החוזר, שייכנס לתוקפו בתאריך 2.4.2017 (למעט סעיפים מסוימים שייכנסו לתוקף בחודש אוקטובר 2017), חל על כל הגופים המוסדיים ומטרתו לקבוע "עקרונות להגנה על נכסי הגוף המוסדי במטרה להבטיח את שמירת זכויות העמיתים והמבוטחים על ידי שמירה על סודיות, שלמות וזמינות נכסי המידע, מערכות המידע, התהליכים העסקיים ופעילותו התקינה של הגוף המוסדי". ניהול סיכוני הסייבר יכלול פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר, במטרה לצמצם את השפעתם והנזק הנגרם מהם, בטרם התרחשותם, במהלכם ולאחריהם.
בין היתר, מדגיש החוזר את הנושאים הבאים -
- תפקידם ותחומי אחריותם של דירקטוריון ומנכ"ל הגוף המוסדי ובכלל זה אישור מדיניות בתחום ניהול סיכוני סייבר (לכל הפחות אחת לשנה) והבטחת ניהולו התקין של תחום סיכוני הסייבר בהתאם ליעדים, למדיניות ולצורכי הגוף המוסדי.
- מינוי ועדת היגוי לניהול סיכוני סייבר, שבראשה יעמוד מנכ"ל הגוף המוסדי ושבין חבריה יכללו מנהל מערכות המידע, מנהל הסיכונים ומנהל הגנת הסייבר (בעל תפקיד שעל הגוף המוסדי למנות, שהוא בעל מומחיות וניסיון בתחום הגנת הסייבר).
- הגדרת מדיניות לניהול סיכוני סייבר הקובעת עקרונות מנחים להגנת הסייבר המיועדים ליישום בגוף המוסדי. עקרונות אלה יתייחסו ליעדים שיוגדרו, למסגרת ארגונית (תחומי אחריות, קווי דיווח, פיקוח ובקרה), ליישום הגנת סייבר בהיבט של מחשוב ענן ובהיבט משאבי אנוש (מהימנות עובדים, הדרכה ובקרה) וכן ליישום הגנת סייבר פיזית ולוגית בתהליכים, במערכות ובתשתיות הגוף המוסדי.
- קביעת נהלים המגדירים את תהליכי הגנת הסייבר בגוף המוסדי והטמעתם וכן הכנת תכנית עבודה;
- הגדרת תכנית לניהול סיכוני סייבר, שתעסוק בסיכונים לתהליכים, למערכות ולמידע של הגוף המוסדי. תכנית זו תעסוק, בין היתר, בהערכת סיכוני הסייבר של הגוף המוסדי ועדכניותם (תמונת מצב עדכנית של מכלול הסיכונים שעמם מתמודד הגוף המוסדי); דיווח וניטור סיכונים; ויישום בקרות.
- ביצוע הערכה שנתית של התאמת אמצעי ההגנה למכלול סיכוני הגנת הסייבר של הגוף המוסדי, שתתחשב בהתפתחויות מתאר האיומים, באופי ההתקפות הנוכחי ובטכנולוגיות הקיימות במטרה להתמודד עם איומים אלה.