דלג לתוכן הראשי

A.5.21 ניהול אבטחת מידע בשרשרת האספקה של טכנולוגיות המידע והתקשורת (ICT)

מטרה

מטרת הנוהל היא להבטיח כי הארגון ינהל ויפקח על אבטחת המידע בכל שלבי שרשרת האספקה של טכנולוגיות המידע והתקשורת (ICT), במטרה להפחית סיכונים ולהגן על נכסי המידע של הארגון.

תחום יישום

הנוהל חל על כל שרשרת האספקה של טכנולוגיות המידע והתקשורת בארגון, כולל ספקים, קבלני משנה, ושותפים עסקיים שיש להם גישה למידע או למערכות של הארגון.

הגדרות

  • שרשרת אספקה של ICT: המערכת הכוללת של ספקים, קבלנים וגורמים נוספים המעורבים באספקה, תחזוקה וניהול של מערכות מידע ותקשורת עבור הארגון.
  • סיכוני אבטחת מידע: איומים או חולשות העלולים להשפיע על סודיות, שלמות, או זמינות המידע בארגון.
  • ניהול סיכונים בשרשרת האספקה: תהליך לזיהוי, הערכה וטיפול בסיכונים הנובעים מהשימוש בספקים וקבלני משנה בתחום ה-ICT.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל, וכן על זיהוי וניהול סיכונים בשרשרת האספקה של ICT.
  • מנהלי מערכות: אחראים לוודא כי הספקים עומדים בדרישות האבטחה שנקבעו, ולבצע מעקב אחר עמידתם בדרישות אלו.

תהליך

1. זיהוי שרשרת האספקה של ICT

  • הארגון יזהה את כל הגורמים המעורבים בשרשרת האספקה של ICT, כולל ספקים ראשיים, קבלני משנה ושותפים עסקיים.
  • כל גורם יזוהה בהתאם לשירותים או מוצרים המסופקים לארגון והיקף הגישה למידע הארגוני.

2. הערכת סיכונים בשרשרת האספקה

  • הארגון יבצע הערכת סיכונים כדי לזהות ולהבין את הסיכונים הנובעים מהשימוש בגורמים שונים בשרשרת האספקה.
  • הערכה זו תכלול ניתוח של איומים פוטנציאליים, חולשות, והשלכות אפשריות על הארגון.

3. דרישות אבטחת מידע לספקים

  • הארגון יגדיר דרישות אבטחת מידע ברורות לכל הגורמים בשרשרת האספקה, בהתאם לרמת הסיכון שנקבעה בהערכת הסיכונים.
  • דרישות אלו יכללו התחייבות להגנה על המידע הארגוני, יישום בקרות אבטחה מתאימות, דיווח על אירועי אבטחה, ועוד.

4. שילוב דרישות אבטחת מידע בהסכמים

  • כל הסכם עם ספק או קבלן משנה יכלול סעיפים המתייחסים לדרישות האבטחה שנקבעו, ויחייב את הספק לעמוד בהן.
  • הארגון יוודא כי ההסכמים כוללים מנגנוני פיקוח ובקרה על עמידת הספקים בדרישות האבטחה.

5. מעקב ובקרה

  • הארגון יבצע ביקורות תקופתיות כדי לוודא שהספקים עומדים בדרישות האבטחה שנקבעו.
  • כל ספק יידרש לספק דוחות תקופתיים על עמידתו בדרישות, ויהיה כפוף לבדיקות אבטחה מקיפות מצד הארגון.

6. טיפול בהפרות אבטחת מידע

  • במקרה של הפרה או אי עמידה בדרישות האבטחה מצד ספק, הארגון ינקט בצעדים הדרושים כדי להפסיק את ההפרה, כולל אפשרות לביטול ההתקשרות עם הספק.
  • תהליך הטיפול בהפרות יכלול איסוף ראיות, ניתוח האירוע, והפקת לקחים לשיפור עתידי.

7. עדכון ותחזוקה

  • הנוהל יעודכן באופן שוטף בהתאם לשינויים רגולטוריים, טכנולוגיים, או בשוק, כדי לשמור על התאמה לתקני ISO 27001:2022.
  • הארגון יבצע הערכות סיכונים תקופתיות ויתאים את הדרישות והנהלים בהתאם.

הערות

  • הארגון יבצע תהליך של הערכת סיכונים מתמשכת כדי לזהות סיכונים חדשים ולהתאים את הנוהל בהתאם.
  • כל שינוי משמעותי בשרשרת האספקה יחייב סקירה ועדכון של הנוהל וההסכמים עם הספקים.