דלג לתוכן הראשי

A.5.30 מוכנות טכנולוגיות המידע והתקשורת (ICT) להמשכיות עסקית

מטרה

מטרת הנוהל היא להבטיח כי תשתיות טכנולוגיות המידע והתקשורת (ICT) של הארגון יהיו מוכנות להבטיח המשכיות עסקית בזמן משבר או אסון, על ידי שמירה על זמינות, שלמות וסודיות המידע, וכן על התפקוד התקין של המערכות הקריטיות.

תחום יישום

הנוהל חל על כל תשתיות טכנולוגיות המידע והתקשורת של הארגון, לרבות מרכזי נתונים, מערכות מחשב, תשתיות רשת, ויישומים קריטיים.

הגדרות

  • מוכנות ICT: יכולת התשתיות הטכנולוגיות של הארגון לתפקד ולהבטיח המשכיות עסקית גם במצבי חירום.
  • המשכיות עסקית: היכולת לשמור על תפקוד ארגוני חיוני בזמן ובתנאים של שיבוש או אסון.
  • תשתיות ICT: כלל מערכות המידע והתקשורת של הארגון, כולל חומרה, תוכנה, ורשתות.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח וניהול הנוהל.
  • מנהל המערכות האחראי: אחראי על יישום הנוהל ועל פיקוח על המוכנות הטכנולוגית להמשכיות עסקית.

תהליך

1. זיהוי ותעדוף מערכות קריטיות

  • הארגון יזהה את המערכות הקריטיות להמשכיות עסקית, כולל מערכות מידע, תשתיות רשת, ויישומים המשפיעים ישירות על תפקוד העסק.
  • סדרי עדיפויות ייקבעו בהתבסס על ההשפעה האפשרית של כשל במערכות אלו על הפעילות העסקית.

2. תכנון ותיעוד תהליכי התאוששות

  • הארגון יפתח תוכניות התאוששות שיכללו נהלים מפורטים להתאוששות מהירה ממצבי חירום והחזרת תפקוד המערכות הקריטיות.
  • התוכניות יתועדו ויהיו זמינות לכלל הצוותים הרלוונטיים.

3. יישום תשתיות יתירות

  • הארגון יבטיח קיום יתירות מתאימה בתשתיות ICT כדי להבטיח זמינות רציפה גם בעת כשל במרכיב מרכזי.
  • יתבצעו בדיקות תדירות של תשתיות היתירות כדי לוודא את תקינותן ויעילותן.

4. ביצוע בדיקות תאוששות תקופתיות

  • הארגון יערוך בדיקות תקופתיות של תוכניות התאוששות ושל המוכנות הטכנולוגית להמשכיות עסקית.
  • הבדיקות יכללו סימולציות של תרחישי חירום על מנת להעריך את המוכנות ויכולת ההתאוששות.

5. ניהול סיכונים טכנולוגיים

  • הארגון ינהל תהליך של הערכת סיכונים מתמשכת, תוך זיהוי סיכונים טכנולוגיים חדשים או שינויים בסיכונים קיימים.
  • ממונה אבטחת מידע יטמיע בקרות חדשות או יעדכן בקרות קיימות כדי למזער את הסיכונים המוגדרים.

6. הכשרת עובדים

  • צוותי המערכות והאבטחה יקבלו הכשרה שוטפת על תהליכי ההתאוששות ועל השימוש בתשתיות היתירות.
  • ההכשרה תתמקד ביכולת לפעול בתנאי חירום ולבצע את התוכניות שנקבעו בצורה יעילה.

7. סקירה ועדכון מתמידים

  • התוכנית להמשכיות עסקית של תשתיות ICT תיבדק ותעודכן באופן תקופתי, בהתאם לשינויים טכנולוגיים, עסקיים, או רגולטוריים.
  • הארגון יבצע ביקורות פנימיות על יישום הנוהל ועל עדכונו בהתאם לצרכים משתנים.

8. דוח תפקוד לאחר תקריות

  • לאחר כל תקרית או בדיקה, יוגש דוח להנהלה המסכם את התפקוד של תשתיות ICT במהלך האירוע, כולל המלצות לשיפור והפקת לקחים.

הערות

  • הארגון ישלב את המסקנות מהביקורות והבדיקות לתוך שיפורים בתוכנית המשכיות העסקית כדי להבטיח מוכנות מקסימלית.
  • יש להבטיח שיתוף פעולה בין כל מחלקות הארגון, כולל IT, אבטחת מידע, ותפעול, לצורך יישום הנוהל בצורה מיטבית.