידע

אבטחת המידע והגנת הסייבר היא גורם הכרחי להגנה על מידע אישי שבידי החברה ,למזעור הסיכונים התפעוליים, להפחתת נזקים כספיים ונזקי מוניטין ולעמידה בדרישות הדין והרגולציה, ובין היתר:

חוק הגנת הפרטיות, התשמ"א – 1981 , התקנות לפיו (ובפרט, תקנות הגנת הפרטיות) אבטחת מידע( התשע"ז – 2017 ( והוראות הרשות להגנת הפרטיות; חוק המחשבים, תשנ"ה- 1995).

 

  1. עקרונות מדיניות אבטחת מידע והגנת הסייבר

איסוף מידע, אחסונו, משך תקופת ההגנה עליו ואופן השימוש בו יעשו בכפוף לדרישות הדין והרגולציה החלות על החברה.

רמת ההגנה על המידע האגור במערכות המחשוב של החברה תיקבע על פי אופיו של אותו מידע סיווגו, והסיכון הנגזר ממנו.

הגנה על מאגרי מידע כנדרש בחוק, בהתאם למפורט במדיניות הגנת הפרטיות ועפ"י הוראות הממונה על הפרטיות.

החברה תיישם אמצעים, שיטות ונהלים סבירים ומקובלים לשמירת זמינות המידע והגנתו מפני הרס, פגיעה ו/או שינוי לא מוסמך, ולצמצום סיכוני אבטחת מידע וסייבר והכל כמתחייב מהוראות כל דין.

,הגישה למידע תהיה מורשית רק לגורמים אנושיים וממוחשבים במידה הנדרשת לביצוע תפקידם אשר הורשו לכך.

אבטחת מידע והגנת הסייבר תיושם על-פי עקרון ההגנה בשכבות( DiD ) כל הגנה בשכבה תהיה בלתי תלויה בהגנה של שכבה אחרת. כך, ייושמו מספר הגנות אבטחת מידע וסייבר בעלות יכולות שונות ומגוונות לאבטחת שכבות התקשורת/מערכות הפעלה/אפליקציות וכו.'

 

  1. תחומי אבטחת מידע והגנת הסייבר

האמצעים ליישום מדיניות אבטחת מידע והגנת הסייבר בחברה כוללים הגדרת תפקידים, סמכויות, תחומי אחריות, אכיפת נהלים והנחיות לשימוש בכלים טכנולוגיים, הטמעה ויישום אבטחת מידע והגנת הסייבר בהיערכות למצבי חירום.

אבטחת מידע והגנת הסייבר כוללת:

א. אבטחת מידע פרטי, אישי ו/או רגיש אודות עובדי החברה

ב. אבטחה פיזית של ציוד מחשוב, תקשורת, כבלים וכל אמצעי אחסון של מידע, אבטחת כניסות ויציאות למתחמים בהם נמצאות מערכות המחשוב ואמצעי התקשורת.

ג. אבטחת עמדות קצה, תחנות עבודה, מחשבים ניידים, ציוד תקשורת וכל ציוד אחר, לרבות אמצעי הפלט לסוגיו (נייר, מגנטי ואופטי), הנושא מידע בצורה דיגיטלית.

ד. אבטחה לוגית של תוכנות, תהליכים, אפליקציות, מסדי נתונים, שרתים, תעבורת תקשורת ומאגרי מידע.

ה. בקרת גישה של משתמשים ו/או גורמים חיצוניים למערכות מידע ומאגרי מידע.

ו. בקרה על העברת מידע לגורמים חיצוניים.

ז. אבטחת מידע בניהול כוח אדם.

 

  1. סמכויות, אחריות וניהול אבטחת מידע הנהלת החברה

הנהלת החברה מחויבת לקדם את מטרות החברה על ידי הגנה יעילה על נכסי המידע, הבטחת שלמות ואמינות המידע, שמירה על זמינות מערכות המידע, יישום בקרות אבטחה בכפוף לרגולציה ובהתאם לסיכונים, שמירה על מוניטין החברה על-ידי קיום עקרונות הסודיות, שלמות, אמינות וזמינות מאגרי המידע הנמצאים ברשותה. הקצאת משאבים להקמת מערכות אבטחה ובקרה לצורך הפעלתן בתדירות קבועה, תחזוקתן ושיפורן המתמיד.

הנהלת החברה תמנה ועדת משנה קבועה אשר תפעל כוועדת היגוי לאבטחת מידע והגנת הסייבר (להלן – "ועדת היגוי" או "הוועדה").

ועדת היגוי

הוועדה תהווה מסגרת ניהולית עליונה מטעם הנהלת החברה לתאום וקבלת החלטות בנושאי אבטחת מידע והגנת הסייבר בחברה. הוועדה אחראית בין השאר על תחזוקה ועדכון של מסמך מדיניות זה, החלטותיה והנחיותיה, לכל הפחות אחת לשלוש שנים.

