תקנות אבטחת מידע 2017

צ׳קליסט אבטחת מידע לעסקים

כל דרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 - בשפה פשוטה, עם הסבר לכל סעיף.

למה זה חשוב?

תקנות אבטחת מידע (2017) הן חלק בלתי נפרד מחוק הגנת הפרטיות. הן מגדירות מה כל עסק חייב לעשות כדי להגן על המידע האישי שברשותו - מהגנה על סיסמאות ועד שמירה על מסמכים פיזיים.

תיקון 13 הפך את התקנות האלה מהמלצות תיאורטיות לחובה עם קנסות. עסק שלא עומד בדרישות חשוף לעיצום כספי של עד 200,000 ₪.

הצ׳קליסט מחולק ל-4 קטגוריות: דיגיטלי, פיזי, ארגוני, וכוח אדם.

🔐 אבטחה דיגיטלית

סיסמאות חזקות + החלפה תקופתית

חובה

לפחות 8 תווים, אותיות + מספרים. החלפה כל 90 יום. אין סיסמאות משותפות בין עובדים.

גיבוי מידע קבוע

חובה

גיבוי אוטומטי לפחות פעם בשבוע. שמירה בענן או בכונן חיצוני מוצפן. בדיקת שחזור תקופתית.

הצפנת מידע רגיש

חובה

מידע רגיש (רפואי, פיננסי) חייב להיות מוצפן - גם באחסון וגם בהעברה. HTTPS באתר הוא מינימום.

הגבלת גישה למערכות

חובה

כל עובד מקבל גישה רק למידע שנדרש לתפקידו. אין חשבון admin משותף.

אנטי-וירוס ועדכוני תוכנה

מומלץ מאוד

תוכנת אנטי-וירוס מעודכנת בכל מחשב. עדכוני מערכת הפעלה אוטומטיים מופעלים.

תיעוד אירועי אבטחה

מומלץ מאוד

לוג של כניסות למערכת, שינויים בהרשאות, ואירועים חריגים. שמירה לפחות שנתיים.

מחיקה מאובטחת

מומלץ מאוד

כשמוחקים מידע - מחיקה אמיתית (לא רק סל מיחזור). פירמוט לפני מכירת/זריקת ציוד.

🏢 אבטחה פיזית

נעילת חדר שרתים / ארון מחשבים

מומלץ מאוד

גישה פיזית למחשבים ושרתים - רק למורשים. ארון נעול עם מפתח או קוד.

שלט מצלמות אבטחה

חובה

אם יש מצלמות - שלט ברור בכניסה לפי תקנה 2(6). ציון שהמקום מצולם ופרטי קשר.

הגבלת גישה לתיקים פיזיים

מומלץ מאוד

תיקי לקוחות / עובדים בארון נעול. אין מסמכים עם מידע אישי פתוחים על שולחן.

גריסת מסמכים

מומלץ

מסמכים עם מידע אישי שאין בהם עוד צורך - גריסה (לא פח אשפה). מגרסה במשרד או שירות גריסה.

📋 אבטחה ארגונית

נוהל אבטחת מידע מתועד

חובה

מסמך כתוב שמגדיר את כללי האבטחה בעסק. מי אחראי, מה עושים באירוע אבטחה, מתי מגבים.

מיפוי מאגרי מידע

חובה

רשימה של כל מאגרי המידע בעסק: מה נמצא בכל מאגר, איפה מאוחסן, מי יכול לגשת.

תקופות שמירה מוגדרות

מומלץ מאוד

לכל סוג מידע - תקופת שמירה מוגדרת. בתומה - מחיקה. דוגמה: צילומי מצלמות - 30 יום.

נוהל אירוע אבטחת מידע

מומלץ מאוד

מה עושים כשיש דליפה או פריצה? מי אחראי? מתי מדווחים? תרגול תקופתי מומלץ.

הסכמי עיבוד מידע (DPA) עם ספקים

חובה

כל ספק שמקבל מידע של הלקוחות שלך (CRM, סליקה, דיוור, ענן) - חייב DPA חתום.

👥 כוח אדם

הסכם סודיות לעובדים

חובה

כל עובד שנחשף למידע אישי חותם על הסכם סודיות. כולל פרילנסרים וספקים שנמצאים במשרד.

הדרכת עובדים

מומלץ מאוד

הדרכה שנתית על כללי אבטחת מידע ופרטיות. גם לעובדים ותיקים - החוק השתנה.

ביטול הרשאות עובד שעזב

חובה

ביום העזיבה: ביטול סיסמאות, הסרה ממערכות, החזרת ציוד. אין "חשבון פתוח ליום שיחזור".

רמות אבטחה - לפי סוג המאגר

התקנות מגדירות שלוש רמות אבטחה. הרמה נקבעת לפי רגישות המידע במאגר:

רמה בסיסיתכל מאגר מידע (גם אקסל עם 10 שמות)
  • נוהל אבטחה מתועד
  • סיסמאות
  • גיבוי
  • הגבלת גישה
רמה בינוניתמאגרים עם מידע רגיש או מעל 10,000 רשומות
  • כל הבסיסי + הצפנה
  • תיעוד אירועים
  • בדיקות חדירה תקופתיות
  • מינוי אחראי אבטחה
רמה גבוההמאגרים עם מידע רגיש + מעל 100,000 רשומות
  • כל הבינוני + סקר סיכונים שנתי
  • מערכת SIEM
  • ממונה הגנת פרטיות
  • ביקורת חיצונית

רוב העסקים הקטנים נמצאים ברמה הבסיסית - אבל גם היא דורשת עמידה בכל הסעיפים.

רוצה נוהל אבטחת מידע מוכן?

מגן פרטיות מייצר נוהל אבטחת מידע + כל מסמכי הציות - מותאם לעסק שלך.

בדיקה חינמית