האם החברה גיבשה מדיניות ונהלי אבטחת מידע? (החברות התבקשו לצרף את הנוהל)
נזכיר בהקשר זה כי לגבי מאגרי מידע כמשמעותם בחוק הגנת הפרטיות, התשמ"א-1981 נדרש לאמץ נהלי אבטחת מידע נדרש מכוח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. בנוסף, גופים הכפופים למפקח על הבנקים וגופים מוסדיים הכפופים לממונה על שוק ההון, הביטוח והחיסכון נדרשים לאמץ נהלי אבטחת מידע מכוח הרגולציה הסקטוריאלית שחלה בענפים אלה.
דיווח ודיונים ברמת הדירקטוריון
האם מתקיימים דיונים מהותיים בדירקטוריון בנושא סטטוס הגנת הסייבר בחברה?
מומחיות באבטחת מידע
האם יש חברי הנהלה או חברי דירקטוריון בעלי מומחיות בתחום אבטחת המידע או סייבר? (נציין כי אין כיום חובה בחוק למינוי דירקטורים בעל מומחיות בסייבר)
תוכנית עבודה שנתית באבטחת מידע
האם קיימת לחברה? האם קיימת בקרה על ביצוע תוכנית זו על ידי הדירקטוריון? נזכיר בעניין זה כי לפי תקנות אבטחת מידע יש לאמץ תוכנית עבודה שנתית ליישום תקנות אבטחת מידע.
הערכת סיכוני סייבר
האם החברה ביצעה הערכת סיכוני סייבר בשלוש השנים האחרונות? האם תוצאות הערכת הסיכונים נדונה בדירקטוריון או בוועדה מוועדותיו? האם החברה קבעה תוכנית לצמצום החשיפות שעלו כתוצאה מסקר הסיכונים? נציין כי כיום, לפי תקנות אבטחת מידע, אם לחברה מאגרי מידע שמסווגים ברמת אבטחת גבוהה, עליה לערוך סקר סיכוני אבטחת מידע אחת ל-18 חודשים ולתקן את הליקויים שיעלו במסגרתו. עניין זה מתקשר גם לתכנית העבודה השנתית, שחלק ממנה אמור לכלול תכנית לטיפול בחשיפות שעולות מסקרי סיכונים.
המבקר הפנימי
האם במסגרת הביקורת הפנימית נבחנו היבטי אבטחת המידע או סיכוני סייבר? נוסיף כי לפי תקנות אבטחת מידע, יש לערוך ביקורת אבטחת מידע (פנימית או חיצונית) למאגרי מידע המסווגים ברמת אבטחה בינונית וגבוהה על ידי גורם מוכשר לכך אחת לשנתיים לפחות.
אופן הגילוי אודות סיכוני סייבר בדוחות החברה
באיזה אופן קובעת החברה את הדירוג של סיכוני הסייבר בגילוי אודות גורמי הסיכון בדוח התקופתי? האם קיים נוהל פנימי לגבי דיווח וגילוי במקרה של אירוע סייבר חריג?
גילוי לעניין אירוע התקפת סייבר
האם החברה נתקפה תקיפת סייבר בשלוש השנים האחרונות? וכמה תקיפות? האם התקיימו בחברה דיונים באשר למהותיות תקיפות הסייבר? בנוגע לחמש התקיפות האחרונות שחוותה החברה, הרשות ביקשה לצרף קטעי פרוטוקולים של ישיבות הדירקטוריון בעניין.