נוהל: בקרת גישה לקוד מקור של תוכנות A9.4.5
מטרה
מטרת הנוהל היא להבטיח כי הגישה לקוד מקור של תוכנות בארגון תוגבל, על מנת להגן על נכסי המידע של הארגון מפני גישה בלתי מורשית או שינוי בלתי מורשה.
תחום יישום
הנוהל חל על כל הקוד מקור של תוכנות בארגון, לרבות קוד מקור של תוכנות פנימיות, תוכנות צד שלישי ותוכנות פתוחות.
הגדרות
- קוד מקור: קוד המחשב המכיל את ההוראות לביצוע תוכנה.
- גישה לקוד מקור: יכולת לקרוא, לכתוב או לשנות קוד מקור.
אחריות
הנהלה:
- אחראית על קביעת מדיניות בקרת גישה לקוד מקור של תוכנות בארגון.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות בקרת גישה לקוד מקור של תוכנות בארגון.
- אחראית על מעקב אחר ביצוע מדיניות בקרת גישה לקוד מקור של תוכנות בארגון.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות בקרת גישה לקוד מקור של תוכנות בארגון.
- אחראי על ניהול תהליך בקרת גישה לקוד מקור של תוכנות בארגון.
מנהלי מחלקות:
- אחראים על יישום מדיניות בקרת גישה לקוד מקור של תוכנות במחלקות שלהם בהתאם להנחיות הממונה על אבטחת המידע.
עובדים:
- אחראים על עמידה במדיניות בקרת גישה לקוד מקור של תוכנות.
תהליך
1. קביעת מדיניות בקרת גישה לקוד מקור של תוכנות
הנהלת הארגון תקבע מדיניות בקרת גישה לקוד מקור של תוכנות, אשר תכלול את הנושאים הבאים:
- סוגי העובדים המורשים לגישה לקוד מקור.
- סוגים של קוד מקור המוגנים.
- אופן הגבלת הגישה לקוד מקור.
2. יישום מדיניות בקרת גישה לקוד מקור של תוכנות
מדיניות בקרת גישה לקוד מקור של תוכנות תיושם בארגו�ן בהתאם להנחיות הממונה על אבטחת המידע.
3. ניהול מדיניות בקרת גישה לקוד מקור של תוכנות
מדיניות בקרת גישה לקוד מקור של תוכנות תשמר בהתאם להנחיות הממונה על אבטחת המידע.
הנחיות נוספות
- ביקורת תקופתית: החברה תבצע ביקורות תקופתיות על תהליך בקרת גישה לקוד מקור של תוכנות, כדי לוודא שהגישה לקוד המקור מוגבלת ומבוקרת בהתאם למדיניות הארגון.
- תיעוד: החברה תשמור על תיעוד של כל הפעילויות הקשורות לבקרת גישה לקוד מקור של תוכנות, כולל תהליכי אישור, שימוש ובקרה.