1. מבוא
1.1 תמצית
על פי הוראות החוק להגנת הפרטיות התשמ"א–1981 (להלן "החוק") נדרשים כל מאגרי המידע העומדים בקריטריונים הקבועים בחוק להיות רשומים בפנקס מאגרי המידע המנוהל על ידי רשם מאגרי המידע ברשות למשפט, טכנולוגיה ומידע במשרד המשפטים כתנאי לשימוש במאגר. בנוסף, על בתי הספר להקפיד כי יהיו ברשותם אך ורק מאגרי מידע הדרושים להם לצורך מילוי תפקידי בית הספר וניהול עבודתו. יש להגן על המידע האגור במאגר מידע מפני חשיפה, שימוש או העתקה בניגוד לחוק וללא רשות כדין ואין לעשות במאגר מידע כל שימוש החורג ממטרותיו כפי שאושרו ונרשמו בפנקס מאגרי המידע.
1.2 מטרת הפרסום
א. התוקף: החל מ-1 בנובמבר 2009
ב. התחולה: כלל מערכת החינוך היסודית והעל-יסודית
ג. הסטטוס: חדש
ד. חוזרים קודמים בנושאים קשורים
– חוזר מיוחד ח', התשנ"ח, "נוהל אבטחת מידע במערכות מינהל בית-ספרי ממוחשב" – מבוטל
– סעיף 3–3.6 בחוזר הוראות הקבע סג/7(א), "שמירה על פרטיות באתרי האינטרנט הבית ספריים" – בתוקף
– סעיף 4–3.6 בחוזר הוראות הקבע סד/3(א), "שמירה על פרטיות באתרי האינטרנט הבית-ספריים – תיקון לסעיף 3–3.6 בחוזר הוראות הקבע סג/7(א)" – בתוקף
– סעיף 6–3.6 בחוזר הוראות הקבע סד/9(א), "חסימת אתרי מידע בלתי רצויים באינטרנט במערכת החינוך" – בתוקף.
1.3 התפוצה: מנהלי בתי הספר, המפקחים על בתי הספר, מנהלי מחלקות החינוך ורכזי המנב"ס ברשויות המקומיות.
1.4 יישום ומעקב
על יישום הנוהל בבית הספר אחראים מנהל בית הספר והממונה על אבטחת המידע. על הפיקוח ועל המעקב אחראי המינהל לתקשוב ולמערכות מידע במשרד החינוך.
1.5 הגורם האחראי
א. שם היחידה: המינהל לתקשוב ולמערכות מידע
ב. בעל התפקיד: מנהל האגף
ג. מספר הטלפון: 03-9298111 (מוקד התמיכה של מינהלת יישומי המנב"ס)
ד. כתובת הדוא"ל: manbas@manbas.K12.il.
2. הגדרות
2.1 מידע: נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. למען הסר ספק מובהר, כי גם נתונים כאמור על קטין, כמו נתונים על מבוגר, ייחשבו כ"מידע", וכך גם נתונים אשר לכשעצמם אינם "מידע" אולם הם מוחזקים תחת כותרת שאפשר ללמוד ממנה על מידע כאמור (למשל, רשימת שמות של הורי תלמידים המוחזקת תחת הכותרת "הורים המצויים במצב כלכלי קשה" וכדומה).
2.2 מאגר מידע: אוסף נתוני מידע המוחזק באמצעי מגנטי או אופטי (ובכלל זה מחשב) ומיועד לעיבוד ממוחשב.
2.3 מנהל המאגר: מנהל בית הספר שבו מאגר המידע מצוי.
2.4 הממונה על אבטחת המידע: מנהל בית הספר, או אדם אחר הנמנה על הצוות הקבוע בבית הספר אשר מונה על ידי המנהל לתפקיד זה ואשר אחראי על אבטחת המידע הנכלל במאגרי המידע המצויים בידי בית הספר ועל יישום ההוראות ב-6 להלן.
