- מדיניות אבטחת-המידע
-
1. מבוא
האוניברסיטה פועלת לאפשר את פעילויות האוניברסיטה בכל הקשור לשימוש במשאבי המחשוב, לרבות המחקר, ההוראה והעבודה ולהגן על משאבי המידע של האוניברסיטה, תוך שמירה על פרטיותם של חברי קהילת האוניברסיטה. מסמך זה נועד לקבוע סמכויות ועקרונות לאבטחת המידע והגנת הפרטיות באוניברסיטה.
2. הגדרות
2.1 משאבי המחשוב באוניברסיטה (להלן – "משאבי המחשוב"): כל חומרה, אמצעי משובץ מחשב, התקן, תוכנה, תשתית, רשת ומערכת מחשוב מכל סוג של האוניברסיטה ו/או קשורים לפעילותה, תפעולה או תפקודה של האוניברסיטה, לרבות באמצעות ספק חיצוני ובשירות "ענן".
2.2 מידע אוניברסיטאי (להלן – "מידע אוניברסיטאי"): כל מידע מכל סוג שהוא, לרבות קניין רוחני ומידע אישי, שבבעלות האוניברסיטה ו/או שמאוחסן, מעובד או מופק באוניברסיטה, לרבות במערכות שהן בבעלות או בשימוש של האוניברסיטה ו/או אצל ספק חיצוני, לרבות שירות "ענן".להלן יחד: "משאבי - המידע".
2.3 אבטחת-מידע וסייבר (להלן "אבטחת-מידע"): מכלול הפעולות והאמצעים המיושמים באוניברסיטה שתכליתם להגן הן על סודיות, שלמות וזמינות משאבי-המידע והן על הפרטיות של המשתמשים במשאבי-המידע.
2.4 הוראות אבטחת-המידע: הנהלים, ההליכים והתקנים בתחום אבטחת-המידע והפרטיות באוניברסיטה והמפורסמים מעת לעת על ידי מנהל אבטחת-המידע. כולל הנחיות בכתב או בעל פה הניתנות על ידי מי מעובדי תחום אבטחת מידע בזמן אירועי אבטחת מידע או לצרכי פיקוח ובקרה.
2.5 אירוע אבטחת-מידע: כל הפרעה, פגיעה או נזק, במעשה או במחדל, במזיד, ברשלנות או בשוגג, במשאבי-המידע של האוניברסיטה.
2.6 משתמש: כל אדם או גורם העושה שימוש במשאבי-המידע של האוניברסיטה.
3. תחולת הוראות אבטחת מידע
הוראות אבטחת המידע חלות על כלל עובדי האוניברסיטה ותלמידיה, וכן כלל המשתמשים במערכות האוניברסיטה ומתקניה, כולל אורחים, ספקים וקבלנים מכל סוג, בין אם הם שוהים בחצרות האוניברסיטה ובין אם הם ניגשים מרחוק למשאבי-המידע.
4. סמכות ואחריות
4.1 מנהלי יחידות:
4.1.1 ראשי יחידות אוניברסיטאיות (אגף, פקולטה, רשות, בית ספר וכדומה) נושאים באחריות על משאבי-המידע ביחידתם או בשליטתם והם אחראים לאבטחת-המידע של משאבי-המידע בהם הם מחזיקים.
4.1.2 ראשי יחידות אוניברסיטאיות, או מי שהוסמך על ידי המנכל יהיו "מנהלי המאגר", על פי הוראת החוק עבור המאגרים הרלוונטיים.
4.2 בעלי סמכות ניהול (אדמיניסטרטורים):
4.2.1 הם מי שאחראים ישירות על ההתקנים הפיזיים והלוגים, כגון מנהלי רשת, מנהלי תקשורת, מנהלי יישומים, מנהלי מסדי-נתונים וכדומה.
4.2.2 הם אחראים על שלמותם ופעולתם של משאבי-המידע שבניהולם ואבטחתם באופן פעיל ויזום. הם חייבים לדווח למנהל אבטחת-המידע על כל חשד לאירוע אבטחת-מידע.
4.3 מנהל האגף למחשוב, תקשורת ומידע:
4.3.1 מנהל האגף אחראי על אישור תוכניות העבודה ועל הקצאת המשאבים הדרושים לביצוע משימת אבטחת-המידע.
4.3.2 מנהל האגף אחראי על בנייה ותפעול של מערכי ההגנה התשתיתיים ברשתות ומערכות המידע של האוניברסיטה.
4.4 מנהל אבטחת מידע (CISO):
4.4.1 האחראי ובעל הסמכות להגן על משאבי-המידע של האוניברסיטה ויחידותיה.
4.4.2 בסמכותו ליתן הנחיות בכתב ובע"פ בכל תחום אבטחת-המידע באוניברסיטה, וכן מבצע ביקורת טכנית ומנהלית במערכות האוניברסיטה.
4.4.3 מוביל את ההיערכות מפני איומי אבטחת-מידע ואת הטיפול באירועי אבטחת-מידע.
