בואו נדבר קצת על CISO ועל DPO

מיהם, מה תפקידם, מה ההבדל בניהם, מתי נצטרך אותם ובאילו מקרים נדרש לשניהם.

Ciso (chief information security officer) הוא קצין אבטחת מידע ראשי. מדובר בתפקיד בכיר בתחום אבטחת המידע אשר אחראי על ביסוס ותחזוקת החזון הארגוני, האסטרטגיה והתוכנית, על מנת להבטיח שנכסי מידע וטכנולוגיות יהיו מוגנים כראוי. ה-ciso מנחה את הצוות בזיהוי, פיתוח, יישום ותחזוקה של תהליכים ברחבי הארגון להפחתת סיכוני מידע וטכנולוגיית מידע (IT).

 

ה-ciso מגיב לאירועים, קובע סטנדרטים ובקרה מתאימים, מנהל טכנולוגיות אבטחה ומכוון את הקביעה ואת היישום של מדיניות ושל נהלים. ה-ciso אחראי גם על הגנה על מידע קנייני ונכסים של החברה, לרבות נתוני לקוחות וצרכנים. Ciso עובד עם מנהלים אחרים כדי לוודא שהחברה צומחת בצורה אחראית ואתית.

מודל העבודה של CISO as Service הוא הטרנד המקובל בעולם. ארגונים רבים מוצאים במודל עבודה זה פתרון מעולה עבור צורכי הסייבר של הארגון. מיטב חברות הסייבר בעולם מעניקות שירותים אלו ובכך מאפשרות גם לארגונים קטנים ליהנות מהגנת סייבר יעילה.

 

(Data Protection Officer (DPO הוא קצין הגנת נתונים. הוא אחראי על הגנה על הפרטיות של הנתונים האישיים המאוחסנים אצל הארגון.

גם כאן, מדובר בתפקיד בכיר בתחום אבטחת המידע והפרטיות.

תחומי האחריות שלו כוללים:

· עמידה בדרישות הרגולציה להגנת הפרטיות, כגון GDPR-.

· ניהול תהליכי איסוף, שימוש ושיתוף נתונים אישיים.

· מתן ייעוץ לעובדים ולמנהלים בנושא הגנת הפרטיות.

· טיפול בפניות של אנשים בנושא הגנת הפרטיות.

בישראל, חוק הגנת הפרטיות, התשמ"א-1981, קובע שחברות וגופים ציבוריים מסוימים חייבים למנות. DPO החוק גם קובע ש-DPO צריך להיות עובד של הארגון או של גורם חיצוני, ושהוא צריך להיות בעל ידע וניסיון בתחום הגנת הפרטיות.

 

ההבדל העיקרי בין שני התפקידים הוא ש-CISO אחראי על הגנה על מערכות המידע והנתונים של הארגון, DPO אחראי על הגנה על הפרטיות של האנשים שהנתונים שלהם מאוחסנים אצל הארגון.

בהתאם להבדל זה, תחומי האחריות של שני התפקידים משלימים זה את זה-

CISO אחראי על בניית מעטפת אבטחה שתמנע גישה לא מורשית למערכות המידע והנתונים ו- DPO אחראי על הגנה על הפרטיות של הנתונים האישיים המאוחסנים במערכות אלו, גם במקרה של פריצה או דליפה.

 

 

מקרים שבהם יהיה רק CISO:

ארגונים קטנים יחסית, שבהם אין צורך במחלקה ייעודית להגנת הפרטיות.

ארגונים שבהם אין נתונים אישיים רגישים או שאין להם רגולציה מחמירה בנושא הגנת הפרטיות.

ארגונים שבהם ה-CISO הוא בעל מומחיות גם בתחום הגנת הפרטיות.

מקרים שבהם יהיה רק DPO:

ארגונים קטנים יחסית, שבהם אין צורך במחלקה ייעודית לאבטחת מידע.

ארגונים שבהם אין נכסים דיגיטליים מורכבים או שאין להם רגולציה מחמירה בנושא אבטחת מידע.

ארגונים שבהם ה-DPO הוא בעל מומחיות גם בתחום אבטחת המידע.

מקרים שבהם צריך את שתיהם ביחד:

ארגונים בינוניים וגדולים, שבהם יש צורך במחלקות מקצועיות לאבטחת מידע ולהגנת הפרטיות.

ארגונים שבהם יש נתונים אישיים רגישים או שאין להם רגולציה מחמירה בנושא הגנת הפרטיות.

ארגונים שבהם יש צורך בסיוע מקצועי בתחומי אבטחת מידע או הגנת הפרטיות.

במקרים אלו, CISO ו-DPO צריכים לעבוד בשיתוף פעולה הדוק כדי להגן על מערכות המידע והנתונים של הארגון, תוך שמירה על הפרטיות של האנשים שהנתונים שלהם מאוחסנים אצל הארגון.

מתי CISO ו-DPO צריכים לעבוד בשיתוף פעולה:

פיתוח אסטרטגיית אבטחת מידע והגנת פרטיות משולבת.

הטמעת פרויקטים ואמצעי אבטחת מידע והגנת פרטיות.

ניהול סיכונים אבטחתיים והגנת פרטיות.

הדרכה והטמעה של תרבות אבטחת מידע והגנת פרטיות בארגון.

עמידה בדרישות הרגולציה להגנת מידע ופרטיות.

טיפול בפניות של אנשים בנושא אבטחת מידע ופרטיות.

האם תפקיד הממונה להגנת הפרטיות (DPO) זהה לממונה אבטחת מידע (CISO)?

למרות ששני התפקידים עוסקים בניהול מידע ארגוני, קיים הבדל מהותי ביניהם. בעוד שממונה אבטחת המידע אחראי על כלל נכסי המידע בארגון, ויישום תהליכי הגנה אל מול איומים וסיכונים, הרי שממונה הגנה על הפרטיות אחראי לבחינה של כלל ההיבטים של שימוש במידע אישי בכלל תהליכי הארגון- התאמתו לדרישות החוק, נחיצותו, והאופן בו הוא מנוהל.

לסיכום

אני ליאור חיים, עו"ד, יועצת GRC&DPO בחברת ELPC , כאן ללכת איתכם יד ביד, לייעץ, להבין ולחקור מה נכון לארגון שלכם ביחד עם הצוותים שלנו במחלקות השונות.

4.4/5 - (7 votes)

שתפו פוסט זה

ELPC דואגים לנגישות