2.5 משתמשי מאגר מידע
א. כל בעל תפקיד בבית הספר הנדרש מתוקף תפקידו להשתמש במידע אשר נצבר במאגרי המידע המצויים בבית הספר (ובכלל זה מאגר המידע של מערכת המנב"ס)
ב. בעלי תפקידים בבעלויות החינוך ובאגפי החינוך ברשויות המקומיות המקבלים במסגרת תפקידם דוחות ומידע המופקים ממאגרי מידע המצויים בידי בית הספר (ובכלל זה מידע ודוחות ממערכת המנב"ס)
ג. מערכות משיקות (צד שלישי) העושות שימוש במידע הנכלל במאגרי המידע המצויים בידי בית הספר (ובכלל זה מערכות ותוכנות משלימות למערכת המנב"ס).
2.6 מערכת אבטחת מידע בתוכנה: מערכת תכניות שייעודן בקרה על פעילותם של משתמשי המערכת למניעת שימוש בלתי מורשה במידע.
2.7 קוד משתמש: קוד המזהה באופן חד-ערכי את המשתמש.
2.8 מערכת מידור: נהלים ואמצעים המבטיחים את נגישות המידע למשתמשים המורשים בלבד.
2.9 אבטחה פיזית: האמצעים הפיזיים הנדרשים להגנה על ציוד המחשוב, לגישה למידע ולשרידות המערכות הממוחשבות המכילות את מאגרי המידע.
2.10 אתר מינהלת יישומי המנב"ס: אתר האינטרנט שכתובתו
/EducationCMS/Units/Manbas.
2.11 מנהל מערכת המנב"ס: האחראי על התקנת מערכת המנב"ס, על הגדרת המשתמשים ועל מתן הרשאות גישה למערכת בהתאם לתפקיד המשתמש.
2.12 אתר רשם מאגרי המידע ברשות למשפט, טכנולוגיה ומידע במשרד המשפטים: אתר האינטרנט שכתובתו
http://www.justice.gov.il/MOJHeb/RashamMagariMida.
3. מאגרי מידע בבתי הספר
3.1 בתי הספר מחזיקים במאגרי מידע שונים לצורך עבודתם ותפעולם הסדיר. בין היתר אפשר למנות את מאגר המידע של מערכת המנב"ס, המכיל מידע ופרטים רבים על התלמידים, על הוריהם ועל משפחתם, מאגרים המכילים מידע על המורים ועל צוות בית הספר, מאגרי מידע המכילים פרטים רבים שנעשה בהם
שימוש במסגרת תפעול התוכנות הנלוות למערכת המנב"ס (תוכנות ההשלמה), מאגרי מידע הנוגעים ללקויות למידה או לבעיות רפואיות שונות של תלמידים לצורך הטיפול בהם ועוד.
3.2 בתי ספר רבים אף יוצרים מאגרי מידע מקומיים פנימיים לשימוש בית הספר עצמו ולסיוע במעקב אחר תלמידים ובטיפול בהם, כגון מאגרי מידע המכילים רשימות תלמידים שננקטו לגביהם פעולות חינוכיות שונות, רשימות תלמידים בעלי בעיות אישיות, משפחתיות או כלכליות שונות ועוד. מאגרי מידע אלה חייבים ברישום על פי החוק בפנקס מאגרי המידע כתנאי לשימוש בהם.
3.3 יש להדגיש, כי על בית הספר להקפיד להחזיק אך ורק במאגרי מידע הדרושים לו לצורך עבודתו הסדירה וקיום תפקידיו. השימוש בנתונים המצויים במאגרי המידע מותר אך ורק לצורך המטרה שלשמה הוקם המאגר ואשר אושרה על ידי רשם מאגרי המידע בעת רישום המאגר בפנקס המאגרים.
3.4 שימוש שלא כדין במידע או שימוש במאגרי מידע שלא נרשמו כדין אסור על פי החוק, ועלול אף להיחשב עברה פלילית.