4.4.4 מנחה ומייעץ להנהלה ולבעלי התפקידים השונים בהיבטים הטכניים והרגולטורים של ניהול סיכוני אבטחת המידע והגנת הפרטיות.
4.4.5 מכין, מעדכן ומפרסם מעת לעת את הוראות אבטחת-המידע המחייבות באוניברסיטה בכפוף לאישור ההנהלה.
4.5 עובדי תחום אבטחת-המידע:
4.5.1 רשאים ליתן הנחיות בכתב או בעל פה בכל הקשור לאבטחת-המידע ולניהול אירועי אבטחת-מידע.
4.5.2 אחראים על הפעלת אמצעים טכנולוגים שונים לניטור, בקרה והגנה על משאבי המידע.
4.5.3 פעילים ומובילים בתגובה לאירועי אבטחת-מידע באוניברסיטה.
4.6 מתאמי מחשוב ביחידות:
אחראים על פעולתם של משאבי-המידע שבניהולם ואבטחתם באופן פעיל ויזום. חייבים לדווח לתחום אבטחת-המידע על כל חשד לאירוע אבטחת-מידע.
4.7 חוקרים, עובדים וסטודנטים
כל חברי קהילת האוניברסיטה מחויבים להגן על משאבי-המידע שבשימושם ובאחריותם בהתאם להוראות אבטחת-המידע באוניברסיטה, ועליהם לדווח לגורמי אבטחת-המידע באוניברסיטה על כל חשד לאירוע אבטחת-מידע.
4.8 גורמי חוץ, ספקים ואורחים:
4.8.1. עליהם להימנע מכל פעולה שעלולה לסכן את משאבי-המידע של האוניברסיטה ולנקוט בזהירות המרבית הנדרשת כדי למנוע כל פגיעה או סיכון כאמור.
4.8.2 חייבים לדווח למחלקת אבטחת-המידע על כל חשד לאירוע אבטחת-מידע או סייבר, בין אם קשור לפעילותם הישירה ובין אם מעבר לה.
4.9 גורמים באוניברסיטה המתקשרים עם גורמי חוץ, ספקים או אורחים:
4.9.1 על הגורם האחראי על ההתקשרות באוניברסיטה לפעול בהתאם להנחיות תחום אבטחת מידע והלשכה המשפטית, לרבות לפי האמור בתקנות הגנת הפרטיות (אבטחת מידע) בכל הקשור למיקור חוץ.
4.9.2 בכל התקשרות עם גורמי חוץ שיש בה היבט הקשור למשאבי-מידע, חובה לכלול במסמכי ההתקשרות נספח אבטחת-מידע שאושר ע"י תחום אבטחת-המידע והלשכה המשפטית.
5. גישה למשאבי-מידע ואמצעי זיהוי
שימוש במשאבי-המידע יכול לחייב שימוש באמצעי זיהוי שהתקבלו מהאוניברסיטה כגון שם משתמש וסיסמא, מחולל סיסמאות, כרטיס חכם או אמצעי זיהוי אחר. אמצעי הזיהוי הם אישיים ויש לשמור עליהם בסודיות מוחלטת. למען הסר ספק חל איסור על:
שיתוף - מסירת אמצעי הזיהוי לכל אדם או גורם אחר. התחזות - שימוש באמצעי זיהוי של אדם או גורם אחר.האוניברסיטה תנקוט באמצעים הנדרשים על מנת לוודא שהמדיניות וההוראות בעניין שימוש במשאבי המחשוב ומשאבי המידע באוניברסיטה, יובאו באופן שקוף ובהיר, לידיעת העובדים.
במקרה של חשד לשימוש לא מורשה באמצעי הזיהוי יש ליצור קשר מיידי בדוא"ל abuse@savion.huji.ac.il או בטלפון למרכז התמיכה: 02-5883450
6. שימוש מורשה במשאבי-המידע
6.1 כללי:
6.1.1 השימוש במשאבי-המידע באוניברסיטה יעשה רק לצרכים מנהליים או אקדמיים לרבות מחקר הקשורים בתפקודה ומטרתה של האוניברסיטה או לכל פעילות אחרת שאושרה במפורש על ידי האוניברסיטה. השימוש במשאבי-המידע ע"י גורמי חוץ ייעשה רק לצרכים שלשמם ניתנה ההרשאה.
6.1.2 חלק ממשאבי-המידע מוגבלים בשימוש בהתאם לרישיונות, הסכמים או חוקים שחלים עליהם. באחריות המשתמש לפעול בהתאם להוראות הרישיון והחוק, לפי העניין.
6.1.3 על אף האמור לעיל, השימוש באינטרנט ובדוא"ל למטרות פרטיות (בלבד) מותר בהיקף סביר ובאופן אחראי, ובלבד שאין בשימוש זה בכדי לפגוע בצרכי העבודה לפי החלטת הממונה ואינו מנוגד לחוק. עם זאת האוניברסיטה רשאית, מסיבות של אבטחת-מידע או נימוקים סבירים אחרים, למנוע או להגביל שימושים אלו.
