השאירו פרטים כאן לקבלת מידע על שירותי CISO as a service אצלכם בארגון או התקשרו ל-03-7176020
בחודש מאי 2018 נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות אבטחת מידע").
התקנות קובעות שורה ארוכה של חובות החלות על כל גוף המנהל מאגרי מידע.
כל מה שצריך לדעת על החובות החלות על מחזיקי מאגרי מידע
במקביל, נכנסו לתוקף באיחוד האירופאי הרגולציה הכללית להגנת מידע רגולציית GDPR.
תקנות אלו חלות לא רק על גופים הפועלים מתוך שטחי האיחוד, אלא על כל גוף המבצע פעולות של שיווק או מכירה לאיחוד האירופאי – שימוש במידע של אזרחי אירופה.
הסדרים חוקיים אלו באירופה ובישראל, מצטרפים למעשה לגל החקיקה העולמית בתחום אבטחת המידע והגנת הפרטיות לו אנו עדים בשנתיים האחרונות. גל זה כולל הסדרים חוקיים נרחבים וחדשים בקליפורניה (CCPA) וושינגטון ומדינות נוספות בארה"ב, שוויץ, ברזיל, יפן, הודו, בוסניה, אורוגואי, אוקראינה ועוד.
הרגולציה בתחום מתייחסת כמובן לאמצעי האבטחה השונים, כללים הקובעים מה מותר ומה אסור לעשות במידע, מעמדן של הרשויות המפקחות השונות וכו'. אולם בצד כל אלה, הרגולציה קובעת חובות רבות המתייחסות לביצוע בקרות שוטפות, דיונים פנימיים, סקרי אבטחה וסיכונים, תהליכי ניטור וביקורת, מערכי תיעוד ושליטה שוטפים ויומיומיים וכו'.
לקבלת מידע אודות החובות שנקבעו במסגרת ה-GDPR
למאמר המפרט אודות הסמכת GDPR בארגון
בביקורות של רשות הגנת הפרטיות שאנו מלווים אצל חלק לקוחותינו אנו נתקלים פעם אחר פעם בדרישה להציג "אסמכתאות" לקיומם בפועל של נהלים, "תיעוד" של ביצוע פעולות פנים ארגוניות, "פרוטוקולים" של דיונים וכו'. דהיינו, אין די בקביעתם של מנגנוני שליטה ובקרה – יש להטמיע אותם בפעילות היומיומית, ולנהל בקרות על כך שעובדי הארגון פועלים בהתאם להם, תוך תיעוד שוטף.
כל מה שצריך לדעת על מערך האכיפה של רשות הגנת הפרטיות
וכך, מבחינה ארגונית, המשמעות המרכזית של הרגולציה השונה החלה על כל ארגון עסקי כיום, היא הצורך הבלתי פוסק לעסוק בניהול של המידע, אבטחה שלו, בחינה של השימוש הנעשה בו ויצירת בקרות ומנגנוני שליטה וביקורת שתכליתם למנוע אירועי אבטחת מידע העלולים לפגוע במוניטין ובלקוחות הארגון.
כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep
בשל מורכבות זו, במרבית הארגונים, ניהול של נושא אבטחת המידע והגנת הפרטיות באמצעות גורם פנימי אינו פשוט כלל – יש לאתר גורם פנימי הבקיא בשלושת התחומים האמורים, שיש לו את הפנאי והמשאבים לנהל הליכים אלו. כאשר מוסיפים על כך את האיסור החוקי (והמובן) לעשות שימוש במנמ"ר / מנהל מחשוב / Ciso as a service לצורך כך בשל העובדה שכל אלו נתונים בניגוד עניינים מובנה, השאלה מתחדדת אף יותר. לבסוף, בחברות קטנות-בינוניות, לא קיימת בדרך כלל התכנות כלכלית למינוי של גורם ייעודי לליווי שוטף, שכן מדובר הרבה עבודה, אך עדיין, ב"היקף משרה" של מספר ימים בחודש.
המסקנה היא, שגורם המשמש כ- CISO as a service קלאסי או ממונה אבטחת מידע אינו בהכרח מספיק על מנת לעמוד בכלל הדרישות שבדין. כך, גם עורך דין לבדו, בוודאי שאינו יכול לתת כיסוי לכלל התחומים, הכוללים תחומים מקצועיים וטכנולוגיים.
בשל הצורך האמור של לקוחותינו לניהול נכון, יעיל ומקיף של אבטחת המידע והגנת הפרטיות אצלם בארגון, נקסטפ, כחברה המתמחה בהטמעת מערכות תקינה ורגולציה פנים ארגונית, פיתחה ואפיינה את שירות ליווי שוטף – תוכנית מסודרת לליווי ותחזוקה שוטפים של תחומי הגנת הפרטיות ואבטחת המידע בכל ארגון. וכך, בליווי ותמיכה של יועצים משפטיים המתמחים בתחום הגנת הפרטיות, חברת נקסטפ מאפשרת כיום ללקוחותיה לרכוש חבילת שירותים מקיפה, המבוססת על ידע מקיף ומתוחזק בשלושת התחומים שצוינו לעיל: משפטי, ארגוני וטכנולוגי ותפורה בדיוק לצרכיהם ולפעילותם.
שירות ליווי שוטף של חברת נקסטפ הינו שירות מודולארי בהתאמה אישית לצרכי הלקוח.
שימו לב, לא מדובר רק ב- DPO או בשירות CISO as a Service – מדובר בשירות רחב בהרבה המקיף את כלל התחומים – המשפטי, הארגוני והטכנולוגי.
כמו כן, בשל הניסיון הנרחב שיש לחברת נקסטפ בתחום, השירות מותאם לצרכי הלקוח לא רק בהיבט הארגוני, אלא גם בהקשר המשפטי, כך שהשירות יכול להיות משולב ומותאם לכל מערכות הרגולציה אליהן כפוף הארגון במקביל, כמו למשל ארגון הכפוף לרגולציה ישראלית ובמקביל לרגולציה זרה, כדוגמת ה– CCPAוה- .GDPR
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00