4. חובת בית ספר רשמי בדיווח על מאגרי מידע
4.1 מכיוון שבתי הספר הרשמיים מוחזקים בין היתר על ידי משרד החינוך (בהתאם לאמור בחוק לימוד חובה, התש"ט–1949), שהוא רשות ממשלתית, על מאגרי המידע שברשותם להיות גם כן בבעלות משרד החינוך. לפיכך משרד החינוך הוא אשר יטפל ברישום המאגרים המצויים בבתי הספר הרשמיים.
4.2 לצורך כך על מנהל בית הספר לדווח למשרד החינוך על כל מאגר מידע המצוי ברשות בית הספר, לרבות מאגרי מידע פנימיים שהוקמו על ידו לצורך עבודתו המקומית של בית הספר ומאגרי מידע של בית הספר המוחזקים בידי ספקים חיצוניים (כגון תוכנות השלמה למערכת המנב"ס, יישומים שונים ועוד). הדיווח יתבצע באמצעות טופס א', המצוי באתר מינהלת יישומי המנב"ס (ראה כתובת ב-2.10 לעיל).
4.3 אם יחליט בית הספר להוסיף לרשימת המאגרים שדווח עליהם בעבר או לגרוע מהם, ידווח מנהל בית הספר למשרד החינוך על ההחלטה להקמת המאגר או לגריעתו בתוך שבוע מיום קבלת ההחלטה. הדיווח יתבצע באמצעות טופס ג' המצוי באתר של מינהלת יישומי המנב"ס.
4.4 פעם בשנה, לא יאוחר מ-1 בנובמבר באותה שנה – או ביום ראשון שאחריו אם תאריך זה הוא יום חג, שבתון או חופשה רשמית – יעביר מנהל בית הספר דוח מצב בנוגע למצבת מאגרי המידע המצויים בבית הספר. הדוח ימולא באמצעות טופס ה' המצוי באתר של מינהלת יישומי המנב"ס. לאחר מילוי הטופס יש להעבירו הן באופן אלקטרוני, באמצעות האתר, והן באמצעות הדואר, מודפס ופרטי תוכנו מאומתים בחתימת מנהל בית הספר.
4.5 עדכון מאגרי המידע המצויים ברשות בתי הספר הרשמיים ורישומם בפנקס המאגרים יבוצע על ידי משרד החינוך.
5. חובת בית ספר שאינו רשמי בדיווח על מאגרי מידע וברישומם
5.1 כללי
בתי הספר שאינם רשמיים (מוכרים שאינם רשמיים ומוסדות פטור) מצויים בבעלויות שונות (לרבות עמותות וגופים פרטיים שונים), ועל כן חובת הרישום של מאגרי המידע שברשותם חלה עליהם. יחד עם זאת, על בתי הספר לדווח למשרד החינוך על קיומם של המאגרים שברשותם במקביל לרישומם בפנקס מאגרי המידע.
5.2 דיווח
א. על מנהל בית הספר לדווח למשרד החינוך על כל מאגר מידע המצוי ברשות בית הספר, לרבות מאגרי מידע פנימיים שהוקמו על ידו לצורך עבודתו המקומית של בית הספר ולרבות מאגרי מידע של בית הספר המוחזקים בידי ספקים חיצוניים (כגון תוכנות השלמה למערכת המנב"ס, יישומים שונים ועוד). הדיווח יתבצע באמצעות טופס ב' המצוי באתר של מינהלת יישומי המנב"ס.
ב. פעם בשנה, לא יאוחר מ-1 בנובמבר באותה שנה – או ביום ראשון שאחריו אם תאריך זה הוא יום חג, שבתון או חופשה רשמית – יעביר מנהל בית הספר דוח מצב בנוגע למצבת מאגרי המידע המצויים בבית הספר. הדוח ימולא באמצעות טופס ה' המצוי באתר של מינהלת יישומי המנב"ס. לאחר מילוי הטופס יש להעבירו הן באופן אלקטרוני, באמצעות האתר, והן באמצעות הדואר, מודפס ופרטי תוכנו מאומתים בחתימת מנהל בית הספר.