6.2 מסמכים וקבצים:
6.2.1 מסמכים וקבצים הקשורים לצורכי העבודה יש לשמור אך ורק על גבי שרתי האוניברסיטה במחיצות או במערכות המידע שיועדו לכך. שמירת מסמכים וקבצים במערכות האוניברסיטה מותר רק למי שקיבלו הרשאה מפורשת, קיבלו הדרכה מתאימה ורק לצורך אוניברסיטאי. המסמכים והקבצים נגישים לעיון והעתקה לאוניברסיטה ולעובד. האוניברסיטה, לפי שיקוליה, שומרת גיבויים של כל הקבצים במערכותיה.
6.2.2 מומלץ לא לשמור מידע אישי (כגון תלושי שכר, תמונות ומכתבים פרטיים, נתונים כספיים וכו') בשרתי האוניברסיטה.
6.2.3 ככלל, אין לשמור מידע אוניברסיטאי בשרות ענני פרטי או באמצעי אחסון נתיק פרטי (כגון Disk On key). על אף האמור, יותר שימוש באמצעי אחסון פרטי או ענני בהתאם להנחיות שיקבעו על ידי תחום אבטחת מידע.
6.2.4 מותר לשמור מידע אישי ("קבצים", דואר וכו') בחשבון פרטי בשרות ענני.
6.2.5 האוניברסיטה אינה אחראית לאבטחת מידע של נתונים ומידע אישישנשמרו בניגוד להוראות שבמסמך זה.
6.3 מערכות מידע מרכזיות:
במערכות מידע מרכזיות, כגון אלו הנוגעות למשאבי-אנוש, כספים ואחרים, מותר רק למי שקיבלו הרשאה מפורשת כמו גם הדרכה מתאימה. הפעולה במערכות אילו מותרת רק לצורך אוניברסיטאי התואם את תפקיד המשתמש.
6.4 תיבות דוא"ל:
6.4.1 אין להשתמש בתיבות דואר פרטיות למשלוח וקבלת מידע אוניברסיטאי. לצרכים אלה יש להשתמש רק בתיבות הדואר המקצועיות או המעורבות, כפי שיפורט להלן.
6.4.2 האוניברסיטה מקצה לעובדים מנהליים ואקדמיים תיבות דוא"ל לצרכי עבודה. תיבות אלו נחלקות לשני סוגים:
6.4.2.1 תיבת דואר מקצועית לשימוש בעל תפקיד או יחידה מסוימת, ששמה אינו שמו של עובד, ואסור להחזיק בה התכתבויות אישיות ואין לעשות בה שימוש פרטי.
6.4.2.2 תיבת דואר מעורבת המשמשת לצרכי העבודה והנושאת את שמו של העובד. שימוש פרטי בה מותר, בכפוף למדיניות השימוש בתיבות דואר באוניברסיטה.
פירוט מלא של מדיניות השימוש בתיבות דואר באוניברסיטה מובא בנספח א'.
7. פיתוח מערכות ואספקת שירותים על גבי רשת האוניברסיטה:
7.1 כל התקשרות עם צד שלישי בנושא הקשור למשאבי המידע, לרבות רכישת תוכנות מדף או שירותי ענן, או פיתוח של מערכת מידע המיועדת לצרכי האוניברסיטה, מחייבת אישור מראש של האגף למחשוב תקשורת ומידע בכלל ושל תחום אבטחת-המידע בפרט.
7.2 חל איסור מוחלט לספק שירותים על גבי רשת האוניברסיטה ללא אישור מראש של האגף.
8. שימוש אסור במשאבי מידע
8.1 שימוש פרטי בלתי סביר או שימוש מסחרי:
אין לעשות שימוש פרטי בלתי סביר או שימוש מסחרי במשאבי-המידע. הוראה זו אינה חלה על מסחור של ידע או של קניין רוחני, המוסדר בהוראות הנהלה, או על פעילות מסחרית מטעם האוניברסיטה.
8.2 פגיעה בקניין רוחני וזכויות אחרות של צדדים שלישיים:
8.2.1 חל איסור מוחלט לעשות שימוש במשאבי-המידע של האוניברסיטה בדרך שיכולה לפגוע בזכויות קניין רוחני ו/או זכויות אחרות של צד שלישי כלשהו. למען הסר ספק ולשם הדוגמא בלבד: חל איסור מוחלט לעשות שימוש בתוכנות או בקבצים אשר הועתקו שלא כדין או המפירים זכויות יוצרים, פטנטים או זכויות קניין של צד שלישי, להתקין תוכנה או להשתמש בקבצי מדיה ללא רשיון חוקי.
8.2.2 חל איסור להשתמש בשירותי העתקת ושיתוף קבצים או שירותים דומים המיועדים לשיתוף והפצת תכנים מפרי קניין רוחני.
8.3 העברת משאבי מידע:
העברת משאבי מידע או התקשרות עם צד שלישי כלשהו לשימוש או עיבוד משאבי-מידע מחייבת אישור מפורש של מנהל אבטחת המידע ושל הלשכה המשפטית.
8.4 התנהגות באינטרנט וברשתות החברתיות בעת גלישה מרשת האוניברסיטה:
שימוש באינטרנט וברשתות חברתיות ממשאבי האוניברסיטה צריך להיעשות בהתאם לתנאי השימוש באתרים ובכפוף לכל דין.
