דלג לתוכן הראשי

A.5.22 ניטור, סקירה וניהול שינויים בשירות ספקים

מטרה

מטרת הנוהל היא להבטיח כי הארגון מבצע ניטור שוטף, סקירה וניהול שינויים בשירותים המסופקים על ידי ספקים, על מנת לוודא שהשירותים עומדים בדרישות האבטחה שנקבעו ואינם משפיעים לרעה על אבטחת המידע של הארגון.

תחום יישום

הנוהל חל על כל השירותים המסופקים לארגון על ידי ספקים חיצוניים, כולל שירותי תוכנה, חומרה, שירותי ענן, ושירותי תקשורת.

הגדרות

  • ניטור שירותי ספקים: תהליך של מעקב שוטף אחר ביצועי השירותים המסופקים על ידי ספקים חיצוניים.
  • סקירת שירותי ספקים: תהליך של הערכה תקופתית של התאמת השירותים לדרישות הארגון, כולל דרישות אבטחת מידע.
  • ניהול שינויים בשירות ספקים: תהליך של ניהול ואישור שינויים בשירותים המסופקים, על מנת לוודא שהם אינם משפיעים לרעה על אבטחת המידע של הארגון.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח, ניהול ויישום הנוהל, כולל ניהול סיכונים ושינויים בשירותי ספקים.
  • מנהלי מערכות: אחראים על הניטור והסקירה של השירותים המסופקים על ידי ספקים, ועל יישום שינויים בשירותים בהתאם להנחיות אבטחת המידע.

תהליך

1. ניטור שוטף של שירותי ספקים

  • הארגון יבצע ניטור שוטף של השירותים המסופקים על ידי ספקים, כדי לוודא שהם עומדים בדרישות האבטחה שנקבעו.
  • ניטור זה יכלול מעקב אחר ביצועים, זמינות השירותים, ואירועי אבטחת מידע הקשורים לשירותים.

2. סקירת שירותי ספקים

  • הארגון יבצע סקירה תקופתית של השירותים המסופקים, כדי לוודא שהשירותים עדיין מתאימים לצרכים העסקיים ולדרישות האבטחה של הארגון.
  • הסקירה תכלול בדיקה של עמידת הספקים בהסכמים ובדרישות האבטחה, והערכת השפעת השירותים על הארגון.

3. ניהול שינויים בשירותי ספקים

  • כל שינוי בשירותים המסופקים על ידי ספקים חייב להיות מאושר על ידי הארגון לפני ביצועו.
  • הספקים נדרשים להודיע על כל שינוי מתוכנן ולספק מידע מלא על השפעתו על אבטחת המידע.
  • מנהל המערכות האחראי יבצע הערכת סיכונים לכל שינוי מוצע ויעביר את המלצותיו לממונה אבטחת מידע לאישור.

4. דיווח על אירועים ושינויים

  • הספקים יידרשו לדווח מיידית על כל אירוע אבטחת מידע או שינוי משמעותי בשירותים המסופקים.
  • הארגון יבצע ניתוח אירועים ושינויים ויעדכן את הנהלים בהתאם.

5. בדיקות תקופתיות ובקרה

  • הארגון יבצע בדיקות תקופתיות על מנת לוודא שהשירותים המסופקים על ידי הספקים עומדים בדרישות האבטחה וההסכמים שנקבעו.
  • הבדיקות יכללו גם סקירה של השינויים שבוצעו והשפעתם על אבטחת המידע בארגון.

6. עדכון נהלים ותהליכים

  • בהתאם לתוצאות הניטור, הסקירה וניהול השינויים, הארגון יעדכן את הנהלים והתהליכים לשיפור מתמיד.
  • הארגון יבטיח כי כל שינוי משמעותי בשירותים יבוצע בהתאם לדרישות אבטחת המידע העדכניות.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לניטור, סקירה וניהול שינויים בשירותי ספקים.
  • הארגון יקבע את תדירות הסקירה והניטור בהתאם לסיכונים, מורכבות השירותים, וחשיבותם העסקית.