5.3 רישום המאגרים בפנקס מאגרי המידע
א. חובה על בית הספר לרשום בפנקס מאגרי המידע כל מאגר מידע המצוי ברשותו. רישום מאגר מידע יבוצע בהתאם לדרישות רשם מאגרי המידע, הכוללות בין היתר מילוי טופס בקשה לרישום מאגר מידע* ותשלום אגרת רישום. כן נדרש תשלום אגרה שנתית בגין מאגר המידע בהתאם להנחיות של משרד המשפטים והרשות למשפט, טכנולוגיה ומידע. את הטפסים ופרטים נוספים אפשר למצוא באתר של רשם מאגרי המידע ברשות למשפט, טכנולוגיה ומידע במשרד המשפטים.
ב. בית ספר שאינו רשמי העושה שימוש במאגר מנב"ס משרד החינוך לא יבצע רישום של מאגר זה. הרישום של מאגר מנב"ס משרד החינוך יבוצע על ידי משרד החינוך עצמו לאחר קבלת הדיווח מאת בית הספר על השימוש במאגר זה (בהתאם להוראות ב-5.2 לעיל). רישום יתר המאגרים המצויים ברשות בית הספר (לרבות מאגרי מנב"ס פרטיים) יבוצע באחריות בית הספר עצמו ועל ידו.
________
* הטופס מצוי באתר של רשם מאגרי המידע של משרד המשפטים (ראה ב-2.12 לעיל).
6. ניהול ואבטחה של מאגרי מידע ומערכת המנב"ס – לכלל בתי הספר
6.1 כללי
אבטחת המידע ומאגרי המידע המצויים ברשות בתי הספר תבוצע בהתאם להוראות של חוק הגנת הפרטיות, התשמ"א–1981, ותכלול שליטה ובקרה על השימוש במאגרי המידע ובנתוני המידע. לצורך אבטחת המידע, השליטה בו והבקרה על השימוש בו על מנהל בית הספר לוודא את יישום הפעולות האלה:
א. אבטחה פיזית של המחשבים וסביבתם ושל ה"מידע", הן זה השמור במחשבים והן זה השמור בעותקים מודפסים (למשל באמצעות הקפדה על נעילת המשרדים שמצויים בהם מחשבים המכילים מאגרי מידע והקפדה על מניעת גישה פיזית למחשבים אלה של גורמים שאינם מורשים לעיין במידע המצוי במחשבים או לעשות שימוש בו)
ב. אבטחה לוגית של הגישה למידע ושל השימוש המותר בו באמצעות ססמאות גישה חסויות שתימסרנה רק למורשי גישה למאגר מידע, מעקב אחר השימוש בהן והחלפתן כמה פעמים בשנה
ג. אבטחת תקשורת המידע והנתונים ברשתות המחשוב במבנים ובחצרות של בתי הספר
ד. אבטחת פלטי מחשבים ומצעי מידע לסוגיהם (דיסקטים, CD וכו'), לרבות איסור להוציא פלטי נתונים משטח החדר שנמצא בו המחשב המכיל אותם ללא אישור מיוחד, נהלים בדבר תיוק פלטי מחשב ואחסנתם בארון נעול וכו'
ה. אבטחה של מחשבים אישיים, ובכלל זה נישאים, מההיבט של הגישה הפיזית, באמצעות נעילת החדר או הארון שהם מצויים בהם וכדו', ומההיבט של הגישה הלוגית, באמצעות ססמת גישה שתוחלף כמה פעמים בשנה
ו. היערכות לשעת אסון על ידי הכנת גיבויים ושמירתם במקום מאובטח ובחינה חד-שנתית של יישום ההיערכות
ז. פיקוח על עובדים הבאים במגע עם מידע רגיש או המוצבים בתפקידים רגישים העושים שימוש במאגרי מידע, וכן על עובדים העושים שימוש במערך השליטה והבקרה הטכנולוגיים על מאגרי המידע (כל העובדים, כולל קבלנים, ספקים ועובדיהם).
