A.8.31 הפרדה בין סביבות פיתוח, בדיקות וייצור
מטרה
מטרת הנוהל היא להבטיח הפרדה ברורה ומאובטחת בין סביבות הפיתוח, הבדיקות והייצור בארגון, על מנת למנוע פגיעות במערכות הייצור, להבטיח את יציבותן ולשמור על סודיות, שלמות וזמינות המידע.
תחום יישום
הנוהל חל על כל סביבות הפיתוח, הבדיקות והייצור בארגון, כולל תשתיות חומרה, תוכנה, רשתות, ומערכות מידע המעורבות בתהליכי פיתוח, בדיקה והפעלה של יישומים ומערכות.
הגדרות
- סביבת פיתוח: סביבה ייעודית שבה מתבצע פיתוח תוכנה, יישומים, ומערכות לפני המעבר לבדיקות ולפריסה בייצור.
- סביבת בדיקות: סביבה נפרדת שבה מתבצעות בדיקות אבטחה, ביצועים ותפקודיות על מערכות ויישומים שפותחו, כדי להבטיח א ת תקינותם לפני המעבר לייצור.
- סביבת ייצור: סביבה שבה מערכות ויישומים פרוסים ומשמשים את הארגון במבצעיות שוטפת, וחשופה למשתמשים חיצוניים או פנימיים.
אחריות
- מחלקת הפיתוח: אחראית על תחזוקה וניהול של סביבות הפיתוח, כולל כתיבת קוד וביצוע בדיקות ראשוניות בסביבה מבודדת מהייצור.
- מחלקת IT: אחראית על ניהול ותחזוקה של סביבות הבדיקות והייצור, והבטחת ההפרדה ביניהן לבין סביבת הפיתוח.
- ממונה על אבטחת המידע: אחראי לפקח על תהליך ההפרדה בין הסביבות, לוודא עמידה בדרישות האבטחה ולבצע הערכות סיכונים תקופתיות.
- מנהלי פרויקטים: אחראים לוודא שההפרדה בין הסביבות נשמרת ושאין מעבר ישיר בין סביבות הפיתוח, הבדיקות והייצור ללא תהליך מסודר.