דלג לתוכן הראשי

נוהל: ניהול שינויים באופן אספקת השירות על ידי ספק המשנה A15.2.2

מטרה

מטרת הנוהל היא להבטיח כי הארגון ינהל שינויים באופן אספקת השירות על ידי ספק המשנה בצורה מסודרת ומבוקרת, על מנת להבטיח כי השינויים לא יפגעו באבטחת המידע של הארגון.

תחום יישום

הנוהל חל על כל השינויים באופן אספקת השירות על ידי ספק המשנה, לרבות שינויים בנהלים, תהליכים, ובקרות.

הגדרות

  • ספק משנה: גורם חיצוני המספק שירותים לארגון, כאשר הספק המשנה אינו עובד ישירות עבור הארגון.
  • שינויים באופן אספקת השירות: כל שינוי בנהלים, תהליכים, ובקרות של ספק המשנה, אשר עשוי להשפיע על אבטחת המידע של הארגון.

אחריות

הנהלה:

  • אחראית על קביעת מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה.
  • אחראית על אספקת המשאבים הדרושים ליישום מדיניות זו.
  • אחראית על מעקב אחר ביצוע מדיניות זו.

ממונה אבטחת מידע:

  • אחראי על יישום מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה.
  • אחראי על ניהול תהליך יישום מדיניות זו וביצוע בדיקות להערכת השפעת השינוי.

מנהלי מערכות:

  • אחראים על יישום מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה.

תהליך

1. קביעת מדיניות ניהול שינויים

הנהלת הארגון תקבע מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה, אשר תכלול את הנושאים הבאים:

  • מטרות מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה.
  • תחום יישום מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה.
  • תהליך ניהול שינויים באופן אספקת השירות על ידי ספק המשנה.

2. יישום מדיניות ניהול שינויים

מנהלי מערכות יאמצו את מדיניות ניהול שינויים באופן אספקת השירות על ידי ספק המשנה, על ידי פיתוח נהלים ומסמכים אשר יתאימו למדיניות זו.

3. הגשת בקשה לשינוי

כל שינוי באופן אספקת השירות על ידי ספק המשנה יהיה כפוף להגשת בקשה לשינוי. בקשה לשינוי תכלול את המידע הבא:

  • תיאור השינוי הנדרש.
  • הסיבות לשינוי הנדרש.
  • הערכת השפעת השינוי על אבטחת המידע.

4. בדיקת בקשה לשינוי

ממונה אבטחת מידע יבדוק את בקשת השינוי ויוודא כי השינוי לא יפגע באבטחת המידע של הארגון.

5. אישור שינוי

הנהלת הארגון תאשר או תדחה את בקשת השינוי בהתאם להמלצת ממונה אבטחת המידע.

6. יישום שינוי

ספק המשנה יבצע את השינוי בהתאם לאישור הנהלת הארגון ויעדכן את הארגון על השלמת השינוי.

7. בדיקת שינוי

ממונה אבטחת מידע יבצע בדיקה של השינוי על מנת לוודא כי השינוי אכן בוצע כראוי, וכי אינו פוגע באבטחת המידע של הארגון. בדיקה זו תכלול גם הערכה מחדש של סיכונים וניטור מתמשך במידת הצורך.