6.2 מיפוי המידע ומאגרי המידע וסיווגם
הממונה על אבטחת המידע ומנהל מאגרי המידע יאתרו וימפו את כל מאגרי המידע השמורים בבית הספר ויקבעו את רמת החיסיון שלהם על פי רמות החיסיון/הסודיות "בלתי-מסווג" ו"חסוי" (המידע הכלול בהגדרת "מידע" המופיעה ב-2.1 לעיל יסווג כ"חסוי", ומידע שאינו כלול בהגדרה יסווג כ"בלתי מסווג"). כל המידע המסווג כ"חסוי" יישמר, יאובטח ויטופל בהתאם להוראות בחוזר זה.
6.3 מידור והרשאות גישה ל"מידע" ולמאגרי מידע
על פי העיקרון של "הצורך לדעת ולעשות" ימודרו המידע ומאגרי המידע ויוגדרו המורשים להשתמש במידע או לטפל בו. הממונה על אבטחת המידע יעניק הרשאות גישה רק לפרטי מידע ולמערכות מידע הנדרשים לעובד לצורך ביצוע תפקידיו. עם הענקת ההרשאה ידריך הממונה על אבטחת המידע את המשתמש בדבר חובותיו באשר לשמירה על סודיות המידע ועל אבטחתו.
המידור ייעשה על ידי חלוקת המשתמשים לקבוצות שייכות או נושא, ובכל הרשאה יוגדר מה מותר לעובד לעשות במידע (קריאה, כתיבה, מחיקה, העברה וכיוצא בכך).
6.4 האחריות על מאגרי המידע
האחריות על דיווח למשרד על קיומם של מאגרי מידע (בכלל בתי הספר) ועל רישום מאגרי המידע (בבתי הספר שאינם רשמיים), כמפורט ב-4 וב-5 לעיל, היא של מנהל בית הספר, בין אם המידע מוחזק בבית הספר ובין אם הוא מוחזק אצל ספק / נותן שירות מטעם בית הספר (למען הסר ספק מובהר כי החזקת מאגר מידע של בית הספר אצל ספק / נותן שירות חיצוני תיעשה באישור בלבד, כמפורט בחוזר זה).
האחריות על מתן הרשאות שימוש במידע ובמאגרי מידע והפיקוח על קיום נוהלי השמירה והאבטחה, לרבות דיווח על אירועי אבטחת מידע (גנבה, כניסה לא מורשית למאגרי המידע או למערכות המחשוב בבית הספר) היא של הממונה על אבטחת המידע, בפיקוחו של מנהל בית הספר.
הרשאות תינתנה למערכות האלה:
-
בבית הספר – למנב"ס ולכל תוכנה אחרת העושה שימוש במאגר מידע
-
לתוכנות משלימות למנב"ס
-
בבעלויות חינוך וברשויות – לגישה לנתונים או לממשקי דיווח
-
למערכות של גורמים מסחריים (באישור מוקדם).
6.5 בקרת גישה ומידור המידע במערכת המנב"ס
א. כללי
כל פנייה למערכות המחשוב ולמערכת המנב"ס בבית הספר תיעשה אך ורק לאחר זיהוי הפונה. הגדרת זיהוי המשתמשים תיעשה בתשתית המחשוב בבית הספר (מחשב בודד או רשת מחשבים), במערכת המנב"ס ובמאגרי מידע נוספים הקיימים בבית הספר. זיהוי המשתמשים יבוצע באמצעות שם משתמש וססמה אישית שתוחלף מדי כמה חודשים כדי למנוע גישה לא מורשית למידע הקיים במערכות המחשוב בבית הספר.
