חובת הדירקטוריון והמשמעויות לארגון שלך
החודש, פורסמה הנחיה סופית ומחייבת של הרשות להגנת הפרטיות, בנוגע לתפקיד הדירקטוריון בקיום חובות התאגיד בתחום אבטחת מידע
זו לשון ההנחיה בתמצות – “בחברה אשר עיבוד מידע אישי מצוי בליבת הפעילות שלה, או שקיימת סבירות כי פעילותה תיצור סיכון מוגבר לפרטיות, על דירקטוריון החברה מוטלת חובה לוודא גיבוש, אימוץ ויישום של מדיניות בדבר אופן ביצוע דרישות החוק והתקנות בחברה, לרבות חובת הדיווח המיידי לרשות להגנת הפרטיות על קרות אירועי אבטחת מידע.” ההנחיה כוללת גם את הסעיפים הבאים:
✓ דיון במסמך הגדרות המאגר – בטרם הגדרתו הסופית בהתאם לתקנה 2(א).
✓ דיון בעקרונות המרכזיים בנוהל אבטחת המידע הארגוני – בטרם אישורו וקביעתו הסופית בהתאם לתקנות 3(2) ו- 4(א).
✓ קיום דיון בתוצאות סקר סיכונים ומבדקי חדירות, לרבות בפעולות הנדרשות לתיקון הליקויים שהתגלו – בהתאם לתקנות 5(ג) ו- 5(ד).
✓ קיום דיון רבעוני או שנתי, על פי רמת האבטחה של המאגר לפי התקנות, באירועי אבטחת המידע שהתרחשו בארגון – בהתאם לתקנה 11(ג).
✓ קיום דיון בתוצאות הביקורת התקופתית בנוגע לעמידה בתקנות, שיש לקיימה אחת לשנתיים – בהתאם לתקנה 16(ג(.
מכך משתמע שאירועי סייבר בארגונים עשויים להוביל לתביעה ברמת הדירקטורים, שהם כזכור מייצגים את בעלי החברות בחברות פרטיות וגם את הציבור בחברות ציבוריות. מבחינתך כ CISO מדובר בתוספת כוח משמעותית, מאחר ובעצם הושלם התהליך של העברת האחריות גם אל בעלי החברה, דבר שירתום גם אותם לנושא. מה שצפוי לקרות הוא, שדירקטורים יידרשו במסגרת ביטוח הדירקטורים להראות שהם אכן מבצעים את הדרישות הללו.
אנו ב MADSEC מסייעים לארגונים להיערך באופן מקצועי בכל היבטי אבטחת המידע בהתאם לדרישות החוק. ניסיון של חמש עשרה שנים והיכרות עם כל הגופים הרלוונטיים בארץ, לצד התמקדות בייעוץ בלבד ללא אינטגרציה, מאפשרים לנו לספק שירות ברמה גבוהה גם מול הנהלה בכירה ודירקטורים.
