Skip to main content

A.8.19 התקנת תוכנה על מערכות תפעוליות

מטרה

מטרת הנוהל היא להבטיח שהתקנת תוכנה על מערכות תפעוליות תתבצע בצורה מבוקרת ומאובטחת, תוך שמירה על זמינות, שלמות וביצועי המערכות, ומניעת סיכונים כגון כשלי מערכת, פגיעות אבטחה או הפסקת שירותים קריטיים.

תחום יישום

הנוהל חל על כל מערכות המידע והתשתיות התפעוליות בארגון, כולל שרתים, תחנות עבודה, מערכות רשת, תשתיות ענן ומערכות קריטיות אחרות.

הגדרות

  • מערכות תפעוליות: מערכות מחשוב המשמשות להפעלת שירותים קריטיים בארגון, כולל מערכות ייצור, שרתים, רשתות ותחנות עבודה המשמשות לעיבוד נתונים ותמיכה בפעילות העסקית.
  • התקנת תוכנה: תהליך שבו מתבצעת התקנה, שדרוג או עדכון של תוכנה או יישום על מערכת תפעולית, כולל מערכות הפעלה, יישומים, דרייברים וכלים אחרים.

אחריות

  • מחלקת IT: אחראית על ביצוע תהליכי התקנת התוכנה במערכות התפעוליות, כולל בדיקות מקדימות, אישור התקנה, תיעוד ותהליך תחזוקה שוטף.
  • ממונה על אבטחת המידע: אחראי לוודא שתהליך ההתקנה עומד בדרישות האבטחה של הארגון, ולנהל את הסיכונים הכרוכים בהתקנת תוכנה חדשה על מערכות תפעוליות.
  • מנהלים ישירים: אחראים לוודא שהצוותים שלהם פועלים בהתאם למדיניות התקנת התוכנה ואינם מבצעים התקנות שאינן מורשות.

תהליך

1. תכנון ובדיקות מקדימות

  • לפני התקנת תוכנה על מערכת תפעולית, מחלקת IT תבצע בדיקות מקדימות כדי להעריך את התאימות של התוכנה עם המערכת, ולזהות סיכונים פוטנציאליים שעלולים להתרחש במהלך או לאחר ההתקנה.
  • יש לבצע בדיקות בסביבת פיתוח או בסביבה מבודדת לפני ביצוע ההתקנה בסביבת הייצור, כדי לוודא שאין בעיות תאימות או פגיעות אבטחה.

2. אישור התקנה

  • כל התקנת תוכנה במערכת תפעולית חייבת לקבל אישור ממנהלי המערכת ומממונה על אבטחת המידע, בהתאם למדיניות הארגון.
  • יש לוודא שהתקנת התוכנה תואמת את הצרכים העסקיים של הארגון ואינה פוגעת בזמינות או ביציבות המערכות.

3. ביצוע התקנה

  • מחלקת IT תבצע את ההתקנה על פי נהלי הארגון, תוך שימוש בכלים ותהליכים מאובטחים.
  • יש לוודא שהתקנת התוכנה נעשית בצורה שלא פוגעת בשירותים קריטיים או במערכות אחרות, וכי היא מבוצעת בזמן המינימלי האפשרי לשם הפחתת השפעות על הפעילות השוטפת.

4. בדיקות לאחר התקנה

  • לאחר התקנת התוכנה, יש לבצע בדיקות מקיפות לוודא שהתוכנה פועלת כהלכה ואינה גורמת לבעיות בתפקוד המערכות.
  • יש לבדוק את שלמות המערכת, את הביצועים ואת רמת האבטחה לאחר ההתקנה, ולוודא שאין פגיעות חדשות שנוצרו בעקבות ההתקנה.

5. תיעוד ודיווח

  • מחלקת IT תתעד את כל שלבי תהליך ההתקנה, כולל תוצאות הבדיקות המקדימות, אישור ההתקנה, תהליך ההתקנה עצמו ותוצאות הבדיקות לאחר ההתקנה.
  • דו"חות על התקנת התוכנה יועברו למנהלי המערכת ולממונה על אבטחת המידע לצורך מעקב ובקרה.

6. ניטור ותחזוקה

  • מחלקת IT תבצע ניטור שוטף של התוכנה החדשה שהותקנה, כדי לוודא שהיא פועלת בצורה תקינה ואינה גורמת לבעיות במערכת.
  • יש לבצע תחזוקה שוטפת, כולל עדכוני תוכנה ותיקונים בהתאם לצורך, כדי להבטיח את יציבות וביצועי המערכת לאורך זמן.

7. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים המשתמשים בתוכנה החדשה, כולל הנחיות לשימוש נכון בתוכנה, זיהוי תקלות אפשריות והנחיות לפעולה במקרה של בעיות בתוכנה.
  • ההדרכה תכלול גם את מדיניות הארגון לגבי התקנת תוכנה על מערכות תפעוליות והדרישות לשמירה על אבטחת המידע בזמן ההתקנה.

8. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי התקנת התוכנה על מערכות תפעוליות, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע להתקנת תוכנה על מערכות תפעוליות, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.