נוהל: הגבלות על שינויים בחבילות תוכנה A14.2.4
מטרה
מטרת הנוהל היא להבטיח כי שינויים בחבילות תוכנה יבוצעו רק כאשר הכרחיים, וכי כל השינויים יבוקרו באופן קפדני, על מנת למזער את הסיכונים לאבטחת המידע ולשמירה על יציבות המערכת.
תחום יישום
הנוהל חל על כל השינויים בחבילות תוכנה, לרבות שינויים בקוד, שינויים בתצורה, עדכונים ותיקונים.
הגדרות
- חבילת תוכנה: אוסף של תוכנות אשר משולבות יחד כדי לספק פונקציונליות מסוימת עבור הארגון.
- שינוי: כל שינוי אשר מתבצע בחבילת תוכנה, כולל שינוי בקוד, בתצורה, בממשקים, או בכל מרכיב אחר של החבילה.
אחריות
הנהלה:
- אחראית על קביעת מדיניות הגבלות על שינויים בחבילות תוכנה.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו והבטחת התאמתה לצרכי הארגון.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות הגבלות על שינויים בחבילות תוכנה.
- אחראי על ניהול תהליך יישום מדיניות זו, כולל הערכת הסיכונים לכל שינוי מוצע.
מנהלי מערכו ת:
- אחראים על יישום מדיניות הגבלות על שינויים בחבילות תוכנה.
- אחראים על ניהול וביצוע השינויים בהתאם למדיניות, כולל הדרכת עובדים ובדיקת תוצאות השינויים.
תהליך
1. קביעת מדיניות הגבלות על שינויים בחבילות תוכנה
הנהלת הארגון תקבע מדיניות הגבלות על שינויים בחבילות תוכנה, אשר תכלול את הנושאים הבאים:
- מטרות מדיניות הגבלות: תיאור המטרות, כולל שמירה על יציבות ואבטחת המערכות.
- תחום יישום המדיניות: הגדרת סוגי חבילות התוכנה והשינויים שעליהם תחול המדיניות.
- הנחיות לביצוע שינויים: כללים לפרוצדורות שיש לבצע לפני ואחרי כל שינוי, כולל בדיקות נדרשות ואישורים.