הוועדה תתכנס בכל רבעון בהרכב של הנהלת החברה ומנהל תשתיות מחשוב.

במסגרת הוועדה, הוועדה תזמן ותעסיק גורמים רלוונטיים נוספים, לרבות מומחים ויועצים חיצוניים.

החברה מחויבת להגנת הפרטיות הן מכוחם של חוקים ותקנות, ובעיקר ממחויבותה לערכים ולזכויות אדם. יכולתה של החברה להבטיח הגנת הפרטיות נובעת גם מקיומם של מנגנוני אבטחת מידע וסייבר.

אחריות ומשימות ועדת ההיגוי:

א. פיקוח ומעקב אחר שמירת מדיניות אבטחת המידע והגנת הסייבר.

ב. הוועדה תקיים דיון בתכנית העבודה השנתית בנושאי אבטחת מידע והגנת הסייבר ותאשרה

כתכנית מקובלת ליישום.

ג. קבלת הערכות הסיכונים מממונה אבטחת מידע וסייבר והמלצתם להתמודדות עם

הסיכונים אלה.

ד. הוועדה תדון באירועי סייבר משמעותיים ובאירועי אבטחת מידע, ובהמלצות הגורמים המקצועיים להתמודדות עם אירועים אלה. הוועדה תחליט בדבר יישום ההמלצות למניעת התרחשות אירועים אלה בעתיד.

 

מיישם אבטחת מידע והגנת הסייבר

מיישם אבטחת מידע והגנת הסייבר יפעל בכפוף לסמנכ"ל מחשוב וטכנולוגיות מידע ויישא באחריות ביצוע של נושאי אבטחת מידע והגנת הסייבר בחברה, במידת הצורך יוכל לפנות לקבלת עזרה מגורמים מקצועיים חיצוניים שונים יועצים ומומחים כפי שיידרש. עיקרי תפקידיו ומשימותיו של ממונה אבטחת מידע והגנת הסייבר:

א. יישום תכנית עבודה דרישות אבטחת המידע והגנת הסייבר, בהתאם להחלטת הנהלת החברה, לדין והרגולציה.

ב. יישום תכנית שנתית להדרכת העובדים בחברה ולהעלאת המודעות בנושאי אבטחת מידע, והגנת הסייבר.

ג. מעקב אחר הדרישות בכלל מערכות ומרכבי המידע בחברה, ומערכותיה הממוחשבות.

ד. יישום נהלי אבטחת מידע והגנת הסייבר  וכן הוראות עבודה ושילוב סטנדרטים, הוראות והנחיות אבטחת מידע בנהלי החברה.

ד. פיקוח ובקרה על יישום מדיניות, נהלי אבטחת מידע והוראות עבודה.

ה. ביצוע הערכה שוטפת של סיכוני אבטחת מידע והגנת הסייבר וייזום סקרי סיכונים, מבדקי חוסן, מבדקי חדירות, סקרי סייבר, לכל הפחות אחת ל- 18 חודשים אשר ישקפו סיכונים עדכניים למערכות מאגר המידע הרשום של החברה.

ו. טיפול שוטף באישורי העברת מידע לגורמי חוץ או קבלת מידע מהם.

ז. ביקורת אבטחת מידע בכל סביבות העבודה.

 

אחריות עובדי החברה

א. כל עובד חברה מחויב לנושא אבטחת המידע והגנת הסייבר כחלק בלתי נפרד מאחריותו המקצועית מכורח תפקידו.

ב. בעלי תפקידים יקפידו על יישום ואכיפת נהלי אבטחת המידע, עידוד מודעות העובדים בנושא והבעת תמיכה בפעילות נאמני אבטחת המידע.

ג. החברה דורשת מכל אחד מעובדיה, ספקיה, קבלנים וספקי השירות קבועים או מזדמנים( מחויבות לנושאי אבטחת המידע, אחריות אישית ליישום כללי המדיניות בתחומי תפקידם, ודיווח מידי על גורמי סיכון ואירועים המתרחשים בהיבט אבטחת המידע והגנת הסייבר.

ד. כל עובד וספק הנותן שירות חיצוני בחברה יחתמו על טופס התחייבות לשמירת סודיות וקיום הוראות אבטחת המידע.

ה. מחויבות בעלי תפקידים תכלול בין היתר את אלה:

  1. שימוש אישי בלבד בחשבון המשתמש שלו במחשב.
  2. שימוש במידע הארגוני רק לצורך מילוי תפקידו.
  3. שמירה על חיסיון אמצעי הזיהוי המשמשים לצורך גישה למערכות החברה.
  4. דיווח על חריגות אבטחה.
  5. שמירה מאובטחת של מסמכים ורשומות.
  6. אבטחת סביבת העבודה.

 

  1. הערכת סיכוני אבטחת מידע והגנת הסייבר

החברה תקיים תהליך הערכת סיכוני אבטחת מידע וסייבר במערכות המידע, מערכות התקשורת והממשקים הכולל בתוכו זיהוי, מזעור או מניעה של סיכוני האבטחה העלולים להשפיע על המידע.

