🔒 שאלון פיקוח מקיף
תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017
📋 שאלון קביעת רמת אבטחה
ענה על השאלות הבאות כדי לקבוע את רמת האבטחה החלה על הארגון שלך
האם המאגר מנוהל בידי יחיד (עד 2 בעלי הרשאה נוספים)?
כמה רשומות אנשים קיימות במאגר?
כמה בעלי הרשאה יש במאגר?
האם הארגון הוא גוף ציבורי (משרד ממשלתי, רשות מקומית וכו')?
⚠️ שים לב: גוף ציבורי חייב ברמת אבטחה בינונית לפחות (תקנה 1(2))
האם מטרת המאגר העיקרית היא איסוף מידע לצורך מסירתו לאחר (שירותי דיוור, מידע מסחרי)?
האם המאגר כולל מידע רגיש? (בחר את כל הרלוונטיים)
ℹ️ חריג: אם המידע מתייחס רק לעובדים/ספקים שלך והארגון כולל עד 10 בעלי הרשאה - זה עדיין רמה בסיסית
🎯 רמת האבטחה שנקבעה
תקנה 2: מסמך הגדרות המאגר
▼
האם קיים מסמך הגדרות מאגר מעודכן הכולל תיאור פעולות האיסוף, מטרות השימוש, וסוגי המידע?
האם המסמך עודכן בשנה האחרונה או לאחר שינוי משמעותי?
האם המסמך כולל זיהוי הסיכונים העיקריים ואופן ההתמודדות עימם?
תקנה 3: ממונה על אבטחת מידע
▼
האם מונה ממונה על אבטחת מידע (במידה והחוק מחייב)?
האם הממונה כפוף ישירות למנהל או למנכ"ל?
האם הוקצו לממונה משאבים מתאימים לביצוע תפקידו?
תקנה 4: נוהל אבטחה
▼
האם קיים נוהל אבטחה ארגוני מפורט ומעודכן?
האם הנוהל כולל הוראות לאבטחה פיזית, הרשאות גישה, וניהול התקנים ניידים?
האם הנוהל מתייחס לאופן התמודדות עם אירועי אבטחה?
תקנה 5: מיפוי מערכות המאגר וסקר סיכונים
▼
האם קיים מסמך מיפוי מעודכן של מבנה מאגר המידע ורשימת מצאי של מערכות?
האם בוצע סקר סיכונים ב-18 החודשים האחרונים? (רמה גבוהה בלבד)
האם בוצע מבדק חדירות ב-18 החודשים האחרונים? (רמה גבוהה בלבד)
תקנה 6: אבטחה פיזית וסביבתית
▼
האם תשתיות ומערכות החומרה נשמרות במקום מוגן?
האם מתועדות כניסות ויציאות של עובדים ומתועדת הכנסה והוצאה של ציוד? (רמה בינונית וגבוהה)
תקנה 7: אבטחת מידע בניהול כוח אדם
▼
האם נוקטים אמצעים סבירים במיון עובדים המועסקים בעבודה הקשורה למאגר?
האם מתקיימות הדרכות לבעלי הרשאות בנושא חוק הגנת הפרטיות והתקנות?
האם מתקיימת הדרכה תקופתית אחת לשנתיים לפחות? (רמה בינונית וגבוהה)
תקנה 8: ניהול הרשאות הגישה
▼
האם הרשאות הגישה מוגבלות רק למידה הנדרשת לעובד לביצוע תפקידו?
האם מתנהלת רשימת הרשאות מעודכנת?
תקנה 9: זיהוי ואימות
▼
האם מבוצע זיהוי ואימות של משתמשים לפני גישה למאגר?
האם אימות הזהות מבוסס על אמצעי פיזי (תעודה, טוקן)? (רמה בינונית וגבוהה)
האם מבוטלות הרשאות מיד עם סיום תפקידו של עובד?
תקנה 10: בקרה ותיעוד גישה (רמה בינונית וגבוהה)
▼
האם קיים מנגנון תיעוד אוטומטי של גישה למערכות המאגר?
האם מנגנון הבקרה עצמאי ופועל באופן רציף?
האם נתוני התיעוד נשמרים למשך 24 חודשים לפחות?
תקנה 11: תיעוד אירועי אבטחה
▼
האם מתועדים אירועי אבטחה במערכות המאגר?
האם קיימות הוראות בנוהל האבטחה לטיפול באירועי אבטחה?
האם קיימת מודעות לחובת דיווח לרשם במקרה של אירוע אבטחה חמור?
תקנה 12: התקנים ניידים
▼
האם מוגבלת האפשרות לחבר התקנים ניידים למערכות המאגר?
האם מידע המועתק להתקנים ניידים מוצפן?
תקנה 13: ניהול מאובטח ומעודכן של מערכות המאגר
▼
האם מעודכנות מערכות המאגר (חומרה ותוכנה) באופן שוטף?
האם הופסק שימוש במערכות שהיצרן הפסיק להן תמיכה?
האם קיימת הפרדה בין מערכות המאגר לשאר מערכות הארגון? (רמה בינונית וגבוהה)
תקנה 14: אבטחת תקשורת
▼
האם קיימים אמצעי הגנה מפני חדירה (חומת אש, אנטי-וירוס)?
האם העברת מידע ברשת ציבורית מוצפנת?
האם גישה מרחוק למאגר מזהה ומאמתת את המתקשר?
תקנה 15: מיקור חוץ
▼
האם בוצעה בחינת סיכוני אבטחה לפני התקשרות עם גורם חיצוני?
האם הסכמים עם גורמים חיצוניים כוללים סעיפי אבטחת מידע מפורטים?
האם מבוצעת בקרה ופיקוח על עמידת הגורם החיצוני בדרישות האבטחה?
תקנה 16: ביקורות תקופתיות (רמה בינונית וגבוהה)
▼
האם בוצעה ביקורת אבטחת מידע ב-24 החודשים האחרונים?
האם הביקורת בוצעה על ידי גורם בעל הכשרה מתאימה (לא הממונה על האבטחה)?
האם ההנהלה דנה בדו"ח הביקורת ובחנה צורך בעדכון נוהל האבטחה?
תקנה 17: משך שמירת נתוני האבטחה
▼
האם נשמרים נתוני בקרה וביקורות למשך 24 חודשים?
האם מבוצע גיבוי של נתונים אלה? (רמה בינונית וגבוהה)
תקנה 18: גיבוי ושחזור נתוני אבטחה (רמה בינונית וגבוהה)
▼
האם קיימים נהלים לגיבוי תקופתי שגרתי של נתוני אבטחה?
האם קיים נוהל מתועד לשחזור מידע באישור מנהל המאגר?
האם עותק הגיבוי נשמר באתר פיזי נפרד? (רמה גבוהה בלבד)
תקנה 19: האחריות לאבטחת המידע
▼
האם מתועד ביצוע החובות והאחריות לאבטחת מידע?
📋 תוצאות הפיקוח
רמת האבטחה שנקבעה
-
ציון כללי
0%
תיאור
רמת סיכון
-
תיאור