ב. זיהוי המשתמשים
1) זיהוי המשתמשים בגישה למחשב או לרשת המחשבים בבית הספר ייעשה על בסיס קוד גישה אישי אשר יינתן למשתמשים על ידי מנהל מערכת המנב"ס או הממונה על אבטחת המידע עם תחילת העבודה. קוד גישה הוא אישי ואין להעבירו. לא תתאפשר עבודה למשתמשים שהקוד האישי שלהם אינו מוגדר או אינו בתוקף.
2) זיהוי המשתמשים במערכת המנב"ס ייעשה על ידי קוד אישי. לכל משתמש תוגדר רמת הרשאות אישיות על ידי מנהל מערכת המנב"ס או על ידי הממונה על אבטחת המידע.
3) לכל משתמש בעל קוד אישי תינתן ססמה אישית ייחודית שתשויך לקוד המשתמש ובאמצעותה יתבצע אימות הזיהוי. את הססמה יספק המשתמש בעת כניסתו למערכת. הססמה לא תוצג בעת הקלדתה. יש לשנות את הססמה לפחות פעמיים בשנת הלימודים (בחודשים אוגוסט ואפריל). הססמה תהיה באורך של 6 תווים לפחות ותכלול שילוב של אותיות וספרות (ראה המלצות לססמה נכונה באתר של מינהלת המנב"ס). במקרה שמשתמש שכח את ססמתו ייצור עבורו מנהל מערכת המנב"ס ססמה חדשה.
ג. מידור המידע
1) במערכת המנב"ס קיים מידור משתמשים המגדיר אילו הרשאות קיימות לכל אחד מהמשתמשים במערכת לביצוע פעולות ולגישה למידע.
כלל ההרשאות במערכת המנב"ס נמצאות בתקינת המערכת, כמופיע באתר של מינהלת המנב"ס.
2) במערכות המשתמשות בבסיסי הנתונים של המנב"ס או במאגרי מידע אחרים בבתי הספר תוגדרנה הרשאות שונות לבעלי התפקידים, כמפורט להלן:
א) מנהל בית הספר: הרשאות מלאות
ב) מזכירה: הרשאות מלאות
ג) מורה / מחנך: מידע פרטני הקשור לכיתת הלימוד שלו
ד) מרכז מקצוע / נושא: מידע הקשור למקצוע / לנושא
ה) מרכז שכבה: נתונים הקשורים לשכבת הלימוד
ו) יועץ: מידע פרטני לגבי התלמידים
ז) רופא / אחות: מידע פרטני לגבי התלמיד
ח) מרכז חברתי: מידע כללי הקשור לתחום עיסוקו
ט) הורים: מידע פרטני על בנם/בתם בלבד (בהתאם להוראות המתפרסמות בנושא זה)
י) רשות מקומית: מידע דמוגרפי קבוצתי ומצטבר ומידע על הישגי לימוד, ללא סימני זיהוי אישיים
יא) מפקח: מידע קבוצתי וסטטיסטי (מידע פרטני רק באישור המנהל).
3) מנהל בית הספר רשאי לאשר העברת מידע אישי לגבי תלמיד באחריותו, וזאת על פי שיקול דעתו ותוך עמידה בחוק הגנת הפרטיות.
6.6 ניהול המערך של אבטחת המידע
א. הגדרת תפקידים
1) בבית הספר יוגדר ממונה על אבטחת המידע על ידי המנהל, והוא יהיה אחראי על ביצוע הפעולות האלה:
א) ניהול משתמשים: הוספה וביטול של משתמשים, שינוי הגדרות למשתמשים כתוצאה משינוי תפקיד, הרשאות גישה ומידור (לגבי הרשאות מערכת המנב"ס ראה ב"מדריך שימוש במערכת המנב"ס" הנמצא באתר מינהלת יישומי מנב"ס; ראה ב-2.10 לעיל)
ב) עדכון והחלפה של ססמאות פעמיים בשנה, בחודשים אוגוסט ואפריל (לגבי החלפת ססמאות במערכת המנב"ס ראה ב"מדריך שימוש במערכת המנב"ס")
ג) בקרה ודיווח למנהל על חריגים לגבי השימוש במערכת המנב"ס: מי משתמש ומאיזה מחשב, פעילות חריגה במערכת (ראה ב"מדריך שימוש במערכת המנב"ס")
ד) יישום ההנחיות והנהלים לאבטחת המידע ורישום המאגרים כמפורט בחוזר זה.
