משרד האוצר פרסם טיוטת חוזר ניהול סיכוני אבטחת מידע

אגף שוק ההון, ביטוח וחיסכון במשרד האוצר, פרסם השבוע טיוטת חוזר ניהול סיכוני אבטחת מידע בגופים מוסדיים, המהווה מסגרת פעולה לניהול סיכוני אבטחת מידע ובכלל זה סיכוני סייבר, באופן עדכני ושוטף. במכתב נלווה שפרסם פיני שחר, סגן בכיר לממונה על שוק ההון, ביטוח וחיסכון, הוא מציין כי הטיוטה יוצרת, בין היתר, פלטפורמה לפעילות דיגיטלית מלאה מול לקוחות הגופים המוסדיים, המאפשרת שימוש במחשוב ענן ומרחיבה את ההיבט הרגולטורי בתחום הסייבר. כמו כן, טיוטת החוזר מסדירה את פעילות הממשל התאגידי הקשורה להיבטי סיכוני אבטחה וסייבר. 

טיוטת החוזר, לו יהיו כפופים הגופים המוסדיים עליהם מפקח האגף, מציינת כי ניהול סיכוני אבטחת מידע הינו נדבך מהותי בניהול טכנולוגיית המידע, לאור מרכזיות מערכות המידע בתהליכים העסקיים של הגופים המוסדיים ולאור הגידול בסיכונים להם חשופים גופים אלה, לרבות סיכוני סייבר. מטרת החוזר היא להבטיח את שמירת זכויות העמיתים והמבוטחים על-ידי שמירת סודיות, שלמות וזמינות נכסי המידע, מערכות המידע והתהליכים העסקיים של הגוף המוסדי. החוזר מגדיר את אחריות דירקטוריון והנהלת הגוף המוסדי לניהול תהליכי אבטחת מידע וסיכוני סייבר מתמשכים, להנחיה ופיקוח על יישום אבטחת המידע ולמעורבות רציפה של גורמי אבטחת המידע במכלול פעילויות הגוף המוסדי. 

החוזר מגדיר עקרונות לניהול סיכוני אבטחת מידע בגוף מוסדי ואת החובה של גופים אלה לנהל את מכלול סיכוני הסייבר ואבטחת המידע, בהתבסס על עקרונות הגנת המידע. בין הנקודות המרכזיות בטיוטת החוזר ניתן לציין את - 
  • חובת דירקטוריון הגוף המוסדי לאשר מדיניות בתחום אבטחת המידע, לכל הפחות אחת לשנה, ולמינוי ועדת היגוי בתחום זה;
  • חובת הנהלת הגוף המוסדי להבטיח את ניהולו התקין של תחום אבטחת המידע, בהתאם ליעדים, למדיניות ולצורכי הגוף המוסדי, ובכלל זה קביעת נהלים ואישור תכנית עבודה שנתית בתחום אבטחת המידע;
  • חובת הגוף המוסדי להגדיר מדיניות אבטחת מידע הקובעת עקרונות מנחים של ההנהלה ליישום ובקרת אבטחת המידע בגוף המוסדי וכן את החובה לקבוע נהלים המגדירים את תהליכי אבטחת המידע בארגון ותוכנית עבודה המתייחסת לאופי המידע, התהליכים, התשתיות ולמערכות הגוף המוסדי, אשר תכלול, לכל הפחות, תכנית לניהול סיכוני אבטחת מידע וסייבר;
  • יישום ההוראות הנוגעת לאבטחת מידע וסייבר בעת שימוש בשירותי מיקור חוץ (לרבות שירותי מחשוב ענן) ובכלל זה דרישות אבטחת מידע בהסכמי מיקור חוץ.
  •  אבטחת המידע ביחס לערוצי הקשר עם לקוחות הגוף המוסדי ועם גורמים חיצוניים.
בהתאם לטיוטת החוזר, תחילתו תהיה החל יום 1.4.2016 והוא מבטל את חוזר גופים מוסדיים 2006-9-6: "הוראה לניהול סיכוני אבטחת מידע של הגופים המוסדיים".