בעידן בו מידע הוא אחד הנכסים החשובים ביותר של כל עסק, הגנה על מידע אישי אינה רק עניין טכנולוגי – אלא חובה חוקית. תקנה 13 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, מחייבת ארגונים רבים בישראל למנות ממונה אבטחת מידע ולהקים מנגנוני בקרה ונהלים להגנה על נתונים.
מאז החלת התקנות והרחבתן בשנים האחרונות, ובעיקר לאחר ההחמרות שנכנסו לתוקף במסגרת תיקון 13 לחוק הגנת הפרטיות, עסקים רבים נדרשים לבצע התאמות משמעותיות. היום כבר ברור: ארגון שאינו עומד בדרישות עלול להיחשף לקנסות, אחריות משפטית ופגיעה במוניטין.
במאמר זה נסביר כיצד להיערך למינוי ממונה אבטחת מידע, מה דורשת התקנה, ואיך ארגונים יכולים לעמוד בדרישות החוק בצורה מקצועית ומעשית.
מהי תקנה 13 ומה המשמעות שלה לעסקים
תקנה 13 היא חלק מתקנות הגנת הפרטיות (אבטחת מידע), ומטרתה להבטיח כי כל ארגון שמחזיק או מעבד מידע אישי ינהל אותו בצורה מאובטחת ומבוקרת.
התקנה מחייבת בין היתר:
- מינוי ממונה אבטחת מידע בארגונים מסוימים
- ביצוע סקרי סיכונים תקופתיים
- קביעת נהלי אבטחת מידע כתובים
- בקרה על גישה למאגרי מידע
- הדרכת עובדים בנושא פרטיות ואבטחת מידע
בשנים האחרונות, ובעיקר מאז תחילת העשור, רשות הגנת הפרטיות החלה להגביר את האכיפה. המשמעות היא שגם עסקים קטנים ובינוניים חייבים לוודא שהם עומדים בדרישות.
מתי חובה למנות ממונה אבטחת מידע
החובה למינוי ממונה אבטחת מידע קיימת במצבים מסוימים, למשל:
- ארגון שמנהל 5 מאגרי מידע או יותר
- גוף ציבורי
- ארגון שמחזיק מידע רגיש (רפואי, פיננסי, ביומטרי)
- חברות שמבצעות עיבוד מידע בהיקפים גדולים
מצבים בהם נדרש ממונה אבטחת מידע
| סוג ארגון | חובת מינוי ממונה |
| ארגון עם 5 מאגרי מידע ומעלה | חובה |
| גופים ציבוריים | חובה |
| חברות עם מידע רפואי/רגיש | לרוב חובה |
| עסקים קטנים עם מאגר אחד | תלוי ברמת הסיכון |
סקירת מערך האבטחה הקיים בארגון
השלב הראשון בהיערכות לתקנה 13 הוא ביצוע בדיקה מקיפה של מערכות האבטחה הארגוניות.
בדיקה זו כוללת:
- סקירת תשתיות IT
- ניתוח הרשאות משתמשים
- בדיקת מערכות גיבוי
- בחינת נהלי אבטחת מידע קיימים
- זיהוי נקודות תורפה במערכות
מטרת הסקירה היא להבין היכן קיימים פערים בין מצב האבטחה הנוכחי לבין דרישות החוק.
ניתוח סוגי המידע בארגון
לא כל מידע דורש אותה רמת אבטחה. לכן חשוב למפות את סוגי המידע המאוחסנים.
רמות רגישות של מידע
| סוג מידע | רמת רגישות |
| פרטי לקוחות בסיסיים | בינונית |
| מידע פיננסי | גבוהה |
| מידע רפואי | גבוהה מאוד |
| מידע ביומטרי | קריטית |
מיפוי זה מאפשר לארגון להגדיר רמות הגנה שונות בהתאם לרגישות המידע.
תפקידו של ממונה אבטחת מידע
ממונה אבטחת מידע אינו תפקיד פורמלי בלבד. מדובר בתפקיד אסטרטגי שמטרתו להבטיח הגנה על נכסי המידע של הארגון.
תחומי האחריות כוללים:
- גיבוש מדיניות אבטחת מידע
- פיקוח על יישום נהלי אבטחה
- ניהול אירועי סייבר
- ביצוע בדיקות תקופתיות
- הדרכת עובדים
בנוסף, הממונה נדרש לעבוד מול גורמים שונים בארגון.
שיתופי פעולה מרכזיים
- מחלקת IT
- יועץ משפטי
- הנהלה בכירה
- צוותי פיתוח
- ספקי שירות חיצוניים
שיתוף פעולה בין הגורמים הוא קריטי ליצירת תרבות ארגונית של הגנה על מידע.
עמידה בתקנים ובדרישות רגולציה
ארגונים רבים נדרשים לעמוד במספר תקנים ורגולציות במקביל. עמידה בתקנים אלה משפרת לא רק את התאימות החוקית אלא גם את אמון הלקוחות והשותפים העסקיים.
