מהו GDPR?
מהו תקן אבטחת המידע GDPR?
GDPR הינו ראשי תיבות של General Data Protection Regulation - חוק בינלאומי שחוקק ע"י הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית.
החוק הינו אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים של משתמשים. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות. החוק נוגע לכל אלו שמחזיקים בידם מידע אישי על עובדיהם, לקוחותיהם והשותפיהם העסקיים.
הרגולציה של ה-GDPR נועדה לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, וזאת באמצעות החלת כללים משפטיים ברי אכיפה על אותם גופים.
תקנות GDPR חלות על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי. חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי. במדריך קצר זה נביא מספר המלצות כיצד לשמר מידע אישי כנגזרת מחקיקה זו.
לחץ כאן למידע נוסף בנושא ביטחון מידע בארגונים
מהו תקן ISO 27001 לאבטחת מידע?
כיצד מתחילים? ולמה צריך להתייחס כאשר מכינים מסמך הגדרות מאגר המידע?
• פרטו אילו שימושים נדרשים לעשות במידע? כולל תיאור כללי של פעולות השימוש במידע
• בדקו בשביל מה? מה הצורך המרכזי ? ומה הן מטרות השימוש במידע
• בדקו איזה מידע יש ברשותכם במאגר המידע?
• אילו סוגי מידע כלולים במאגר המידע כגון מידע אישי, כלכלי, מסחרי או רפואי?
• האם המידע נשלח לאחרים בחו"ל? האם נעשה שימוש במאגר המידע מחוץ לגבולות ישראל?
• האם נעשות פעולות העברת מידע לספק חיצוני שאינו בכל המאגר או שאינו בעל הרשאה לשימוש במאגר?
• האם יש סיכונים לעסק? מהם הסיכונים העיקריים של פגיעה באבטחת המידע?
• האם ישנה מדיניות סדורה להתמודדות עם סיכונים של פגיעה במאגר המידע?
• האם יש בעל תפקיד מוגדר בעסק להתמודדות עם הסכנות הטמונות באבטחת המידע?
דעו מה נדרש היום לפי החוק מכל ארגון
כל ארגון או עסק המחזיק מידע לפי הגדרת משרד המשפטים/איחוד האירופאי חייב לשכתב את כל המידע בהתאם להנחיות משרד המשפטים/איחוד האירופאי בהתאם לנושאים המצורפים:
1. מיפוי מערכות המאגר וביצוע סקר סיכונים
2. אבטחה פיזית וסביבתית
3. אבטחת מידע בניהול כוח אדם
4. ניהול הרשאות הגישה
5. זיהוי ואימות
6. בקרה ותיעוד גישה
7. תיעוד של אירועי אבטחה
8. התקנים ניידים
9. ניהול מאובטח ומעודכן של מערכות המאגר
10. אבטחת תקשורת
11. מיקור חוץ
12. ביקורות תקופתיות
13. משך שמירת נתוני האבטחה
14. גיבוי ושחזור נתוני אבטחה
מהימנות עובדים ומניעת גניבות בארגון
נהלי אבטחת מידע בארגון - חובה!
הכירו את הטעויות הנפוצות שארגונים עושים בניהול מאגרי המידע:
• חלק לא מבוטל מהארגונים מעדכנים את מאגרי המידע שלהם ושולחים למשרד המשפטים/ איחוד האירופאי מבלי להכין את כל המידע הנדרש של גיבוי ושחזור נתוני אבטחה אשר תומך במאגרי מידע אלו.
• חלק נוסף מכין את כל החוקים והנחיות הנדרשות למשרד המשפטים/ איחוד האירופאי אך לא מצרף לחוקים אלו נהלים, הדרכות, ניטור ובקרות בקרב העובדים.
• חלק מהארגונים משכתבים את כלל החוקים/תקנות והנהלים ושולחים מאגרי מידע עדכניים לאישור משרד המשפטים/ איחוד האירופאי, אך מעבר לזה לא ממש עושים דבר בכדי לעמוד ולשמור על הנחיות המחוקק.
מה אפשר לעשות כדי למנוע או למזער טעויות אלו?
ביקורות אכיפה, סנקציות ובקרה יזומה. לאחרונה, במסגרת החלת תקנות GDPR ביבשת, משרד המשפטים/איחוד האירופאי הגדיל והרחיב את כמות העובדים והמפקחים שאמורים לאכוף ההנחיות בקרב העסקים אשר מחויבים לשמור על מאגרי המידע שברשותם. יש חשיבות עליונה לאכיפה שכן, אלמלא לא תהא אכיפה יזומה או רנדומלית, קבועה ולאורך זמן - הנחיות המחוקק ישמשו כעלה תאנה בלבד.
There are many variations of passages of Lorem Ipsum available, but the majority have suffered alteration in some form.