8.5 פגיעה בתשתיות ומערכות המחשוב:
תשתיות ומערכות המחשוב, ככל משאבי-המידע של האוניברסיטה, הן באחריות האגף למחשוב, תקשורת ומידע, והגנתן מסורה לתחום אבטחת-המידע באוניברסיטה. חל איסור מוחלט לבצע כל פעולה העלולה לפגוע בהן באופן ישיר או עקיף. כל שינוי בתשתיות ובמערכות המחשוב מחייב אישור מראש של האגף ותחום אבטחת-המידע. הפעולות האסורות כוללות, בין היתר:
8.5.1 חיבור של ציוד מכל סוג לרשת האוניברסיטה, כולל קווי תקשורת חיצוניים לרשת האוניברסיטה, בלא קבלת אישור מראש לכך של האגף.
8.5.2 הפעלת שירותי VPN פרטי או שירותי שיתוף גישה לרשת, מוצפנים או אחרים.
8.5.3 ביצוע פעולות כלשהן, כולל פעולות בינוי, העלולות לגרום נזק לתשתיות באופן ישיר או עקיף.
8.5.4 שימוש בלתי סביר במשאבי רשת או עיבוד.
8.5.5 שיבוש או פגיעה בהגדרות ("קונפיגורציה") ובביצועים של מערכות מכל סוג שהוא, בלא קבלת אישור מראש לכך של האגף ותחום אבטחת-מידע.
8.5.6 שינוי לא מורשה, עקיפה, או פגיעה בפעילות תוכנות או אמצעי אבטחת מידע מכל סוג.
8.6 פעולות "פיצוח" (hacking) וסייבר עוין:
חל איסור מוחלט, מבלי קשר לזהות הפועל, לבצע פעולות פיצוח וסייבר עוין מכל סוג כנגד משאבי-המידע של האוניברסיטה או מהם אל גורם חיצוני כלשהו. אלו הן פעולות תוקפניות שיש בהן משום עבירת משמעת, ושתדווחנה לרשויות המתאימות בהתאם לנסיבות המקרה. הפעולות האסורות כוללות, בין היתר:
8.6.1 השגת גישה בלתי מורשית למשאבי-מידע כלשהם של האוניברסיטה.
8.6.2 האזנה למשאבי-מידע כולל טלפוניה, קווי תקשורת, רשתות, וציוד או מערכות מכל סוג.
8.6.3 הפעלת כלים, מכל מקום שהוא, לאיתור חולשות (VA-Vulnerability Assessment) במשאבי-המידע של האוניברסיטה ללא אישור מראש ובכתב של מנהל אבטחת-המידע.
8.6.4 הפעלת כלים, מכל מקום שהוא, לביצוע בדיקות חוסן (PT-Penetration Testing) במשאבי-המידע של האוניברסיטה ללא אישור מראש ובכתב של מנהל אבטחת-המידע.
למען הסר ספק גם פעילות "הנדסה-חברתית", לכל מטרה שהיא, אסורה ללא אישור מראש ובכתב של מנהל אבטחת-המידע.
8.6.5 הפעלת כלים לאיתור חולשות ובדיקות חוסן (VA, PT) מתוך רשת האוניברסיטה אל רשתות וארגונים אחרים בלא קבלת אישור מראש ובכתב לכך של הגורמים המתאימים בארגונים האחרים ושל מנהל אבטחת-המידע באוניברסיטה.
8.6.6 הפעלת כלי תקיפה או כל פעילות היכולה להיחשב כפעילות סייבר זדונית מתוך רשת האוניברסיטה אל רשתות וארגונים אחרים.
8.6.7 הכנה, הפצה, שימוש או גרימה להפעלה של קוד זדוני מכל סוג (וירוס, malware, וכו').
9. ניטור ובקרה במשאבי המידע
9.1 מנטרת את השימוש במשאבי-המידע שלה באמצעים טכנולוגים סבירים ומקובלים בתחום אבטחת המידע והסייבר לצורך אבטחת מידע, הגנה על משאבי-המידע, הגנה על פרטיות המשתמשים והגנה על המשתמשים מפני איומי אבטחת-מידע וסייבר.
9.2 כל המידע שנאסף במסגרת פעילויות הניטור נשמר בשרתי האוניברסיטה, ובמקרים מסוימים, גם אצל ספקים חיצוניים כגון שירותי ענן. המידע נשמר ומגובה לתקופה סבירה, המפורטת במדיניות הגיבויים ו/או תנאי השימוש של האוניברסיטה ו/או של הספקים החיצוניים, ובהתאם לדין.
9.3 האוניברסיטה אינה מבצעת חסימה או סינון על פי מהות התוכן. האוניברסיטה תבצע חסימה או סינון לכתובות או פעילות באינטרנט או ברשת האוניברסיטה אך ורק לפי מידת הסיכון האפשרית לאבטחת מידע של המשתמשים ושל מערכות האוניברסיטה.
