שאלות ותשובות בנושא ממונה על אבטחת מידע

החובה למנות ממונה על אבטחת מידע חלה על מי שמחזיק לפחות חמישה מאגרי מידע של גורמים אחרים. אף אם האחריות מוטלת על המחזיק, היא משפיעה גם על בעל המאגר הנעזר בו, כך שנדרשת תאימות מלאה לתקנות כדי לשמור על חוקיות ניהול המאגר.

כן, ניתן למנות ממונה על אבטחת מידע גם מעבר לדרישות החוק. על פי סעיף 17ב(א) לחוק, ארגונים מחויבים בכך רק אם הם מחזיקים בחמישה מאגרי מידע, הם גופים ציבוריים, בנקים, חברות ביטוח או חברות דירוג אשראי. עם זאת, תקנה 3 קובעת שכאשר ממונה כזה מתמנה, הוא חייב לעמוד בתנאים שנקבעו בתקנות.

מנהל המאגר מחויב אישית לאבטחת המידע, יחד עם בעל המאגר או המחזיק בו, לפי סעיף 17 לחוק. האחריות לאבטחת מידע מוטלת גם על הממונה על אבטחת המידע, שמקבל סמכויות נוספות לפי סעיף 17(ב).

לא בהכרח. תקנות אבטחת מידע מאפשרות שהממונה יהיה כפוף ישירות למנהל המאגר, למנהל הבכיר של בעל המאגר או המחזיק, או לבכיר אחר בארגון הכפוף למנהל המאגר. זה נועד להבטיח את מעמדו הבכיר של הממונה ואת עצמאותו בארגון.

לא. התקנות קובעות כי ממונה על אבטחת מידע צריך להיות כפוף למנהל המאגר או לנושא משרה בכיר אחר, במטרה להבטיח עצמאות ואובייקטיביות בתפקיד. לפיכך, מנהל המאגר אינו יכול לשמש גם כממונה אבטחת המידע.

לרוב, לא מומלץ שהממונה על אבטחת המידע יהיה כפוף למנמ"ר בשל חשש לניגוד עניינים. תקנה 3(4) דורשת עצמאות של ממונה האבטחה, והכפיפות למנמ"ר עלולה לפגוע בעצמאות זו. עם זאת, אפשר לצמצם את הסיכון לניגוד עניינים באמצעות אפשרויות דיווח ישירות למנכ"ל או לדירקטוריון.

כן, ניתן למנות ממונה חיצוני. במקרה כזה, חשוב לוודא שהממונה מבין כי הוא נושא באחריות אישית לאבטחת המידע במאגר, בהתאם לדרישות החוק.

החוק והתקנות אינם מפרטים הליך מינוי מפורט, אך דורשים שהממונה על אבטחת המידע יהיה בעל הכשרה מתאימה לתפקיד. יש להקפיד גם על דרישות תקנה 3 להגנת הפרטיות (אבטחת מידע) התשע"ז–2017.