נוהל: ניטור וביקורת של שירותי הספקה A15.2.1
מטרה
מטרת הנוהל היא להבטיח כי הארגון ינטר, יבקר ויוודא את אספקת השירות על ידי ספק המשנה באופן שוטף, על מנת לוודא כי הספק עומד בדרישות האבטחה של הארגון.
תחום יישום
הנוהל חל על כל שירותי הספקה של הארגון, לרבות שירותי תוכנה, שירותי חומרה, שירותי ענן, וכו'.
הגדרות
- ספק משנה: גורם חיצוני המספק שירותים לארגון, כאשר הספק המשנה אינו עובד ישירות עבור הארגון.
- ניטור: תהליך של מעקב אחר פעילות או תהליך.
- ביקורת: תהליך של בדיקה מדוקדקת של פעילות או תהליך.
אחריות
הנהלה:
- אחראית על קביעת מדיניות ניטור וביקורת של שירותי הספקה.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות ניטור וביקורת של שירותי הספקה.
- אחראי על ניהול תהליך יישום מדיניות זו וביצוע ביקורות תקופתיות.
מנהלי מערכות:
- אחראים על יישום מדיניות ניטור וביקורת של שירותי הספקה.
- אחראים על ביצוע תהליכי הניטור והביקורת ועל דיווח תוצאות להנהלה.
תהליך
1. קביעת מדיניות ניטור וביקורת
הנהלת הארגון תקבע מדיניות ניטור וביקורת של שירותי הספקה, אשר תכלול את הנושאים הבאים:
- מטרות מדיניות ניטור וביקורת של שירותי הספקה.
- תחום יישום מדיניות ניטור וביקורת של שירותי הספקה.
- תהליכי ניטור וביקורת של שירותי הספקה, כולל תדירות הניטור, כלים ושיטות שיש להשתמש בהם.