2) הממונה על אבטחת המידע יהיה מודע להוראות ולהנחיות לאבטחת המידע המתפרסמות באתר המינהלת להפעלת המערכות השונות, ובאחריותו להתעדכן מעת לעת לגבי השינויים בהוראות אלה.
3) מנהל בית הספר ישמש מנהל מאגרי המידע, ותפקידיו הם:
א) רישום מאגרים הדורשים רישום
ב) דיווח על קיומם של מאגרי מידע למשרד החינוך
ג) קבלת אישורים והחתמה על טופסי העברת מידע מול גורמים מסחריים (עבור תוכנות השלמה וגורמים מסחריים אחרים הפועלים בבית הספר בהתאם לאישור מוקדם).
ב. אבטחה פיזית
1) יש להציב את המחשב בחדר מאויש, במקום שאינו מאפשר גישה מקרית ובלתי מבוקרת למי שאינם מורשים. אם הדבר אינו אפשרי, יש להתקין מנעול לנעילה פיזית של המחשב. במקרה זה יישמר המפתח במקום מאובטח, באחריותו של הממונה על אבטחת המידע.
2) בסיום יום העבודה, או לפני היעדרות ממושכת באמצע יום העבודה, יש לכבות את המחשב ולנעול את החדר.
3) החדר שהמחשב נמצא בו צריך להיות מוגן מפני פריצה באמצעים המקובלים: דלת פלדה, סורגים, מערכת אזעקה וכו'. במקרה של אבדן מפתח יש להחליף את המנעול.
4) כדי להבטיח אספקת מתח תקינה למחשב יש להתקין מערכת אל-פסק (UPS) הכוללת הגנה מנפילות מתח ומברקים.
5) מדיה מגנטיים – דיסקטים, CD, דיסקים נתיקים (Disk on Key), דיסקים חיצוניים וכו' – יאוחסנו בכספת בעלת קוד או מנעול המיועדת לאחסון מדיה אלה. הוצאתם משטח בית הספר תהיה באישור מנהל בית הספר או הממונה על אבטחת המידע בלבד. פעם בשבוע יתבצעו בדיקת תכולה ורישומה.
6) יש למנוע גישה למחשב של אנשים זרים, או מי שאינם מורשים. טכנאים ונותני שירות ילוו על ידי הממונה על אבטחת המידע או על ידי מי שימונה לכך מטעמו במשך כל זמן הטיפול במחשב.
ג. טיפול במסמכי קלט/פלט
1) על כל דיסק (DVD/CD), קלטת גיבוי, דיסק נייד, דיסק נתיק
(Disk on Key) המכילים מידע יירשם "מידע מוגן לפי חוק הגנת הפרטיות".
2) כל העברת מידע (אלקטרוני, על גבי מדיה או מודפס) לגורם חיצוני תתועד על ידי רישום שם המעביר, שם המקבל ותאריך ההעברה וסיבתה. על גבי אמצעי העברת המידע יסומן –
א) סמל בית הספר ושמו;
ב) שם המנהל;
ג) כיתוב בנוסח זה: "מידע מוגן על פי חוק הגנת הפרטיות: המוסר מידע זה שלא כדין עובר עברה."
3) כל דיסק (DVD/CD), קלטת גיבוי ותדפיס המכילים מידע יושמדו בגריסה או בשרפה בבית הספר. עד למועד השמדתם הם יטופלו כאילו הם עדיין בשימוש.
4) דיסקים פגומים המכילים מידע והמוחלפים בדיסקים חדשים יושמדו על ידי גורם מוסמך המטופל בגריסת דיסקים או יאוחסנו בכספת בבית הספר. דיסקים תקינים המוחלפים יפורמטו.
