מבקר לשכת עורכי הדין בישראל - דוח שנתי 2024

169

ג . ממצאים קודמים

מהביקורת הקודמת עלה, כי מנכ"ל הלשכה הוגדר כממונה על אבטחת המידע, ומנהל המאגר היה עו"ד עמית פרלמן הכפוף לו . כפיפות מנהל המאגר לממונה על אבטחת מידע הפוכה ל דרישות התקנות בסעיפים הבאים, ו לכן לא איפשרה את חלקן מהסיבות הבאות:

הערות הביקורת

תקנה תיאור הדרישה

במבנה הקודם מנהל המאגר היה כפוף לממונה על אבטחת המידע, שהיה גם המנכ"ל. קיים נוהל, אך מעבר לכפיפות ההפוכה, ההנהלה הבכירה בלשכה היא המועצה, שאליה יש להגיש את הנוהל. לא נמצאה תוכנית לבקרה שוטפת . במבנה הקודם הממונה על אבטחת המידע היה גם המנכל ולכן ההוראה לא התקיימה. במבנה הקודם הממונה על אבטחת המידע היה גם המנכל ולכן ההוראה לא התקיימה.

הממונה יהיה כפוף ישירות למנהל מאגר המידע או המחזיק, למנהל בכיר אחר הכפוף לו, או למנכ"ל הארגון . הממונה על אבטחה יכין נוהל אבטחת מידע ויביאו לאישור ההנהלה הבכירה של הארגון . הממונה יכין תוכנית לבקרה שוטפת על העמידה בדרישות התקנות, יבצע אותה ויודיע להנהלת הארגון ולמנהל המאגר על ממצאיו . הממונה על האבטחה לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים במילוי תפקידו . אם בעל מאגר המידע הטיל על ממונה האבטחה משימות נוספות שאינן קשורות בנוהל אבטחת המידע והבקרה השוטפת, עליו להגדירן בצורה ברורה . בעל ה מאגר המידע יקצה לממונה את המשאבים הדרושים לו לשם מילוי תפקידו.

3 (1)

3 (2)

3 (3)

3 (4)

במבנה הקודם מנהל המאגר היה כפוף לממונה על אבטחת המידע

3 (5)

במבנה הקודם מנהל המאגר כפוף לממונה על אבטחת המידע.

3 (6)

ד . המלצות מדוח ביקורת מחודש פברואר :2022

הומלץ למנות גורם ייעודי לניהול תחום אבטחת המידע ) CISO (, אשר יהיה אחראי בין היתר על קביעת הנחיות אבטחת מידע, יצירת תכנית עבודה רב שנתית ועוד.

1 (

לחלופין, ניתן להעסיק מיישם אבטחת מידע, אשר יתפעל באופן שוטף את כלל המערכות הרלוונטיות כדוגמת אנטי - וירוס, Firewall, Mail relay ועוד.

2 (

מעקב יישום המלצה : המלצה מס' 1 יושמה, המלצה מס' 2 אינה רלוונטית. לארגון גוייס ממונה אבטחת מידע במיקור חוץ. תחומי האחריות שלו כללו בין היתר : בדיקת לוגים מהמערכות השונות, עדכוני אבטחת מידע במערכות, כתיבה ועדכון נהלים