9.4 השימוש במשאבי-המידע מהווה הסכמה לכל פעילויות הניטור והפיקוח שמתבצעות בהתאם לכללים שמפורטים במסמך זה על ידי האוניברסיטה ועל ידי גורמים אחרים המורשים לכך על ידי האוניברסיטה, בכל אמצעי שהוא ובכפוף לכל דין.
האוניברסיטה תקפיד על קיום הוראות הדין ושמירת פרטיות המשתמשים בכל הקשור לפעילויות המפורטות לעיל. ניתן לעיין במדיניות הגנת הפרטיות בכתובת הבאה:
10. טיפול בהפרות ואכיפה
10.1 הפרה של מדיניות זו הינה עבירת משמעת, האוניברסיטה רשאית ולעיתים מחויבת בחוק לשתף מידע הקשור בעבירות מחשב עם רשויות וגורמי אכיפה מוסמכים.
10.2 המשתמש יישא באחריות לכל נזק שייגרם לאוניברסיטה כתוצאה מהפרת נוהל זה.
10.3 האוניברסיטה רשאית, עם היוודע לה על הפרת האמור במדיניות זו לשלול ממשתמש או ממחשב הרשאת גישה למשאבי-המידע או לרשת. במקרים אילו האוניברסיטה תיתן למשתמש הזדמנות להשמיע טענותיו בטרם הפעלת שלילת הרשאת הגישה.
10.4 במקרים דחופים, רשאית האוניברסיטה, באמצעות מנהל אבטחת המידע או מי מטעמו, לשלול או להגביל לאלתר גישה למשאבי-המידע אף בטרם ניתנה למשתמש הזדמנות להשמיע טענותיו ובלבד ותאפשר למשתמש להשמיע את טענותיו בתוך זמן סביר ותבחן מחדש החלטתה בעקבות כך.
11. פרסום המדיניות וקבלת הסכמת המשתמשים
- נספח א': מדיניות השימוש בתיבות דואר באוניברסיטה העברית
-
1. מבוא
1.1 מטרת מדיניות זו היא לפרט את אופן השימוש בתיבות דואר באוניברסיטה, הניטור המתבצע בתיבות אלה ומשאבי המידע הקשורים אליהם, ואת המקרים שבהם האוניברסיטה תהיה רשאית לעיין בתוכן הקיים בתיבות הדואר.
1.2 דוא"ל הנשלח באמצעות מחשבי האוניברסיטה מזוהה עם האוניברסיטה; על כן יש להימנע מכל שימוש אשר יש בו כדי לפגוע באוניברסיטה ובתדמיתה.
2. הגדרות
2.1 תיבת דוא"ל מקצועית: תיבה המשמשת בעל תפקיד או עובדי יחידה מסוימת, אינה נושאת שמו של אדם אלא את שם היחידה או הנושא, ואשר מיועדת לצרכי עבודה בלבד ("תיבה מקצועית").
2.2 תיבת דוא"ל מעורבת: תיבה הנושאת את שמו של העובד, אשר ניתנת לצרכי העבודה ואשר ניתן לעשות בה שימוש אישי-פרטי סביר בהתאם לתנאי מדיניות זו ("תיבה מעורבת").
3. שימוש בתיבת הדואר המעורבת והוראות בעניין המידע הכלול בה
3.1 על העובד להפריד, ככל האפשר, בין תוכן שקשור לשימושו האישי לבין כל תוכן אחר שקשור לאוניברסיטה וצרכי עבודתו. ניתן לעשות זאת על ידי ציון נושא המייל או יצירת תיקיה אישית לשמירת מיילים פרטיים.
3.2 עם סיום תפקידו של עובד, תימסר לעובד הודעה בכתב שלפיו עליו לפנות את כל המידע האישי המצוי בתיבה המעורבת בתוך 60 ימי עבודה. במהלך תקופה זו באחריות העובד לפנות את כל המידע האישי מתיבת הדוא"ל ולוודא שמידע זה נמחק מתיבת הדוא"ל המעורבת ומכל משאבי המחשוב שהעובד פעל בהם. לאחר תקופה זו האוניברסיטה תפעל על פי ההנחה שלא קיים מידע אישי של העובד בתיבת הדוא"ל, תיבת הדואר המעורבת תיסגר לשימוש וכל המידע המקצועי שבתיבת הדואר יטופל בהתאם לשיקול הדעת של מנהל היחידה. מבלי לגרוע מן האמור, ככל שבמהלך העברת החומר מהתיבה המעורבת לבעל התפקיד הרלבנטי או לאחר מכן ימצא מידע שמזוהה כמידע אישי שקשור לעובד שסיים את תפקידו, המידע יושמד ולא יעשה בו כל שימוש.
3.3 על אף האמור, חבר סגל אקדמי הפורש לגמלאות רשאי להמשיך לעשות שימוש בתיבת הדואר המעורבת.
