Skip to main content

A.8.14 יתירות של מתקני עיבוד מידע

מטרה

מטרת הנוהל היא להבטיח זמינות רציפה של מערכות המידע ושירותי העיבוד הקריטיים לארגון באמצעות יצירת יתירות במתקני עיבוד המידע, במטרה למנוע השבתה או הפסקות שירות במקרה של כשל או תקלה במערכות או בתשתיות.

תחום יישום

הנוהל חל על כל מערכות המידע, התשתיות, השרתים והמרכזים לעיבוד נתונים בארגון, כולל מערכות גיבוי, תשתיות חשמל, תקשורת ורשתות.

הגדרות

  • יתירות (Redundancy): שיטת עיצוב מערכות כך שיכללו רכיבים כפולים או חלופיים, המיועדים לפעול במקרה של כשל ברכיב הראשי, על מנת להבטיח זמינות מתמשכת של השירותים.
  • מתקני עיבוד מידע: כל מערכת, שרת, מרכז נתונים או תשתית אחרת המיועדת לעיבוד, אחסון או ניהול מידע בארגון.

אחריות

  • מחלקת IT: אחראית על תכנון, יישום, תחזוקה וניטור של תשתיות יתירות במערכות עיבוד המידע, כולל בדיקות תקופתיות של מערכות גיבוי והתאוששות.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך יצירת היתירות ולהבטיח עמידה במדיניות הארגון ודרישות הרגולציה.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם פועלים בהתאם לנהלי היתירות ומשתמשים בתשתיות באופן מאובטח ומבוקר.

תהליך

1. תכנון יתירות

  • מחלקת IT תבצע תכנון מפורט של מערכות היתירות, כולל זיהוי רכיבים קריטיים שדורשים יתירות, כגון שרתים, מערכות אחסון, תקשורת, ותשתיות חשמל.
  • תכנון היתירות יכלול גם זיהוי של נקודות כשל בודדות (Single Points of Failure) ודרכים למזער את הסיכון להשבתה כתוצאה מכשל במרכיב כלשהו.

2. יישום מערכות יתירות

  • מחלקת IT תיישם את מערכות היתירות המתוכננות, כולל התקנת רכיבים כפולים או חלופיים במערכות הקריטיות ותשתיות עיבוד המידע.
  • יש לוודא שכל רכיבי היתירות פועלים כהלכה ומוכנים לעבודה במקרה של כשל ברכיב הראשי.

3. ניטור ובקרה

  • מחלקת IT תבצע ניטור שוטף של מערכות היתירות, כולל בדיקות תפקוד תקופתיות כדי לוודא שהמערכות פועלות בצורה תקינה ושאין בעיות בתפעול הרכיבים החלופיים.
  • כל כשל במערכת היתירות יטופל במיידית, ויבוצע תחקיר כדי לזהות את הסיבות לכשל ולמנוע תקלות עתידיות.

4. בדיקות התאוששות ושחזור

  • יש לבצע בדיקות תקופתיות של תהליך ההתאוששות והשחזור ממערכות היתירות כדי לוודא שהמערכות יכולות לחזור לפעולה במהירות וביעילות במקרה של כשל.
  • הבדיקות יכללו סימולציות של תרחישי כשל שונים והערכת זמן ההתאוששות המקסימלי (RTO - Recovery Time Objective).

5. תיעוד ודיווח

  • מחלקת IT תתעד את כל תהליכי היתירות, כולל תכנון, יישום, תוצאות בדיקות ותקלות שהתגלו במהלך הבדיקות או הפעילות השוטפת.
  • דו"חות תקופתיים על מצב היתירות ומוכנות המערכות לעבודה בתנאי כשל יועברו להנהלת הארגון לצורך מעקב ובקרה.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנוגע לשימוש נכון בתשתיות היתירות, כולל הנחיות לפעולה במקרה של כשל במערכת הראשית והעברת פעילות למערכת יתירות.
  • ההדרכה תכלול גם תהליכים לפתרון בעיות בזמן אמת ושיטות להתאוששות מהירה ממצבי כשל.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי היתירות בעיבוד המידע, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים ומתקיימים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע ליתירות מתקני עיבוד המידע, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.