1
סעיפי הנוהל
2
מילוי פרטים וחתימה
  1. כללי
    מערכות המחשוב של חברת עיירית לוד (להלן "הארגון"), על כל מרכיביה הינה נדבך חשוב ומרכזי בהתנהלות העירייה. במערכות המחשוב נשמר מידע רב, עסקי, אישי ואחר.
    המידע נגיש לעובדי הארגון ולמי שקיבל הרשאת גישה למערכות מטעמה במסגרת פעילותם המקצועית.
    כללי השימוש ואבטחת המידע המפורטים בנוהל הינם הבסיס להתנהלות ארגונית נכונה ומטרתם לסייע לעובדים בעבודתם ולמנוע חשיפת מידע או שימוש בלתי מורשה במידע, תוך עמידה בדרישות חוק שונות בזמן שימוש במערכות מסוג "בינה מלאכותית" מסוג AI – Artificial Intelligence.
    עובדי הארגון נדרשים להקפיד על ההוראות שנקבעו.
הנוהל כולל:
  • כללי שמירת סודיות בזמן שימוש במערכות "בינה מלאכותית" AI.
  • השימוש בתוכנות מסוג "בינה מלאכותית" AI.
  • שימוש באינטרנט עם מערכות מסוג "בינה מלאכותית" AI.
  • שימוש בדואר אלקטרוני עם מערכות מסוג "בינה מלאכותית" AI.
  • שמירת מידע ונתונים תוך שימוש במערכות מסוג "בינה מלאכותית" AI.
  1. המטרה
    מטרת הנחיה זו היא לתת לעובדים קווים מנחים לשימוש בטוח בכלי AI בארגון. זאת על מנת לאפשר שימוש בטוח שיאפשרו לצמצם ככל הניתן את הסיכונים.
  2. אחראיות וסמכות
    מנכ"ל הארגון – אחריות כוללת לנושא המחשוב. טיפול בנושאים מערכתיים ומסירת מידע לגורמים חיצוניים אם נדרש.
    גיזבר: סמכות בלעדית לאישור תקציבים.
    מנהלת משאבי אנוש – אחראית להחתים כל עובד בעירייה כולל עובדים חדשים שנקלטים על הצהרת סודיות.
    מנהל מערכות מידע – אחריות כוללת לכל נושאי המחשוב והמידע, כולל תפעול ובקרה, תכנון מערכתי, ציוד ותוכנות וכן לקיים הדרכות נקודתיות ותקופתיות לכלל העובדים ומשתמשי מערכות המידע בעירייה. בנוסף יהיה אחראי להחתמת כל משתמש במערכות מידע על נוהל זה ולוודא שכל משתמש הוחתם על הצהרת סודיות.
    משתמש במערכות מידע – אחראי למלא בקפידה אחר ההנחיות בנוהל זה.
 
  1. הגדרות
    עובד    כל עובד בעירייה
    משתמש במערכות מידע –  עובדי העירייה, עובדי צד ג', וכל מי שקיבל הרשאה מטעם העירייה וגישה למערכות המחשוב והמידע כגון יועצים וכו'
    מידע - נתונים בעלי ערך או הקשר פרטי או עסקי שחשיפתם יכולה לגרום נזק לעירייה או פגיעה בפרטיות.
    אגף המחשוב – אגף  המחשוב, המערכות והמידע בעירייה.
    יישום – תוכנה או מידע ממוחשב.
    עמדת העבודה – משרד/open space במשרדי העירייה.
    מרחב עבודה מחוץ למשרד – פעילות עסקית (עבודה) של העובד בהרשאת מנהליו מחוץ למשרד או מביתו.
    עבודה מחוץ לחצרי הארגון – פעילות עסקית (עבודה) של משתמש מערכות מידע מחוץ לחצרי הארגון כדרך קבע כחלק. מהשרות העסקי לעירייה.
    משרדי העירייה – כל המתקנים המשמשים את פעילות העירייה.
 
