תקן אבטחת מידע
ISO 27001
דוח מבקר לרשות לניירות ערך
חוק שירותי מידע פיננסי אשר נחקק בנובמבר 2021 הסמיך את הרשות לניירות ערך להעניק רישיונות למתן שירות מידע פיננסי לתאגידים העומדים בדר�ישות הקבועות בחוק, ולפקח על בעל רישיונות כאמור בהתאם לעקרונות שנקבעו בחוק. החוק מסדיר בחקיקה את תחום הבנקאות הפתוחה בישראל.
בכדי לקבל רישיון מהרשות לניירות ערך יש למלא בקשה ולצרף לה רשימת מסמכים שכוללים בין היתר חוות דעת של מבקר מערכות מידע שצריך לעמוד בתנאים הבאים:
2. המבקש יתחייב לשמור את כל המסמכים ששימשו להכנת חוות הדעת של המבקר לתקופה שלא תפחת משלוש שנים ממועד מתן חוות הדעת.
1. חוות דעת של מבקר תהיה לפי כללים מקובלים, בדבר קיום הדרישות המנויות בהוראה הנוגעות להגנה על מידע וסייבר, ובכלל זה הדרישות לפי פרקים ה' עד ז' להוראה, נאותות מערכות המידע של המבקש, מערכות הערוצים המקוונים, אמצעי האבטחה של המבקש ועמידה בתקני אבטחת מידע מקובלים בין-לאומיים או לפי תורת ההגנה העדכנית, שפרסם מערך הסייבר הלאומי.
מבקר הוא מי שעומד בכל אלו:
1. יחיד תושב ישראל.
2. בעל ניסיון של שלוש שנים לפחות בביצוע ביקורות טכנולוגיות.
3. המבקר או התאגיד שבו הוא עובד או שותף, אינם מצויים בניגוד עניינים או תלות בקשר עם חוות הדעת, למעט קבלת שכר בעד הכנת חוות הדעת מהמבקש.
4. בעל תואר אקדמי הנוגע לעניין, ממוסד להשכלה גבוהה בישראל שהמועצה להשכלה גבוהה מכירה בו.
5. בעל הסמכה בביקורת מערכות מידע או באבטחת מערכות מידע שהיא אחת מההסמכות האלה או דומה לה: CISA; CRISC; או רואה חשבון מוסמך בישראל בעל התמחות במערכות מידע.
6. אישור כי האדם הממונה על אבטחת מידע והגנת סייבר במבקש, כאמור בסעיף 30(ג) להוראה, עומד בתנאים הקבועים בסעיף 32 להוראה.
7. פרטים בדבר אופן אחסון הערוצים המקוונים ומא�גרי המידע של המבקש.
8. הייתה למבקש הרישיון הסמכה הנוגעת לעניין בתחום אבטחת המידע, כגון עמידה בתקני אבטחת מידע מוכרים, יצרף אסמכתה על כך לבקשתו.
שלבי התהליך
1. סקירה של נהלי אבטחת המידע שקיימים בארגון, והתאמתם לסוגי המערכות והתשתיות הטכנולוגיות הקיימות והפקת דוח.
2. בחינת מדיניות אבטחת ה�מידע הקיימת וזיהוי נקודות לשיפור ושימור ולבות אמצעים קיימים על מנת לייעל את מערך אבטחת המידע.
3. בחינת מאגרי המידע הקיימים בארגון והתאמתם לדרישות החוק הרלוונטיות.
4. בחינת מודעות הגורם האנושי בארגון באמצעות סקר מודעות עובדים. היכרות עם סיכוני הסייבר והאיומים ברשת יהוו שיפור גדול בהגנת המידע הארגוני
5. בדיקה מקיפה של כלל נקודות הקצה והשרתים בארגון.