טיוטת החוזר, לו יהיו כפופים הגופים המוסדיים עליהם מפקח האגף, מציינת כי ניהול סיכוני אבטחת מידע הינו נדבך מהותי בניהול טכנולוגיית המידע, לאור מרכזיות מערכות המידע בתהליכים העסקיים של הגופים המוסדיים ולאור הגידול בסיכונים להם חשופים גופים אלה, לרבות סיכוני סייבר. מטרת החוזר היא להבטיח את שמירת זכויות העמיתים והמבוטחים על-ידי שמירת סודיות, שלמות וזמינות נכסי המידע, מערכות המידע והתהליכים העסקיים של הגוף המוסדי. החוזר מגדיר את אחריות דירקטוריון והנהלת הגוף המוסדי לניהול תהליכי אבטחת מידע וסיכוני סייבר מתמשכים, להנחיה ופיקוח על יישום אבטחת המידע ולמעורבות רציפה של גורמי אבטחת המידע במכלול פעילויות הגוף המוסדי.
החוזר מגדיר עקרונות לניהול סיכוני אבטחת מידע בגוף מוסדי ואת החובה של גופים אלה לנהל את מכלול סיכוני הסייבר ואבטחת המידע, בהתבסס על עקרונות הגנת המידע. בין הנקודות המרכזיות בטיוטת החוזר ניתן לציין את -
- חובת דירקטוריון הגוף המוסדי לאשר מדיניות בתחום אבטחת המידע, לכל הפחות אחת לשנה, ולמינוי ועדת היגוי בתחום זה;
- חובת הנהלת הגוף המוסדי להבטיח את ניהולו התקין של תחום אבטחת המידע, בהתאם ליעדים, למדיניות ולצורכי הגוף המוסדי, ובכלל זה קביעת נהלים ואישור תכנית עבודה שנתית בתחום אבטחת המידע;
- חובת הגוף המוסדי להגדיר מדיניות אבטחת מידע הקובעת עקרונות מנחים של ההנהלה ליישום ובקרת אבטחת המידע בגוף המוסדי וכן את החובה לקבוע נהלים המגדירים את תהליכי אבטחת המידע בארגון ותוכנית עבודה המתייחסת לאופי המידע, התהליכים, התשתיות ולמערכות הגוף המוסדי, אשר תכלול, לכל הפחות, תכנית לניהול סיכוני אבטחת מידע וסייבר;
- יישום ההוראות הנוגעת לאבטחת מידע וסייבר בעת שימוש בשירותי מיקור חוץ (לרבות שירותי מחשוב ענן) ובכלל זה דרישות אבטחת מידע בהסכמי מיקור חוץ.
- אבטחת המידע ביחס לערוצי הקשר עם לקוחות הגוף המוסדי ועם גורמים חיצוניים.