  1. המלצות לביצוע
    5.1 מערכות צ'אט מבוססות בינה מלאכותית
    מערכות צ'אט מבוססות בינה מלאכותית פועלות במודל LLM (Large Language Model), העושה שימוש בטכניקות Deep Learning המאומן על מערך נתונים גדול כדי ללמוד דפוסים ומבנה השפה, לעבד וליצור טקסט בשפה טבעית. הכלים הנפוצים כוללים את CHATGPT, Notebook lm, gemini, Napkin,manus ועוד . לצד היתרונות הרבים והשימושים האפשריים בכלים אלו, כגון כתיבת קוד, חיבור מסמכים, הפקת מחקרים ראשוניים ועוד, השימוש בהם מציב את הארגון בפני חשיפות, סיכונים ואיומים שיש לזהות, לנהל ולהתמודד מולם. מכיוון שמדובר בטכנולוגיה חדשה יחסית, רשימת הסיכונים המלאה עדיין לא ידועה, ועל כן טרם גובש תקן לשימוש מאובטח בהם.
 
  1. הנחות יסוד
    שירות ענן: מערכות הצ'אט המבוססות בינה מלאכותית הן שירות ענן, ולכן חלות עליהן כל ההנחיות לשימוש בשירותי ענן.
    סוגי מנויים: הכלים מוצעים במספר סוגי מנוי: מנוי פרטי חינמי, מנוי ארגוני בתשלום, לאוכלוסיית הרפרנטים של הדיגיטציה. קיימים הבדלים בין סוגי המנויים ברמת המחויבות לשמירה על חשאיות המידע, מידת השימוש במידע, איכות ורמת התוצרים.
    תיעוד ושמירה: השירות מתעד כל שיחה, ולכן יש להניח כי המידע עלול להגיע לגורמי צד שלישי. שימוש לא נכון בכלי עלול לגרום לדלף מידע, להוות תשתית להחדרת כלי תקיפה ולשמש האקרים ליצירת נוזקות. לכן, יש לנקוט משנה זהירות בכל שימוש
 
  1. קווים מנחים כללים
    7.1 בחירת כלים: 
    בחירת כלים המותרים לשימוש בארגון תבוצע לאחר מחקר, בדיקה ואימות.
    7.2 הגדרת יעדים ומטרות:
    יוגדרו יעדים ומטרות ברורים לשימוש בכלים על ידי הארגון – משתמשים ושימושים מותרים.
    7.3 נוהל עבודה:
    יוגדר נוהל עבודה שיופץ  ויוחתם על ידי הרפרנטים המשתמשים במנוי הארגוני, שיופץ בארגון ויבהיר למשתמשים באילו כלים מותר להשתמש, אופן השימוש, הגבלות ומגבלות השימוש.
    7.4 הגברת מודעות:
    יש להגביר מודעות לכללי השימוש בשירות, ולחדד בקרב העובדים את חובת הדיווח לגורמים הרלוונטיים בכל מקרה חשוד בעת שימוש בשירות.
    7.5 ניטור והערכת סיכונים:
    יש לבצע ניטור והערכת סיכונים באופן רציף וקבוע ומעקב אחר האיומים המתפתחים הקשורים לשימוש במוצר.
 
  1. בחירת הכלים בשימוש המשרד
    8.1 בדיקת סוגי המנויים:
    בבחירת הכלים, בשיתוף עם גורמי ה-IT תבוצע בדיקה של סוגי המנויים הקיימים לכלי ותיבדק רמת האבטחה לה מחויב היצרן בכל סוג מנוי.
    8.2 העדפת גרסת אבטחה גבוהה:
    ככלל, יש להעדיף את גרסת הכלי המספקת את רמת האבטחה הגבוהה ביותר. ניתן לעשות שימוש לצורך התנסות במנויים הפרטיים, מותנה בהנחיות לשימוש.
     8.3בדיקת הכלי:
    בבדיקת הכלי יש לתת את הדעת לנושאים כמו רישום כל שימוש ואחסון הרישום בארכיון, רישום ויכולת חיפוש של פעולות שננקטו על ידי הכלי, שילוב בארכיטקטורת המשרד לפי שיקולים ארכיטקטוניים בהתאם ליכולות המובנות בכלי.
 
