Skip to main content

נוהל: פיתוח במיקור חוץ A14.2.7

מטרה

מטרת הנוהל היא להבטיח כי הפעילות של פיתוח במיקור חוץ תופעל ותופקח על ידי הארגון, על מנת למזער את הסיכונים לאבטחת המידע ולשמור על שלמות וזמינות המערכות המפותחות.

תחום יישום

הנוהל חל על כל פעילויות פיתוח במיקור חוץ של הארגון, לרבות פיתוח תוכנה, פיתוח חומרה, פיתוח מערכות אינטגרציה, וכדומה.

הגדרות

  • פיתוח במיקור חוץ: תהליך של פיתוח מערכות מידע על ידי גורם חיצוני לארגון.
  • אבטחת פיתוח במיקור חוץ: מכלול של אמצעי אבטחה אשר מיועדים להגן על מערכות מידע אשר פותחו במיקור חוץ.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות אבטחת פיתוח במיקור חוץ.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו, כולל התקציב, הכלים וההדרכות הנדרשות.
  • אחראית על מעקב אחר ביצוע מדיניות זו, לרבות קיום ביקורות תקופתיות על יעילות האבטחה.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות אבטחת פיתוח במיקור חוץ, כולל פיקוח על עמידה בדרישות וביצוע ביקורות אבטחה תקופתיות.
  • אחראי על ניהול תהליך יישום מדיניות זו, כולל פיתוח נהלים ושיטות עבודה מותאמות.

מנהלי מערכות:

  • אחראים על יישום מדיניות אבטחת פיתוח במיקור חוץ בכל סביבות הפיתוח שבאחריותם, תוך שילוב אמצעי אבטחה מתקדמים וניהול סיכונים.

תהליך

1. קביעת מדיניות אבטחת פיתוח במיקור חוץ

הנהלת הארגון תקבע מדיניות אבטחת פיתוח במיקור חוץ, אשר תכלול את הנושאים הבאים:

  • מטרות מדיניות אבטחת פיתוח במיקור חוץ: הבטחת שמירת סודיות, שלמות וזמינות המידע והתוכנה המפותחים במיקור חוץ.
  • תחום יישום מדיניות אבטחת פיתוח במיקור חוץ: הגדרת תחומי הפיתוח והמיקור עליהם תחול המדיניות.
  • דרישות אבטחת פיתוח במיקור חוץ: תיאור הכללים והנחיות להגנה על סביבות הפיתוח והמידע המפותח במיקור חוץ.

2. אימוץ מדיניות אבטחת פיתוח במיקור חוץ

מנהלי מערכות יאמצו את מדיניות אבטחת פיתוח במיקור חוץ, על ידי:

  • פיתוח נהלים פנימיים: יצירת נהלים מפורטים ומסמכים טכניים שיתאימו למדיניות הכללית ויהוו כלי עבודה יומיומי לעובדים ולספקים חיצוניים.
  • התאמת מסמכים קיימים: עדכון נהלים קיימים בהתאם לעקרונות המדיניות החדשה.

3. יישום מדיניות אבטחת פיתוח במיקור חוץ

מנהלי מערכות יפעלו ליישום מדיניות אבטחת פיתוח במיקור חוץ, על ידי:

  • הדרכת עובדים וספקים: הדרכת צוותי הפיתוח והספקים החיצוניים בנוגע לכללים ולעקרונות האבטחה הנדרשים.
  • ביצוע בדיקות אבטחה: בדיקות קפדניות במהלך ואחרי תהליכי הפיתוח, כולל סקירות קוד, בדיקות חדירה וסקרי סיכונים.
  • הגנה פיזית וטכנולוגית: הטמעת אמצעי הגנה כגון הצפנה, גיבוי נתונים, בקרת גישה וניטור מערכות.

4. מעקב אחר יישום מדיניות אבטחת פיתוח במיקור חוץ

הנהלת הארגון תבצע מעקב אחר יישום מדיניות אבטחת פיתוח במיקור חוץ, על מנת לוודא שהיא מיושמת כראוי:

  • ביצוע ביקורות תקופתיות: סקרי סיכונים ובדיקות תקופתיות לבחינת יישום המדיניות על ידי הספקים.
  • ניתוח ממצאים: סקירת ממצאים מהביקורות והטמעת שיפורים ותיקונים בהתאם.