נוהל: ניטור וביקורת של שירותי הספקה A15.2.1
מטרה
מטרת הנוהל היא להבטיח כי הארגון ינטר, יבקר ויוודא את אספקת השירות על ידי ספק המשנה באופן שוטף, על מנת לוודא כי הספק עומד בדרישות האבטחה של הארגון.
תחום יישום
הנוהל חל על כל שירותי הספקה של הארגון, �לרבות שירותי תוכנה, שירותי חומרה, שירותי ענן, וכו'.
הגדרות
- ספק משנה: גורם חיצוני המספק שירותים לארגון, כאשר הספק המשנה אינו עובד ישירות עבור הארגון.
- ניטור: תהליך של מעקב אחר פעילות או תהליך.
- ביקורת: תהליך של בדיקה מדוקדקת של פעילות או תהליך.
אחריות
הנהלה:
- אחראית על קביעת מדיניות ניטור וביקורת של שירותי הספקה.
- אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
- אחראית על מעקב אחר ביצוע מדיניות זו.
ממונה אבטחת מידע:
- אחראי על יישום מדיניות ניטור וביקורת של שירותי הספקה.
- אחראי על ניהול תהליך יישום מדיניות זו וביצוע ביקורות תקופתיות.
מנהלי מערכות:
- אחראים על יישום מדיניות ניטור וביקורת של שירותי הספקה.
- אחראים על ביצוע תהליכי הניטור והביקורת ועל דיווח תוצאות להנהלה.
תהליך
1. קביעת מדיניות ניטור וביקורת
הנהלת הארגון תקבע מדיניות ניטור וביקורת של שירותי הספקה, אשר תכלול את הנושאים הבאים:
- מטרות מדיניות ניטור וביקורת של שירותי הספקה.
- תחום יישום מדיניות ניטור וביקורת של שירותי הספקה.
- תהליכי ניטור וביקורת של שירותי הספקה, כולל תדירות הניטור, כלים ושיטות שיש להשתמש בהם.
2. יישום מדיניות ניטור וביקורת
מנהלי מערכות יאמצו את מדיניות ניטור וביקורת של שירותי הספקה על ידי פיתוח נהלים ומסמכים אשר יתאימו למדיניות זו. תהליכים אלו יכללו הנחיות ברורות למעקב ובקרה אחר הספקים, כולל אמצעים לתעד את תוצאות הניטור והביקורת.
3. ביצוע תהליכי ניטור וביקורת
מנהלי מערכות יבצעו את תהליכי ניטור וביקורת של שירותי הספקה בהתאם למדיניות שנקבעה. תהליכי הניטור יכללו בדיקות תקופתיות, ניטור בזמן אמת וביקורות מתוכננות ובלתי מתוכננות על ספקי השירות.
4. דיווח על תוצאות ניטור וביקורת
מנהלי מערכות ידווחו להנהלת הארגון על תוצאות תהליכי ניטור וביקורת של שירותי הספקה. הדיווח יכלול את הממצאים העיקריים, תקלות שנמצאו, פעולות מתקנות שננקטו והמלצות לשיפורים. הדיו�וח יתבצע בצורה תקופתית בהתאם למדיניות הארגונית שנקבעה.