נוהל: יישום המשכיות אבטחת מידע A17.1.2
מטרה
מטרת הנוהל היא להבטיח כי הארגון יישם את תוכנית המשכיות אבטחת המידע שלו באופן יעיל ומסודר.
תחום יישום
הנוהל חל על כל הארגון.
הגדרות
- משכיות אבטחת מידע: היכולת של הארגון לשמור על אבטחת המידע שלו גם במהלך משבר או אסון.
- תוכנית המשכיות אבטחת מידע: תוכנית המגדירה את הצעדים שיש לנקוט כדי לשמור על אבטחת המידע של הארגון במהלך משבר או אסון.
אחריות
- ממונה אבטחת מידע: אחראי על יישום תוכנית המשכיות אבטחת המידע.
- מנהל המערכות האחראי: אחראי להפעלת תוכנית המשכיות אבטחת המידע.
תהליך
1. יישום תוכנית המשכיות אבטחת מידע
הארגון יישם את תוכנית המשכיות אבטחת המידע, על פי הצעדים המפורטים בתוכנית, ויבטיח כי כל השלבים הנדרשים ננקטים בצורה מסודרת ויעילה.
2. בדיקה ותחזוקה של תוכנית המשכיות אבטחת מידע
הארגון יבצע בדיקות תקופתיות לתוכנית המשכיות אבטחת המידע, על מנת לוודא כי היא עדכנית ויעילה. התחזוקה כוללת גם עדכון התוכנית בהתאם לשינויים בארגון או בסביבה העסקית.
הערות
הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע ליישום המשכיות אבטחת מידע.
דוגמאות לצעדים שניתן לנקוט כדי ליישם את תוכנית המשכיות אבטחת המידע:
- הקמה של צוות תגובה לאירועי אבטחת מידע (CIRT).
- הגדרת תפקידים ומשימות של הצוות.
- הדרכת הצוות.
- הכנת נהלים וכללים לתפעול תוכנית המשכיות אבטחת המידע.
- הקמה של מרכז ניהול משבר.
- הכנת תוכנית תקשורת למשבר.
- הכנת תוכנית גיבוי וחזרה לפעילות.
דוגמאות לתהליכים, הליכים, ובקרות שניתן ליישם על מנת להבטיח את המשכיות אבטחת המידע:
- תהליך גיבוי וחזרה לפעילות.
- תהליך זיהוי ותגובה לאירועי אבטחת מידע.
- תהליך בקרת גישה.
- תהליך אבטחת מידע פיזית.
- תהליך אבטחת מידע תקשורתית.
דוגמאות לגורמים שיש לקחת בחשבון בעת יישום תוכנית המשכיות אבטחת מידע:
- סוג המשבר או האסון הצפוי.
- השפעת המשבר או האסון על הפעילות העסקית של הארגון.
- היכולות והמשאבים של הארגון.