Skip to main content

נוהל: הגבלות על שינויים בחבילות תוכנה A14.2.4

מטרה

מטרת הנוהל היא להבטיח כי שינויים בחבילות תוכנה יבוצעו רק כאשר הכרחיים, וכי כל השינויים יבוקרו באופן קפדני, על מנת למזער את הסיכונים לאבטחת המידע ולשמירה על יציבות המערכת.

תחום יישום

הנוהל חל על כל השינויים בחבילות תוכנה, לרבות שינויים בקוד, שינויים בתצורה, עדכונים ותיקונים.

הגדרות

  • חבילת תוכנה: אוסף של תוכנות אשר משולבות יחד כדי לספק פונקציונליות מסוימת עבור הארגון.
  • שינוי: כל שינוי אשר מתבצע בחבילת תוכנה, כולל שינוי בקוד, בתצורה, בממשקים, או בכל מרכיב אחר של החבילה.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות הגבלות על שינויים בחבילות תוכנה.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע מדיניות זו והבטחת התאמתה לצרכי הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות הגבלות על שינויים בחבילות תוכנה.
  • אחראי על ניהול תהליך יישום מדיניות זו, כולל הערכת הסיכונים לכל שינוי מוצע.

מנהלי מערכות:

  • אחראים על יישום מדיניות הגבלות על שינויים בחבילות תוכנה.
  • אחראים על ניהול וביצוע השינויים בהתאם למדיניות, כולל הדרכת עובדים ובדיקת תוצאות השינויים.

תהליך

1. קביעת מדיניות הגבלות על שינויים בחבילות תוכנה

הנהלת הארגון תקבע מדיניות הגבלות על שינויים בחבילות תוכנה, אשר תכלול את הנושאים הבאים:

  • מטרות מדיניות הגבלות: תיאור המטרות, כולל שמירה על יציבות ואבטחת המערכות.
  • תחום יישום המדיניות: הגדרת סוגי חבילות התוכנה והשינויים שעליהם תחול המדיניות.
  • הנחיות לביצוע שינויים: כללים לפרוצדורות שיש לבצע לפני ואחרי כל שינוי, כולל בדיקות נדרשות ואישורים.

2. אימוץ מדיניות הגבלות על שינויים בחבילות תוכנה

מנהלי מערכות יאמצו את מדיניות הגבלות על שינויים בחבילות תוכנה על ידי:

  • פיתוח נהלים פנימיים: יצירת נהלים ומסמכים מפורטים שיתאימו למדיניות הכללית.
  • הכנת מסמכים תומכים: תיעוד מלא של השינויים, כולל בקשות, אישורים, בדיקות ותוצאות.

3. יישום מדיניות הגבלות על שינויים בחבילות תוכנה

מנהלי מערכות יפעלו ליישום מדיניות הגבלות על שינויים בחבילות תוכנה על ידי:

  • הדרכת עובדים: הדרכת צוותי הפיתוח והתפעול בנוגע לתהליך אישור וביצוע שינויים.
  • ביצוע בדיקות: בדיקות קפדניות לאחר כל שינוי, על מנת להבטיח תאימות לדרישות האבטחה ולמניעת בעיות במערכת.

4. מעקב אחר יישום מדיניות הגבלות על שינויים בחבילות תוכנה

הנהלת הארגון תבצע מעקב אחר יישום מדיניות הגבלות על שינויים בחבילות תוכנה, כדי לוודא שהיא מיושמת כראוי, כולל:

  • בקרות שוטפות: בדיקה מתמדת של השינויים שבוצעו וההשפעה שלהם על המערכת.
  • ניתוח דוחות: סקירת דוחות השינויים שבוצעו ואימוץ פעולות מתקנות במידת הצורך.
  • שיפור מתמיד: התאמת המדיניות ותהליכי היישום על בסיס הממצאים והצרכים המשתנים של הארגון.