3.4 במקרה של פטירת חבר סגל אקדמי או מנהלי, אם העובד לא הודיע בכתב לאוניברסיטה (לאגף משאבי אנוש) הוראה אחרת בחייו או הותיר צוואה הקובעת אחרת, האוניברסיטה תודיעבכתב לבן/בת הזוג של העובד, ובהעדרם, לצאצאיו או ליורש חוקי אחר של העובד, כי הם רשאים לעיין בתיבת הדוא"ל ולפנות את כל המידע האישי של העובד ויחולו הוראות סעיף 5 לעיל לנוהל זה. האוניברסיטה רשאית לדרוש כי פעולה זו תתבצע בפיקוח גורם מטעמה.
4. שימוש בתיבת הדואר המקצועית והוראות בעניין המידע הכלול בה
4.1 עובד שנדרש לעשות שימוש בתיבת דוא"ל מקצועית יקבל הודעה על כך. חל איסור מוחלט לעשות בתיבה המקצועית שימוש אישי-פרטי כלשהו ואין לשמור בה מידע אישי-פרטי של העובד.
4.2 האוניברסיטה רשאית להמשיך לעשות שימוש בתיבת הדוא"ל המקצועית לאחר סיום תפקידו של עובד, וכן להעביר את התיבה המקצועית, לרבות תוכנהּ או כל משאב מידע הקשורים לה, לעובד אחר.
5. ניטור, עיון וחדירה לתיבות דואר
5.1 למטרות אבטחת מידע, לרבות הגנה על משאבי-המידע, הגנה על פרטיות המשתמשים והגנה על המשתמשים מפני איומי אבטחת-מידע וסייבר, רשאית האוניברסיטה לקיים פעולות ניטור ומעקב אחר נתוני תקשורת, תעבורת רשת ועל כלל פעילות המערכות הקשורות בדואר אלקטרוני על כל תיבות הדואר. הדבר יעשה בכפוף להוראות הקבועות לעניין ניטור במדיניות אבטחת המידע ומדיניות הפרטיות של האוניברסיטה ובכפוף לדין.
5.2 ניטור המתבצע למטרות האמורות לעיל יכול לכלול ניטור של תוכן הכלול בתיבת הדואר, המתבצע על פי רוב באמצעות כלי אבטחת מידע אוטומטיים המאתרים פוגענים העלולים לפגוע במשאבי-המידע או באוכלוסיית המשתמשים במשאבי המידע (לדוג' נוזקה או phishing).
5.3 בנוסף לאמור לעיל, בתיבת דוא"ל מקצועית האוניברסיטה תהיה רשאית גם לעיין בנתוני התוכןוההתכתבות המקצועית הכלולה בה, ובאופן מידתי למטרה סבירה וראויה, בכפוף לאישור הלשכה המשפטית והתייעצות עם מנהל אבטחת המידע באוניברסיטה. עיון כאמור יעשה לאחר תיאום עם המנכ"ל לגבי עובדים מנהליים ועם הרקטור לגבי עובדים אקדמיים, בנוכחות נציג מהלשכה המשפטית ככל שהיועץ המשפטי סבור שיש צורך בכך. המנכ"ל והרקטור, לפי העניין, יהיו רשאים להיות נוכחים גם הם במהלך העיון בתיבה.
5.4 בנוסף לאמור לעיל, האוניברסיטה תהיה רשאית, במקרים חריגים בלבד, לעקוב ו/או לעיין בנתוני התוכן המקצועיים הכלולים בתיבה המעורבת וההתכתבות המקצועית הכלולה בה כאשר מתקיימים כל התנאים שלהלן:
5.4.1 העיון נדרש בנסיבות בהן יש חשש מבוסס לפגיעה חמורה באוניברסיטה (כגון חשד להתנהלות פלילית של העובד או להתנהלות פוגענית חמורה אחרת של העובד כגון הטרדה מינית, מעילה, מרמה, פגיעה בטוהר המידות של בחינות);
5.4.2 לא נמצא אמצעי אחר להשגת תכלית העיון, שפגיעתו בפרטיות העובד קטנה יותר;
5.4.3 שימוש בתוצרי העיון ייעשה רק לשם הגשמת המטרות בעטים בוצע העיון מלכתחילה;
5.4.4 העיון אושר בכתבעל ידי היועץ המשפטי ומנהל אבטחת המידע באוניברסיטה;
5.4.5 העיון אושר על ידי המנכ"ל לגבי עובדים מנהליים והרקטור לגבי עובדים אקדמיים;
5.5 העיון יעשה בנוכחות נציג מהלשכה המשפטית ככל שהיועץ המשפטי סבור שיש צורך בכך. המנכ"ל והרקטור, לפי העניין, יהיו רשאים להיות נוכחים גם הם במהלך העיון בתיבה.
5.6 ינקטו אמצעים סבירים ומקובלים על מנת למנוע עיון בנתוני תוכן אישיים, ככל שהם נשמרו על ידי העובד בתיבת הדוא"ל המעורבת או המקצועית. עיון בנתונים אישיים אלו יתאפשר רק בהסכמת המפורשת והספציפית של העובד לכל פעולת חדירה או על פי הוראות הדין.
