נוהל: ניהול שינויים A12.1.2
מטרה
מטרת הנוהל היא להבטיח כי שינויים בארגון, הליכים עסקיים, מתקני עיבוד מידע ומערכות שמשפיעים על אבטחת המידע יתבצעו בצורה מבוקרת, על מנת למזער את הסיכונים לאבטחת המידע.
תחום יישום
הנוהל חל על כל השינויים בארגון, הליכים עסקיים, מתקני עיבוד מידע ומערכות שיכולים להשפיע על אבטחת המידע.
הגדרות
- שינוי: כל שינוי בארגון, הליכים עסקיים, מתקני עיבוד מידע או מערכות שיכול להשפיע על אבטחת המידע.
- אבטחת מידע: פעולות שננקטות כדי להגן על נכסי מידע מפני גניבת מידע או פגיעה.
אחריות
הנהלה:
- אחראית על קביעת מדיניות לניהול שינויים.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות לניהול שינויים.
- אחראי על ניהול תהליך יישום מדיניות זו.
מנהלי מחלקות:
- אחראים על יישום מדיניות לניהול שינויים במחלקות שלהם בהתאם להנחיות הממונה על אבטחת המידע.
תהליך
1. קביעת מדיניות לניהול שינויים
הנהלת הארגון תקבע מדיניות לניהול שינויים, אשר תכלול את הנושאים הבאים:
- סוגי שינויים שעליהם תחול מדיניות זו.
- דרישות למידתיות של הליכי ניהול שינויים.
- דרישות לתהליך ניהול שינויים.
2. יישום מדיניות לניהול שינויים
מדיניות לניהול שינויים תייושם בארגון בהתאם להנחיות הממונה על אבטחת המידע.
3. מעקב אחר ביצוע מדיניות לניהול שינויים
הנהלת הארגון תבצע מעקב אחר ביצוע מדיניות לניהול שינויים, על מנת לוודא כי היא מיושמת כראוי.
הנחיות נוספות
- החברה תבצע ביקורות תקופתיות על יישום הנוהל לניהול שינויים.
- החברה תתאים את מדיניות זו בהתאם לגודל הארגון, לרגישות נכסי המידע המוגנים ולמדיניות האבטחת המידע של הארגון.
תהליך ניהול שינויים
התהליך לניהול שינויים יכלול את השלבים הבאים:
1. הגדרת שינוי
- הגדרת מטרות השינוי, היקפו, הגורמים השותפים לביצועו והשפעתו על אבטחת המידע.
2. הערכת סיכונים
- הערכת הסיכונים הנובעים מהשינוי, כולל הסיכונים לאבטחת המידע.
3. פיתוח תוכנית ניהול שינויים
- פיתוח תוכנית לביצוע השינוי, כולל הפעולות הנדרשות לצמצום הסיכונים לאבטחת המידע.
4. ביצוע שינוי
- ביצוע השינוי בהתאם לתוכנית ניהול השינויים.
5. בדיקת שינוי
- בדיקת השינוי לוודא כי הוא בוצע כראוי ואינו פוגע באבטחת המידע.
6. סיום שינוי
- סיום השינוי והעברתו לשלב התפעול השוטף.