- ISO 27001 – תקן לניהול אבטחת מידע
- GDPR – רגולציית פרטיות אירופית
- הנחיות רשות הגנת הפרטיות בישראל
השוואה בין רגולציות נפוצות
| רגולציה | תחום | מי מחויב |
| תקנות הגנת הפרטיות | ישראל | כל ארגון עם מאגר מידע |
| GDPR | אירופה | חברות שעובדות עם אזרחי האיחוד |
| ISO 27001 | תקן בינלאומי | ארגונים המעוניינים בהסמכה |
כישורים והסמכות נדרשים לתפקיד
כדי לבצע את התפקיד בצורה מקצועית, ממונה אבטחת מידע צריך לשלב ידע טכנולוגי, משפטי וניהולי.
רקע מקצועי מומלץ
- תואר במדעי המחשב / מערכות מידע
- ניסיון באבטחת מידע
- הבנה ברגולציות פרטיות
הסמכות מקצועיות נפוצות
- CISSP
- CISM
- ISO 27001 Lead Auditor
- הסמכות סייבר נוספות
אך מעבר לידע הטכני, יש צורך גם בכישורים נוספים.
מיומנויות רכות חיוניות
- תקשורת בין-אישית
- יכולת ניהול פרויקטים
- הצגת מידע להנהלה
- ניהול משברים
תהליך גיוס ובחירת ממונה אבטחת מידע
גיוס קצין אבטחת מידע צריך להתבצע בצורה מסודרת ומקצועית. בחירה נכונה של מועמד היא קריטית, שכן מדובר בתפקיד עם אחריות משפטית וארגונית גבוהה.
שלבי גיוס מועמד
- הגדרת דרישות תפקיד
- פרסום המשרה בפלטפורמות מקצועיות
- ראיונות טכניים
- מבחני סימולציה
- בדיקות רקע והמלצות
הטמעה והכשרה בתוך הארגון
לאחר המינוי, חשוב להטמיע את התפקיד בצורה נכונה. לשם כך צריך להכין תהליך קליטה מסודר עבור המועמד. בנוסף, חשוב לעודד פיתוח מקצועי מתמשך.
תהליך קליטה מומלץ
- סקירת תשתיות IT
- היכרות עם מאגרי מידע
- לימוד נהלים קיימים
- ביצוע תרגילי תגובה לאירועי סייבר
דרכים לשיפור מקצועי
- השתתפות בכנסים
- קורסים מקצועיים
- הדרכות סייבר
- קהילות מקצועיות בתחום אבטחת מידע
מדידת אפקטיביות התפקיד
כדי לוודא שממונה אבטחת המידע אכן מבצע את תפקידו בצורה יעילה, יש להגדיר מדדי הצלחה. סקירות רבעוניות מאפשרות להנהלה להבין את מצב האבטחה בארגון ולבצע שיפורים במידת הצורך.
מדדים נפוצים להצלחה
- זמן תגובה לאירועי סייבר
- מספר אירועי אבטחה
- אחוז עובדים שעברו הדרכות
- רמת התאימות לרגולציה
כיצד שירותי IT מקצועיים עוזרים לעמוד בתקנה 13
ארגונים רבים אינם מחזיקים צוות אבטחת מידע פנימי. לכן, פתרון נפוץ הוא שימוש בשירותי IT לעסקים ומיקור חוץ בתחום אבטחת המידע.
חברות מקצועיות בתחום מספקות בין היתר:
- ביצוע סקרי סיכונים ומבדקי חדירה
- הכנת נהלי אבטחת מידע
- ליווי ברישום מאגרי מידע
- הדרכות עובדים
- הקמת מערכות גיבוי ו-DR
- פתרונות הגנה מתקדמים מפני מתקפות סייבר
חשוב להבין, תקנה 13 אינה רק דרישה רגולטורית – היא חלק מרכזי בניהול סיכוני מידע בארגון מודרני. עסקים שמקדימים להיערך נהנים מהגנה טובה יותר על המידע, אמון לקוחות גבוה יותר והימנעות מקנסות וסיכונים משפטיים.
אם הארגון שלכם מחזיק מאגרי מידע או עובד עם נתונים רגישים – עכשיו הזמן לבדוק האם אתם עומדים בדרישות החוק להגנת הפרטיות החדש.
איי.פי מחשבים – מלווים אתכם לאורך כל הדרך!
חברת IP מחשבים מספקת פתרונות מחשוב ואבטחת מידע לעסקים בישראל, ומלווה ארגונים בתהליך העמידה בדרישות חוק הגנת הפרטיות.
השירותים כוללים בין היתר:
- שירותי IT לעסקים
- ייעוץ וליווי בעמידה בדרישות רגולטוריות
- שירותי DPO וממונה הגנת פרטיות
- ביצוע סקרי סיכונים ובדיקות חדירה
- הקמת מערכות גיבוי והתאוששות מאסון (DR)
- פתרונות אבטחת מידע וסייבר לעסקים
- שירותי מחשוב לעסקים
- תמיכה מרחוק לעסק, שירותי Help Desk
השילוב בין מומחיות טכנולוגית לבין הבנה רגולטורית מאפשר לחברה לספק פתרון מקיף – החל מבדיקת מצב האבטחה הקיים ועד ליישום מלא של דרישות החוק.
בעל עסק, צור קשר עם הצוות שלנו ואנחנו נדאג שתעמוד בתקנה 13 בצורה מדויקת ומקיפה!