ד. הדפסה
1) מדפסות תמוקמנה במקום הנמצא בפיקוח מתמיד של עובד בית הספר. אין להציב מדפסות במקום המאפשר גישה בלתי מורשית או אקראית למצעי ההדפסה. רצוי למקם את המדפסות בסמיכות למחשבים.
2) מידע מודפס ייאסף מיד עם סיום הדפסתו.
3) מידע מודפס פגום או מסמכי טיוטה או מסמך שהסתיים השימוש בו ייגרסו, יישרפו או יושמדו באופן שלא יהיו קריאים. אין להשליך דפים אלה לפחי האשפה הרגילים, ואין לעשות בהם שימוש חוזר אם יש עליהם מידע רגיש.
ה. גיבוי
1) הגיבוי ייעשה בתדירות שבועית לפחות, ויישמרו ארבעת הגיבויים האחרונים לפחות.
2) יש לגבות את כלל הנתונים וכן יישומים ששחזורם לא יתאפשר כדי למנוע אבדן נתונים.
3) אפשר להשתמש בשירות חיצוני לגיבוי, בתנאי שהוא אושר על ידי צוות אבטחת המידע של מנהלת המנב"ס.
ו. וירוסים ונוזקות
1) יש להתקין תוכנת אנטי-וירוס על גבי המחשבים. התוכנה תתעדכן פעם ביום באופן אוטומטי, ותסרוק את כל הקבצים הקיימים בכונן המחשב וכן את המידע המועבר אליו דרך האינטרנט או דרך מדיה נתיקים.
2) פעם בחודש תבוצע בדיקה יזומה של המחשב בעזרת תוכנת האנטי-וירוס.
ז. תוכנות השלמה
1) מנהל בית הספר / הממונה על אבטחת המידע בבית הספר יבקשו מהספקים של תוכנות השלמה העושות שימוש במאגר המידע של המנב"ס באופן ישיר או עקיף להעביר אישור מגורם בלתי-תלוי ומוכר בתחום אבטחת המידע על התקינות של אבטחת המידע בתוכנה, בהתאם לנוהל שיפורסם באתר של מינהלת יישומי המנב"ס ובהתאם לתקן PCI.
ללא אישור זה אין להתקין את התוכנה בבית הספר, אין לאפשר לספק התוכנה גישה למאגרי המידע וכן אין להעביר אליו מידע ונתונים על תלמידים ומורים בכל דרך שהיא.
2) לפני מסירת המידע או התקנת תוכנת השלמה או יישום חיצוני אחר העושה שימוש במאגרי המידע של בית הספר תימסר הודעה למשרד החינוך. המידע יימסר אך ורק לאחר קבלת אישור של משרד החינוך לכך.
3) עם סיום ההתקשרות בין בית הספר לספק של תוכנת ההשלמה יש לוודא כי כל הנתונים הוחזרו לבית הספר באופן שאפשר להמשיך ולהשתמש בהם וכן כי הספק מחק לחלוטין את הנתונים במאגרים שלו ואין בחזקתו נתונים של בית הספר בכל מדיה שהם.
4) מובהר כי האחריות על מאגרי המידע אשר הועברו על ידי בית הספר לספקים חיצוניים/ליישומים חיצוניים/לתוכנות השלמה וכדו' – לרבות בכל הנוגע ליישום הוראות חוזר זה בדבר אבטחת המידע המצוי במאגרים אלה – האחריות חלה על מנהל בית הספר.
כמו כן מובהר כי בכל הנוגע להעלאת מידע לאתרי אינטרנט בית-ספריים או אחרים יש לפעול בהתאם להוראות שלעיל ולהוראות הנוספות הנוגעות לכך (בין היתר ההוראות בסעיף 3–3.6 של חוזר הוראות הקבע סג/7(א), "שמירה על פרטיות באתרי האינטרנט הבית ספריים").