דלג לתוכן הראשי

נוהל: סקירה טכנית של התכנות לאחר שינויים בפלטפורמת ההפעלה A14.2.3

מטרה

מטרת הנוהל היא להבטיח כי תוכנות שהן קריטיות למנגנון העסקי יועברו סקירות ובדיקות לאחר שינויים בפלטפורמת ההפעלה, על מנת למזער את הסיכונים לאבטחת המידע ותפקוד הארגון.

תחום יישום

הנוהל חל על כל השינויים בפלטפורמת ההפעלה, לרבות שינויים במערכת ההפעלה, שינויים ברכיבי חומרה, ושינויים במרכיבי התוכנה הקריטיים.

הגדרות

  • פלטפורמת הפעלה: מערכת תוכנה אשר מספקת בסיס לתוכנות אחרות.
  • תוכנה קריטית: תוכנה אשר חיונית לתפקוד הארגון והפעילות העסקית שלו.
  • סקירה טכנית: תהליך אשר בוחן את המאפיינים הטכניים של תוכנה, על מנת לזהות בעיות או ליקויים.
  • בדיקה: תהליך אשר מבצע בדיקות שיטתיות על תוכנה, על מנת לזהות בעיות או ליקויים.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות סקירה טכנית של תוכנות לאחר שינויים.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע מדיניות זו והבטחת תאימותה לדרישות הארגון.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות סקירה טכנית של תוכנות.
  • אחראי על ניהול תהליך יישום המדיניות והבטחת עמידה בדרישות האבטחה.

מנהלי מערכות:

  • אחראים על יישום מדיניות סקירה טכנית של תוכנות לאחר שינויים, כולל הדרכת עובדים וביצוע הבדיקות הנדרשות.

תהליך

1. קביעת מדיניות סקירה טכנית של תוכנות

הנהלת הארגון תקבע מדיניות סקירה טכנית של תוכנות שתכלול את הנושאים הבאים:

  • מטרות מדיניות סקירה טכנית: תיאור המטרות והעקרונות של המדיניות, תוך דגש על זיהוי וניהול סיכונים.
  • תחום יישום: הגדרת התוכנות והמערכות שעליהן תחול המדיניות.
  • פרוצדורות לסקירה טכנית: קביעת נהלים לביצוע סקירות טכניות ובדיקות לאחר שינויים בפלטפורמת ההפעלה.

2. אימוץ מדיניות סקירה טכנית של תוכנות

מנהלי מערכות יאמצו את מדיניות סקירה טכנית של תוכנות על ידי:

  • פיתוח נהלים פנימיים: פיתוח ותיעוד נהלים שיתאימו למדיניות, כולל פרטי תהליך הסקירה והבדיקות הנדרשות.
  • הכנת מסמכים תומכים: יצירת מסמכים המגדירים את תהליך הסקירה והבדיקות, כולל טפסי בקשת סקירה, הנחיות לביצוע וכו'.

3. יישום מדיניות סקירה טכנית של תוכנות

מנהלי מערכות יפעלו ליישום מדיניות סקירה טכנית של תוכנות על ידי:

  • הדרכת עובדים: הדרכת צוותי הפיתוח והתפעול בנוגע לתהליך הסקירה והבדיקות והחשיבות של עמידה במדיניות.
  • ביצוע בדיקות: ביצוע בדיקות ואישורים לאחר שינויים בפלטפורמת ההפעלה כדי להבטיח תאימות לאבטחה ולאיכות המערכת.

4. מעקב אחר יישום מדיניות סקירה טכנית של תוכנות

הנהלת הארגון תבצע מעקב אחר יישום מדיניות סקירה טכנית של תוכנות כדי לוודא שהיא מיושמת כראוי, כולל:

  • בקרות שוטפות: ביצוע סקרים ובדיקות תקופתיות של הסקירות והבדיקות שבוצעו.
  • ניתוח דוחות: סקירת דוחות סקירה ופעולות שננקטו בהתאם למדיניות.
  • שיפור מתמיד: התאמת המדיניות ותהליכי היישום על בסיס הממצאים והצרכים המשתנים.