5.7 כל האמור והמפורט לעיל, לרבות הניטור ו/או העיון יבוצעו באמצעות כלים מקובלים בתחום אבטחת מידע, ותוך הקפדה על קיום הוראות הדין ושמירת פרטיות המשתמשים. הכל בכפוף לעיקרון הסבירות, מטרה ראויה ומידתיות.
5.8 למען הסר ספק מובהר כי אין מניעה לעשות שימוש בתיבת דוא"ל חיצונית פרטית בבעלותו של משתמש (כגון Gmail) במרחב הוירטואלי של האוניברסיטה. האוניברסיטה לא תנטר או תעיין בתוכן תיבת הדואר.
5.9 האוניברסיטה תנקוט באמצעים הנדרשים כדי לוודא שהמדיניות וההוראות בעניין השימוש בתיבות הדוא"ל, לרבות כללי האסור והמותר בשימוש במחשב וביישומיו במרחב הווירטואלי במקום העבודה, יפורסמו, באופן שקוף ובהיר באתר האוניברסיטה.
6. אחריות
שימוש למטרות אישיות-פרטיות בתיבות הדואר הנ"ל הוא באחריות הבלעדית של העובד והאוניברסיטה אינה אחראית בשום צורה שהיא למידע או לתוכן שקשור לשימוש האישי של עובדים שנשמרים בתיבות הדוא"ל הנ"ל.
- מדיניות הגנת הפרטיות
-
1. מבוא ומטרה
1.1 מטרת מסמך זה הינה לפרט את עיקרי מדיניות הגנת הפרטיות המיושמת באוניברסיטה ואת הזכויות הנתונות לנושא המידע. במקרים מסוימים, ייתכן שיחולו מספר נהלים או כללי מדיניות. לדוגמא, על גולש באתר האינטרנט של האוניברסיטה תחול בנוסף גם מדיניות הפרטיות של אתר האוניברסיטה.
1.2 האוניברסיטה העברית (להלן: "האוניברסיטה") מחויבת לשמור על פרטיותם של סטודנטים, עובדי האוניברסיטה, נותני שירותים, מבקרים ונושאי מידע נוספים, ולנהל את המידע המוחזק על ידה בהתאם להוראות כל דין, ובפרט חוק הגנת הפרטיות, תשמ"א – 1981 והתקנות מכוחו, תנאי מדיניות זו, ונהלים נוספים לפי העניין.
1.3 האוניברסיטה תשאף לקדם עקרונות של שקיפות ושיתוף פעולה בתוך האוניברסיטה ועם גורמים נוספים בכל הקשור לפעולותיה ופעילות עובדיה בתחום השמירה על פרטיות.
1.4 האוניברסיטה תפעל בהתאם להוראות חיקוקים אחרים מחוץ לישראל ורגולציה בינלאומית בתחום הגנה על פרטיות, כגון הרגולציה הכללית להגנה על מידע של האיחוד האירופי (GDPR), בנסיבות שבהן ישנה תחולה לחיקוקים ו/או כללים אלה.
2. הגדרות
2.1 אבטחת-מידע וסייבר: (להלן 'אבטחת-מידע') מכלול הפעולות והאמצעים המיושמים באוניברסיטה שתכליתם להגן הן על סודיות, שלמות וזמינות משאבי-המידע והן על הפרטיות של המשתמשים במשאבי-המידע.
2.2 משאבי-המידע של האוניברסיטה (להלן – 'משאבי המידע') : כהגדרתם במסמך מדיניות אבטחת המידע באוניברסיטה.
2.3 מנהל אבטחת-המידע: הוא האחראי ובעל הסמכות להגן על משאבי-המידע של האוניברסיטה.
2.4 "חוק הגנת הפרטיות" – חוק הגנת הפרטיות, תשמ"א-1981, והתקנות מכוחו.
2.5 "מידע" או "מידע אישי" –נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו.
2.6 "נושא המידע" – האדם שאליו מתייחס המידע.
3. הממונה על הגנת הפרטיות
לצורך ההגנה על הפרטיות מונה על ידי האוניברסיטה 'ממונה הגנת הפרטיות' ("ממונה") שאחראי, בין היתר, על יישום הוראות הגנת הפרטיות באוניברסיטה בהתאם לחיקוקים הרלוונטיים. כמו כן, ישמש הממונה ככתובת ארגונית לצורך קבלת פניות בנושאי הגנת הפרטיות, וידווח במידת הצורך לרשויות הגנת הפרטיות הרלוונטיות. הממונה יפעל בכל הנושאים בעלי היבטים משפטיים בתיאום עם הלשכה משפטית.
כתובת לפניה לממונה על הגנת הפרטיות: privacy@huji.ac.il
4. מידע אישי
האוניברסיטה מקבלת , מעבדת ושומרת מידע הכולל, בין השאר: פרטים אישיים, מקום עבודה, מידע סוציו-אקונומי, מידע בריאותי או רפואי, מידע לימודי, נתונים כספיים וכלכליים, נתוני העסקה ושכר, ומידע נוסף,הכל, בהתאם למטרת איסוף המידע, הנסיבות והדין.