תהליך זה יתבסס על סיווג נכסי מידע, איומי אבטחת המידע ואופי העבודה במערכות  החברה השונות.

תוצר הערכת הסיכונים ינחה את הנהלת החברה בהפניית משאבים נאותים להטמעת אמצעי אבטחה, בקרות ומיקוד סקרי סיכוני האבטחה במערכות החברה השונות ויספק מדרג רגישות של מערכות השונות בחברה, המתבסס בין היתר על סיווג המידע.

ממונה אבטחת מידע והגנת הסייבר יבצע הערכת סיכונים כל 18 חודשים ובעת שינוי מהותי כמפורט.

 

  1. נהלי אבטחת מידע

נהלי אבטחת המידע, הוראות עבודה ותהליכי העבודה הם נגזרת של מדיניות אבטחת מידע והגנת הסייבר המפרטת את תפיסת ההנהלה לגבי אבטחת המידע והגנת הסייבר בחברה והעקרונות המנחים ליישומה.

לכל תהליך בחברה המטפל בניהול, הכנסה, תפעול, תחזוקה, גיבוי, העברה והוצאה של מידע ייכתב נוהל אבטחת מידע מפורט או הוראת עבודה מתאימה.

הנהלים/ההוראות יופצו לכלל העובדים או המשתמשים הרלוונטיים ויעברו תהליך בדיקה ועדכון בהתאם לצורך, עם שינוי משמעותי בסביבה הטכנולוגית או לאחר אירוע אבטחת מידע, ולכל הפחות אחת לשנתיים.

 

  1. בקרות אבטחת מידע

יישום בקרות אבטחת מידע יתבצע על פי נהלי חברה  והוראות העבודה בהתאם לניהול סיכוני אבטחה וסייבר באחריות אגף המחשוב ובפיקוח סמנכ"ל מערכות מידע

נהלי אבטחת המידע וסייבר יכללו לכל הפחות את כל הנושאים הבאים:

א. אבטחה פיזית

ב. אבטחה לוגית ויישומית

ג.  אבטחת שרתים, עמדות עבודה  ומערכות הפעלה

ד. אבטחת תשתיות תקשורת

ה. ניהול שינויים במערכות מידע ומערכות מחשוב

ו.  פיתוח מאובטח

ז.  הצפנה

ח. הגנה מפני פוגענים, נוזקות וקוד זדוני/עוין

ט. זיהוי משתמשים והרשאות גישה כולל הרשאות-על (גבוהות)

י. העברת מידע לגורמים חיצוניים

יא. שימוש נאות לרבות בדואר אלקטרוני ובאינטרנט

יב. שימוש באמצעי מחשוב ניידים ומדיה נתיקה

יג. בקרת גישה מרחוק

 

  1. בקרה ומעקב

באחריות ממונה אבטחת המידע והגנת הסייבר לבקר את הפעילויות הממוחשבות המתבצעות בחברה, בכדי לוודא שהמידע מנוהל באופן המבטיח את שלמות, אמינות, חיסיון וזמינות המידע והשימוש המבוקר בו.

 

13. איתור וטיפול באירועים חריגים

ממונה אבטחת המידע והגנת הסייבר יפיק דוחות בקרה מהמערכות השונות, המציינים ניסיונות  כושלים ומוצלחים בעת הכניסה לכל מערכת ו/או הפעלה חריגה של פעילויות נוספות היכולות  להצביע על בעיית אבטחה. ממונה אבטחת מידע והגנת הסייבר יבחן את הדוחות ויקבע האם היו  אירועים חריגים וידווח ברגע גילוי אירוע חמור. ממונה אבטחת  מידע והגנת הסייבר יגבש נוהל "תגובה לאירועי אבטחת מידע והגנת הסייבר" בו יפרט אופן התמודדות עמם.

 

14. חובת דיווח

חובתו של כל משתמש לדווח לממונה אבטחת מידע והגנת הסייבר על כל ניסיון או שימוש בזיהוי המשתמש שלו, שלא על ידיו ועל כל חשש לפגיעה באבטחת מידע. אירוע חמור ידווח לגורמים רלוונטיים מחוץ לחברה על פי הוראות הדין.

 

15. המשכיות עסקית

לחברה קיים מסמך המשכיות עסקית. המסמך מפרט את מיפוי התהליכים, הסיכונים האפשריים ואופן הטיפול בהם.

 

16. עדכון המדיניות

מדיניות אבטחת המידע תסקר לכל הפחות אחת לשנה על ידי ממונה אבטחת המידע והגנת הסייבר, כדי להבטיח שמירה, תיקוף, עדכניות, והתאמות נאותות ואפקטיביות של המדיניות.

השינויים יובאו לאישור ההנהלה.

עדכונים טכניים במדיניות יובאו לידיעת ההנהלה בדיעבד ללא חובת אישורם.