1.     מחויבות הנהלה לנושא אבטחת מידע והגנת הפרטיות 

 הנהלת אליהו מלך ושות' חברת עורכי דין (להלן: "ההנהלה") רואה את ההגנה על המידע בהיבט של שלימות, זמינות, אמינות וכן הגנת הפרטיות של נושאי המידע, כנושאים בעלי חשיבות עליונה. הנהלת החברה תקצה את המשאבים הנדרשים, על מנת לעמוד בדרישות מערכת ניהול אבטחת המידע (מנא"מ) ובהוראות תיקון 13 לחוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). על עובדי החברה להיות מודעים לסיכונים של חשיפת מידע ופגיעה בפרטיות, לעשות את כל האמצעים כדי למנוע חשיפה ואם ייתקלו באירוע חריג עליהם לדווח על כך לממונה על אבטחת המידע.

 

2.     אחריות על אבטחת מידע והגנת הפרטיות בחברה 

 הנהלת החברה הגדירה את המסגרות הארגוניות אשר יישמו את מדיניות אבטחת המידע והפרטיות בחברה ויבקרו את אופן יישומה:

·         ועדת היגוי לנושא אבטחת מידע והגנת הפרטיות – מגדירה את מדיניות ונהלי החברה בתחומים הנוגעים לאבטחת מידע והגנת הפרטיות.

·         ממונה על אבטחת מידע והגנת הפרטיות – הממונה אחראי לניהול השוטף של ענייני אבטחת מידע והגנת הפרטיות בחברה, כנדרש בחוק הגנת הפרטיות ותקנותיו.

·         נאמני אבטחת מידע והגנת פרטיות באליהו מלך ושות' חברת עורכי דין – ההנהלה מינתה נציגות ביחידות השונות, על מנת להבטיח הטמעה מיטבית של מדיניות אבטחת המידע והפרטיות בכלל יחידות החברה.

3.     עקרונות הגנת הפרטיות

  החברה מחויבת לעקרונות הגנת הפרטיות הבאים:

·         איסוף מידע אישי רק למטרות חוקיות וברורות ורק בהסכמת נושא המידע.

·         הגבלת עיבוד המידע רק למטרות שלשמן נאסף.

·         שמירה על המידע האישי רק לתקופה הנדרשת למטרות שלשמן נאסף.

·         הקפדה על דיוק המידע ועדכניותו.

·         מתן אפשרות לנושאי המידע לממש את זכויותיהם על פי חוק.

4.     אבטחה לוגית

  האבטחה הלוגית מהווה את ה"שכבה" העיקרית והקרובה ביותר בהגנה על המידע המצוי במערכות המחשב והתקשורת. ממונה אבטחת המידע בחברה יתווה את רמת האבטחה הלוגית המחייבת עבור רכיביהן השונים של מערכות המחשוב והתקשורת. תיושם מדיניות הרשאות ובקרת גישה למידע אישי ועסקי בהתאם לעקרון הצורך לדעת ולמזעור ההרשאות לפי התפקיד והצורך המקצועי. יבוצעו בקרות תקופתיות על הרשאות הגישה למאגרי המידע.

 

5.     אבטחה פיזית

 ייושמו הגנות ובקרות פיזיות, על מנת למנוע פעולות אשר תוצאותיהן עשויות להיות חשיפה, גניבה, שינוי או הרס של מידע. אמצעי הגנה אלו יתאימו לרמת הסיווג של המידע ולרמת האבטחה הנדרשת למאגרי המידע בהתאם לתקנות.

 

6.     אבטחת משאבי אנוש 

 נקבעו עקרונות אבטחת מידע והגנת פרטיות בכל הקשור לעובדי החברה, על מנת לצמצם את הסיכונים הנובעים מבעיות במהימנות עובדים, חוסר מודעות של עובדים או רצון מכוון של עובד לפגוע במידע האגור בחברה. כל עובד יחתום על התחייבות לשמירה על סודיות והגנת הפרטיות ויעבור הדרכות תקופתיות בנושאים אלה.

