A.5.22 ניטור, סקירה וניהול שינויים בשירות ספקים
מטרה
מטרת הנוהל היא להבטיח כי הארגון מבצע ניטור שוטף, סקירה וניהול שינויים בשירותים המסופקים על ידי ספקים, על מנת לוודא שהשירותים עומדים בדרישות האבטחה שנקבעו ואינם משפיעים לרעה על אבטחת המידע של הארגון.
תחום יישום
הנוהל חל על כל השירותים המסופקים לארגון על ידי ספקים חיצוניים, כולל שירותי תוכנה, חומרה, שירותי ענן, ושירותי תקשורת.
הגדרות
- ניטור שירותי ספקים: תהליך של מעקב שוטף אחר ביצועי השירותים המסופקים על ידי ספקים חיצוניים.
- סקירת שירותי ספקים: תהליך של הערכה תקופתית של התאמת השירותים לדרישות הארגון, כולל דרישות אבטחת מידע.
- ניהול שינויים בשירות ספקים: תהליך של ניהול ואישור שינויים בשירותים המסופקים, על מנת לוודא שהם אינם משפיעים לרעה על אבטחת המידע של הארגון.
אחריות
- ממונה אבטחת מידע: אחראי על פיתוח, ניהול ויישום הנוהל, כולל ניהול סיכונים ושינויים בשירותי ספקים.
- מנהלי מערכות: אחראים על הניטור והסקירה של השירותים המסופקים על ידי ספקים, ועל יישום שינויים בשירותים בהתאם להנחיות אבטחת המידע.
תהליך
1. ניטור שוטף של שירותי ספקים
- הארגון יבצע ניטור שוטף של השירותים המסופקים על ידי ספקים, כדי לוודא שהם עומדים בדרישות האבטחה שנקבעו.
- ניטור זה יכלול מעקב אחר ביצועים, זמינות השירותים, ואירועי אבטחת מידע הקשורים לשירותים.
2. סקירת שירותי ספקים
- הארגון יבצע סקירה תקופתית של השירותים המסופקים, כדי לוודא שהשירותים עדיין מתאימים לצרכים העסקיים ולדרישות האבטחה של הארגון.
- הסקירה תכלול בדיקה של עמידת הספקים בהסכמים ובדרישות האבטחה, והערכת השפעת השירותים על הארגון.