 
  1. שימוש בכלים
    9.1 זהירות בתוצרים:
    לעובדים יובהר כי הכלי הוא כלי עזר בלבד וכי עליהם להתייחס לתוצרים המתקבלים בזהירות המתבקשת. העובדים יונחו לגבי אופן השימוש בכלים, בדגש על המידע שידווח בכלי, קישור למערכות הארגון או שימוש בתוצרים, על מנת לוודא כי השימוש לא יחשוף את המשרד בפני הפרת זכויות יוצרים או חשיפת קניין רוחני
    9.2 הגנת הפרטיות:
    ככלל, כאשר עושים שימוש בכלי AI אין להזין מידע אישי או רגיש (כהגדרתו בתיקון 13 לחוק הגנת הפרטיות) אשר עלול לסכן או לפגוע בפרטיותו של אדם. בקרה מפצה: קבלת הסכמה לשימוש במידע תוך שמירה על אנונימיזציה, משמע, הזנת פרט אישי אשר לא ניתן להצליבו ולא ניתן להקיש ממנו פרטים נוספים לעניין אדם כזה או אחר (למשל: תאריך לידה בלבד, כתובת בלבד וכו')
    9.3 הזנת מידע/אישי - רגיש:
    תיעשה רק לאחר אישור פוזיטיבי מפורש של נושא המידע לאחר שהובהרו לו תנאי השימוש בהתאם לגרסת המערכת
 
  1. ניהול השירות על ידי צוות המחשוב IT
    10.1 תשתית ונתונים מאובטחים:
    יש להטמיע אמצעי הגנה, כגון תצורות דפדפן מאובטחות, בקרות גישה, הצפנה, רישום וניטור, כדי להגן על התשתית, הנתונים והאינטראקציות של הארגון עם השירות.
    10.2 הגבלת יכולת API:  
    בשימוש בשירות מרשת המשרד וממחשבי המשרד, יש לוודא כי יכולת ה-API אינה מתאפשרת מתחנות הקצה, כולל הרצת קוד וסקריפטים.
    10.3 מענה כנגד התקפות:
    יש לוודא כי התשתיות אשר מתממשקות עם השירות מסוגלות לתת מענה מיטבי כנגד התקפות WEB ו-API מתקדמות.
    10.4 הרשאות מינימליות:
    יש לאפשר את הגישה, הנתונים וההרשאות המינימליים הדרושים ליישום.
    10.5 בדיקת קוד:
    יש לבדוק כל קוד המתקבל מהשירות כנגד חולשות אבטחה כחלק מתהליך CD/CI.
    10.6 הקשחות שירות:
    בהגדרות השירות יש לבחון הקשחות, לרבות עצירת שמירה אוטומטית של chat ומחיקת chat-ים קיימים עד ל-30 יום מהקמתם בהתאם למדיניות המשרד.
 
  1. שימוש בכלים מתקדמים
    11.1 ChatGPT
  •  OpenAI הודיעו על השקת גרסת ChatGPT Enterprise המיועדת לעסקים. העירייה מצהירה כי הנתונים העסקיים שלכם הם בבעלותכם ואתם שולטים בהם ב- ChatGPT Enterprise. הנתונים העסקיים או השיחות שלכם לא ישמשו לאימון המודלים של העירייה.
  • בהתאם לשימושים הנדרשים, מוצע לשקול את השימוש בגרסת ChatGPT Enterprise  אשר אמורה לכלול בין היתר יכולת להתחבר למנגנוני ההזדהות של המשרד, יכולת ניהול עצמית ועוד.
  • בהשוואה בין הגרסה החינמית לגרסת השימוש בשירות בתשלום (ChatGPT Plus/ChatGPT Enterprise)  יש עדיפות לגרסאות בתשלום, שכן הן מספקות יכולות רחבות ויעילות יותר, מסתמכות על מקורות מהימנים יותר ומקבלות עדיפות לגישה לעדכונים חדשים, בנוסף לביצועים מהירים יותר.
Browser not supported