 

7.     ניהול וסיווג נכסים 

 המידע בחברה יסווג בהתאם לרגישות המידע וחיוניותו. יתבצע מיפוי של כל מאגרי המידע הקיימים בחברה, כולל מיפוי סוג המידע הנשמר בהם, רמת הרגישות, ורשימת בעלי הרשאות הגישה. מאגרי המידע ירשמו אצל רשם מאגרי המידע כנדרש בחוק הגנת הפרטיות.

 

8.     אבטחת רשומות 

 הנהלת אליהו מלך ושות' חברת עורכי דין הגדירה את התהליכים וכלי הטיפול ברשומות (מצעים פיזיים נושאי מידע), במטרה לצמצם את סיכוני הפגיעה במידע האגור בהם. אבטחת רשומות חיונית משום קיומו של מידע רגיש רב על-גבי מצעים פיזיים אשר הגעתם לידיים לא מורשות עלולה להוביל לנזקים. יבוצע תיעוד של הוצאת רשומות ממאגרי המידע והעברתם לגורמים חיצוניים.

 

9.     פיתוח ורכש 

 היבטי אבטחת מידע והגנת פרטיות ישולבו בתהליכי פיתוח מערכות מידע ובהתקשרות עם ספקים חיצוניים. כל התקשרות עם ספק חיצוני שכרוכה במתן גישה למידע אישי תכלול הסכם עיבוד מידע מפורט, המגדיר את חובות הספק ביחס להגנת הפרטיות ואבטחת המידע בהתאם לדרישות החוק והתקנות.

 

10.  ניהול המשכיות עסקית 

 אליהו מלך ושות' חברת עורכי דין תיישם תכנית לניהול המשכיות עסקית. היערכות להמשכיות עסקית נועדה לסכל הפרעות לפעילות השוטפת של החברה ולהגן על נתונים מפני הרס, שיבוש, מחיקה וכדומה, הנגרמים בהשפעת מקרי כשל משמעותיים או מקרי אסון (שריפה, הצפה, אסונות טבע וכדומה), במערכות המידע הפיזיות והלוגיות של החברה.

 

11.  ניהול אירועי אבטחת מידע ודליפת מידע 

 החברה הגדירה נוהל לטיפול באירועי אבטחת מידע ודליפת מידע אישי, כולל תיעוד, חקירה ודיווח כנדרש בתקנות הגנת הפרטיות. במקרה של אירוע אבטחה חמור או דליפת מידע אישי, תבוצע בחינה מעמיקה של האירוע ויופקו לקחים למניעת הישנות אירועים דומים בעתיד. אירועים חמורים ידווחו לרשות להגנת הפרטיות בהתאם לדרישות החוק.

 

12.  ביקורות ובקרות תקופתיות 

 החברה תבצע בקרות תקופתיות וסקרי סיכונים על מערכות המידע ותהליכי עיבוד המידע האישי שלה לפחות אחת לשנה, כנדרש בתקנות הגנת הפרטיות (אבטחת מידע). יבוצע מעקב אחר תיקון ליקויים שהתגלו בסקרים ובביקורות.

 

13.  זכויות נושאי המידע 

החברה תכבד את זכויות נושאי המידע כמתחייב בחוק הגנת הפרטיות, לרבות:

·         זכות העיון במידע האישי השמור עליהם.

·         זכות לתיקון מידע שגוי או לא מדויק.

·         זכות למחיקת מידע כאשר אין עוד צורך בשמירתו.

·         זכות להתנגד לעיבוד מידע מסוים.

·         זכות לקבל הסבר על אופן השימוש במידע האישי.

14.  שקיפות ומידע לנושאי המידע 

 החברה תפעל בשקיפות מול נושאי המידע לגבי איסוף ועיבוד המידע האישי שלהם, באמצעות הודעות פרטיות ברורות המפרטות את סוגי המידע הנאספים, מטרות האיסוף, אופן השימוש במידע, העברות מידע לצדדים שלישיים, וזכויות נושאי המידע.

ניתן לפנות בכל עניין הנוגע לפרטיות ואבטחת מידע לממונה על הגנת הפרטיות בחברה באמצעות האימייל sec@melech.co.il

נוסח מדיניות זו מתעדכן מעת לעת בהתאם לשינויים בחקיקה ובדרישות הרגולטוריות. המדיניות המלאה זמינה לעיון במשרדי החברה.