5. מטרות השימוש במידע
המידע שנאסף ומעובד על ידי האוניברסיטה משמש אותה לצורך ביצוע משימותיה, מטרותיה, פעילויותיה, ותפקידיה. מבלי לגרוע מכלליות האמור, מטרות אלה כוללות, בין היתר:
5.1 ניהול הליכי קבלת מועמדים ללימודים.
5.2 ניהול ההוראה והלימודים.
5.3 ניהול מערכת סיוע, מלגות ומעונות.
5.4 מתן מידע ושמירה על קשר עם מועמדים תלמידים ובוגרים.
5.5 ניהול משאבי אנוש, לרבות תשלומי שכר, זכויות סוציאליות, בריאות, רווחת העובד בטיחות וגהות.
5.6 ניהול הליכי קבלת מועמדים לעבודה וניהול הליכי קידום חברי סגל.
5.7 ניהול מערכות הרכש והכספים.
5.8 יישום חוקי הבטיחות, תקנות ונהלים ושמירה על הביטחון והסדר הציבורי.
5.9 ביצוע מחקרים.
5.10 לצורך ביצוע מטרותיה כאמור, האוניברסיטה רשאית לעשות שימוש בכל אמצעי תקשורת, ובין היתר באמצעות דואר אלקטרוני, הודעות SMS, מערכת חיוג אוטומטית ורשתות חברתיות.
6. אמצעי אבטחה וניטור
האוניברסיטה עושה שימוש במגוון אמצעי אבטחה וניטור טכנולוגיים ואחרים, למטרות המפורטות בנהלי האוניברסיטה, לרבות מדיניות אבטחת מידע ושימוש נאות במשאבי המידע. אמצעי הניטור והאבטחה יפעלו באופן השומר על פרטיות נושאי המידע ובכפוף להוראות הדין.
7. Cookies וטכנולוגיות אחרות
האוניברסיטה עושה שימוש ב- Cookies וטכנולוגיות אחרות באתרי האינטרנט הפנימיים והחיצוניים שלה לצרכי ייעול השירותים, אבטחת מידע, תפעול שוטף, והתאמת השירותים למשתמשים. ניתן לבטל או לשנות את הגדרות שמירת ה - Cookies בדפדפן.
8. אבטחה
התקנת מצלמות אבטחה, השימוש בהן והפעלתן השוטפת ייעשו, בכפוף להוראות הדין.
9. העברת מידע
האוניברסיטה רשאית להעביר מידע לצדדים שלישיים כלשהם בארץ ובחו"ל, בכל אחד מהמקרים שלהלן:
9.1 העברת המידע תואמת למטרה שלשמה נמסר המידע.
9.2 נושא המידע הסכים להעברת המידע.
9.3 העברת המידע מתבצעת על פי הוראת צו שיפוטי, או לפי דרישה מחייבת של רשות מוסמכת בכפוף להוראות החוק.
9.4 העברת המידע הינה בהתאם להוראות הדין בעניין העברת מידע בין גופים ציבוריים .
9.5 בעת העברת מידע לגוף ציבורי האוניברסיטה תיישם, על פי הנדרש, את הוראות הדין.
יובהר שהאוניברסיטה לא תעביר מידע לאחרים, אלא בהתאם לאמור במדיניות פרטיות זו.
10. סודיות
כל עובד אוניברסיטה או ספק שירות, בעל גישה למידע יוחתמו על כתב סודיות המתייחס לשמירה על סודיות מידע ועל הגבלת השימוש בו במסגרת תפקידם בלבד.
11. הגנה על המידע ואחריות
11.1 האוניברסיטה מפעילה אמצעי אבטחת-מידע טכנולוגים סבירים ומקובלים בתחום אבטחת-המידע על מנת להגן על משאבי המידע שברשותה, בהתאם לסוג המידע ועל פי הוראות הדין.
11.2 לכל עובד ומשתמש במשאבי המידע באוניברסיטה אחריות מלאה לפעול בהתאם לדין, כללי מדיניות זו, וכללי אבטחת מידע שיקבעו על ידי תחום אבטחת מידע, לרבות כללי השימוש הנאות.
12. זכויות נושא המידע
12.1 נושא המידע רשאי לבקש לעיין במידע אודותיו או לבקש לתקן מידע זה. נושא המידע רשאי גם לדרוש שמידע המתייחס אליו אשר משמש לדיוור ישיר יימחק מהמאגר, או שלא יועבר לצדדים שלישיים. הבקשה תטופל בהתאם ובכפוף לתנאים ולסייגים הקבועים בחוק.
12.2 בכל עניין או בקשה שקשורה לזכויות נושא מידע, ניתן לפנות בדואר אלקטרוני: privacy@huji.ac.il.
13. עדכון
האוניברסיטה רשאית לשנות מעת לעת את הוראות מדיניות זו. שינויים מהותיים יעשו לאחר קיום היוועצות עם נציגויות חברי הסגל. בכל מקרה בו יבוצעו שינויים במדיניות זו, האוניברסיטה תודיע על שינויים אלה באמצעות פרסום המדיניות המעודכנת באתר שלה וכן תביא את השינוי לידיעת כל המשתמשים באמצעות פניה אישית או בדרך אחרת