A.8.30 פיתוח חיצוני
מטרה
מטרת הנוהל היא להבטיח שכל תהליכי הפיתוח החיצוניים המתבצעים על ידי ספקים, קבלנים או שותפים חיצוניים מתבצעים בהתאם לדרישות האבטחה של הארגון, על מנת להגן על המידע הרגיש של הארגון, ולמנוע פגיעויות ואיומי אבטחה.
תחום יישום
הנוהל חל על כל תהליכי הפיתוח המתבצעים על ידי גורמים חיצוניים לארגון, כולל ספקי תוכנה, קבלני משנה ושותפים עסקיים, בכל שלבי מחזור החיים של הפיתוח.
הגדרות
- פיתוח חיצוני: תהליך שבו הפיתוח של תוכנה, יישומים, או מערכות מידע מבוצע על ידי גורמים חיצוניים לארגון, כגון ספקים, קבלני משנה או שותפים עסקיים.
- ספקים חיצוניים: גורמים חיצוניים לארגון שמספקים שירותי פיתוח או תמיכה טכנולוגית, והם מחויבים לעמוד בדרישות האבטחה שהוגדרו על ידי הארגון.
אחריות
- מחלקת הרכש: אחראית על ניהול ההתקשרות עם ספקים חיצוניים, כולל הגדרת דרישות האבטחה בהסכמים והבטחת עמידתם בדרישות אלו.
- ממונה על אבטחת המידע: אחראי לפקח על תהליך הפיתוח החיצוני, להגדיר את דרישות האבטחה ולוודא שהן מיושמות על ידי הספקים החיצוניים.
- מנהלי פרויקטים: אחראים לוודא שכל תהליך הפיתוח החיצוני מתבצע בהתאם לדרישות האבטחה של הארגון, ושכל המערכות המפותחות נבדקות ומאושרות לשימוש.
תהליך
1. הגדרת דרישות אבטחה
- ממונה על אבטחת המידע, בשיתוף עם מחלקת הרכש ומנהלי הפרויקטים, יגדיר את דרישות האבטחה לכל פרויקט פיתוח חיצוני, כולל הגדרות ספציפיות להבטחת סודיות, שלמות וזמינות המידע.
- דרישות האבטחה ייכללו כחלק מההסכמים והחוזי ם עם הספקים החיצוניים, ויהוו תנאי להצלחה בפרויקט.
2. בחירת ספקים חיצוניים
- מחלקת הרכש תבחר ספקים חיצוניים על פי קריטריונים הכוללים את היכולת של הספק לעמוד בדרישות האבטחה של הארגון, רקורד של שמירה על סודיות ואבטחת מידע, והמלצות מקדמות.
- הספקים שייבחרו יידרשו לעמוד בכל הדרישות שהוגדרו, ולהשתמש בטכנולוגיות ובשיטות עבודה העומדות בתקני האבטחה המקובלים.
3. ניהול תהליך הפיתוח
- מחלקת הפיתוח ומנהלי הפרויקטים יפקחו על תהליך הפיתוח החיצוני כדי לוודא שהדרישות הטכניות והאבטחה מיושמות כראוי, כולל ביצוע בדיקות אבטחה בכל שלב של הפיתוח.
- יש לוודא שהספקים מבצעים בדיקות אבטחה מקיפות, כולל בדיקות חדירה וניתוח קוד, ושכל הפגיעויות מתוקנות לפני המסירה לארגון.