A.8.8 ניהול פגיעויות טכניות
מטרה
מטרת הנוהל היא להבטיח זיהוי, ניתוח, וניהול של פגיעויות טכניות במערכות המידע והטכנולוגיות של הארגון, כדי להפחית את הסיכון לניצול פגיעויות על ידי גורמים לא מורשים ולהגן על נכסי המידע של הארגון.
תחום יישום
הנוהל חל על כל מערכות המידע, התשתיות, היישומים, הרשתות והציוד בארגון, כולל תוכנות, מערכות הפעלה, חומרה והתקני רשת.
הגדרות
- פגיעות טכנית: חולשה או ליקוי במערכת מידע, תשתית, תוכנה או חומרה, שעלולים להוות סיכון לארגון אם ינוצלו על ידי גורמים לא מורשים.
- ניהול פגיעויות: תהליך של זיהוי, הערכה, תיקון ומעקב אחר פגיעויות טכניות במערכות הארגון, במטרה לצמצם את הסיכ ון לניצולן.
אחריות
- מחלקת IT: אחראית על זיהוי פגיעויות טכניות, הערכת הסיכון הנובע מהן, תיקון הליקויים וביצוע מעקב אחר פעולות התיקון.
- ממונה על אבטחת המידע: אחראי על פיקוח ובקרה על תהליך ניהול הפגיעויות, כולל ביצוע בדיקות תקופתיות וניהול הדיווח להנהלה.
- מנהלים ישירים: אחראים לוודא שהצוותים שלהם פועלים בהתאם להנחיות ניהול הפגיעויות ודיווח על כל חשד לפגיעות במערכות שברשותם.
תהליך
1. זיהוי פגיעויות
- מחלקת IT תבצע סריקות פגיעויות תקופתיות על כל מערכות המידע, התשתיות והיישומים בארגון, תוך שימוש בכלי סריקה ייעודיים ועדכניים.
- זיהוי הפגיעויות ייעשה גם באמצעות ניתוח דיווחים מיצרני התוכנה, ספקי שירותי אבטחה, ודיווחים פנימיים של העובדים.