דלג לתוכן הראשי

נוהל: הליכי בקרת שינויים A14.2.2

מטרה

מטרת הנוהל היא להבטיח כי שינויים במערכות במהלך מחזור הפיתוח יבוקרו על ידי תהליך בקרת שינוי רשמי, על מנת למזער את הסיכונים לאבטחת המידע.

תחום יישום

הנוהל חל על כל השינויים במערכות במהלך מחזור הפיתוח, לרבות שינויים בתוכנה, שינויים בתשתיות, ושינויים בתהליכים או במרכיבי המערכת.

הגדרות

  • בקרת שינויים: תהליך אשר מפקח על שינויים במערכות, על מנת לוודא כי השינויים מבוצעים בצורה בטוחה ואחראית.
  • מחזור הפיתוח: התהליך של פיתוח מערכת, החל מהגדרת הדרישות ועד להטמעת המערכת והפעלה תפעולית.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות בקרת שינויים.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע המדיניות והבטחת תאימותה לדרישות הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות בקרת שינויים.
  • אחראי על ניהול תהליך יישום המדיניות, כולל הבטחת תאימות לשינויים ברמת האבטחה הנדרשת.

מנהלי מערכות:

  • אחראים על יישום מדיניות בקרת שינויים, כולל הדרכת עובדים ופיקוח על תהליכי השינוי.

תהליך

1. קביעת מדיניות בקרת שינויים

הנהלת הארגון תקבע מדיניות בקרת שינויים שתכלול את הנושאים הבאים:

  • מטרות מדיניות בקרת שינויים: תיאור המטרות והעקרונות של המדיניות, תוך התמקדות בהגנה על נכסי המידע.
  • תחום יישום מדיניות בקרת שינויים: הגדרת תהליכים, מערכות ורכיבים עליהם תחול המדיניות.
  • תהליך בקרת שינויים: קביעת נהלים לאישור, תיעוד, וביצוע השינויים בצורה בטוחה ומבוקרת.

2. אימוץ מדיניות בקרת שינויים

מנהלי מערכות יאמצו את מדיניות בקרת שינויים על ידי:

  • פיתוח נהלים פנימיים: פיתוח ותיעוד נהלים שיתאימו למדיניות, כולל פרטי תהליך הבקרה והשמירה על תאימות לאבטחה.
  • הכנת מסמכים תומכים: יצירת מסמכים המגדירים את תהליך השינוי, כולל טפסי בקשת שינוי, הנחיות לביצוע וכו'.

3. יישום מדיניות בקרת שינויים

מנהלי מערכות יפעלו ליישום מדיניות בקרת שינויים על ידי:

  • הדרכת עובדים: הדרכת צוותי הפיתוח והתפעול בנוגע לתהליך בקרת השינויים והחשיבות של עמידה במדיניות.
  • ביצוע בדיקות: ביצוע בדיקות ואישורים לפני ואחרי השינויים כדי להבטיח תאימות לאבטחה ולאיכות המערכת.

4. מעקב אחר יישום מדיניות בקרת שינויים

הנהלת הארגון תבצע מעקב אחר יישום מדיניות בקרת שינויים כדי לוודא שהיא מיושמת כראוי, כולל:

  • בקרות שוטפות: ביצוע סקרים ובדיקות תקופתיות של השינויים שבוצעו.
  • ניתוח דוחות: סקירת דוחות שינויים ופעולות שננקטו בהתאם למדיניות.
  • שיפור מתמיד: התאמת המדיניות ותהליכי היישום על בסיס הממצאים והצרכים המשתנים.