דלג לתוכן הראשי

A.8.32 ניהול שינויים

מטרה

מטרת הנוהל היא להבטיח שכל שינוי במערכות, בתשתיות וביישומים של הארגון מנוהל באופן מסודר ומבוקר, על מנת למנוע פגיעות, להבטיח את יציבות וזמינות המערכות, ולשמור על שלמות המידע הארגוני.

תחום יישום

הנוהל חל על כל תהליכי ניהול השינויים במערכות המידע, בתשתיות הטכנולוגיות וביישומים של הארגון, כולל שינויים בתוכנה, בחומרה, בתצורות רשת ובתהליכי עבודה.

הגדרות

  • שינוי (Change): כל שינוי בתצורה, בפונקציונליות, בהגדרות או בסביבת מערכת המידע, לרבות שינויים בקוד, בתשתית, באבטחה או בתהליכי עבודה.
  • ניהול שינויים (Change Management): תהליך מבוקר ומסודר לניהול, תיעוד ואישור של שינויים במערכות הארגוניות, במטרה להבטיח שהם מתבצעים בצורה מאובטחת וללא פגיעה בפעילות השוטפת.

אחריות

  • מחלקת IT: אחראית על ניהול השינויים, כולל תכנון, תיאום וביצוע של השינויים בצורה מבוקרת ומתועדת.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך ניהול השינויים, לוודא שהשינויים עומדים בדרישות האבטחה של הארגון ולבצע הערכות סיכונים.
  • מנהלי פרויקטים: אחראים לוודא שכל שינוי במערכות שבאחריותם מתבצע בהתאם לנוהלי ניהול השינויים ומאושר לפני ביצועו.

תהליך

1. בקשת שינוי

  • כל שינוי במערכת או בתשתית הארגונית יתחיל בבקשת שינוי מסודרת שתוגש למחלקת IT. הבקשה תכלול תיאור מפורט של השינוי המוצע, מטרות השינוי, ההשפעות הצפויות, ודרישות האבטחה.
  • הבקשה תיבדק על ידי הצוות הטכני וממונה על אבטחת המידע, ויינתן לה אישור או דחייה בהתאם לסיכונים האפשריים והצורך בשינוי.

2. הערכת סיכונים

  • לפני אישור השינוי, מחלקת IT וממונה על אבטחת המידע יבצעו הערכת סיכונים לזיהוי והערכת ההשפעות הפוטנציאליות של השינוי על המערכות, על האבטחה ועל זמינות השירותים.
  • כל סיכון משמעותי שיזוהה ייבחן, ותוכנית להפחתת סיכונים תוגדר לפני ביצוע השינוי.

3. תכנון שינוי

  • לאחר אישור השינוי, מחלקת IT תכין תוכנית מפורטת לביצוע השינוי, כולל לו"ז, משאבים נדרשים, תהליכי בדיקות ואמצעי חזרה למצב הקודם במקרה של כשל.
  • יש לוודא שתוכנית השינוי כוללת את כל שלבי הביצוע, הבדיקות והתאוששות במקרה של בעיות, כדי להבטיח שהשינוי מתבצע בצורה מאובטחת וללא הפרעה לשירותים השוטפים.

4. ביצוע השינוי

  • השינוי יבוצע בהתאם לתוכנית שהוגדרה, תוך שמירה על תקשורת רציפה בין כל הגורמים המעורבים.
  • במהלך ביצוע השינוי, יש לוודא שכל הפעולות מתבצעות לפי ההנחיות, ושכל חריגה מהתוכנית מתועדת ומטופלת בהתאם.

5. בדיקות לאחר שינוי

  • לאחר ביצוע השינוי, יש לבצע בדיקות אבטחה ובדיקות תפקודיות מקיפות כדי לוודא שהשינוי הושלם בהצלחה, שהמערכות מתפקדות כהלכה ושאין פגיעות או בעיות חדשות.
  • תוצאות הבדיקות יתועדו וכל בעיה שתתגלה תטופל באופן מיידי.

6. תיעוד ודיווח

  • כל שלבי השינוי יתועדו בצורה מסודרת, כולל בקשת השינוי, הערכת הסיכונים, תוכנית השינוי, הבדיקות ותוצאותיהן.
  • דו"ח סופי על השינוי יועבר למנהלי הפרויקטים ולממונה על אבטחת המידע לצורך מעקב ובקרה.

7. מעקב ובקרה

  • מחלקת IT וממונה על אבטחת המידע יבצעו מעקב אחר השינויים שבוצעו, כדי לוודא שאין השפעות שליליות על המערכות, על האבטחה או על השירותים השוטפים.
  • כל שינוי יתועד ויבוקר על ידי גורמים רלוונטיים בארגון, ותיערך סקירה תקופתית על מנת לוודא שהתהליך מתקיים בצורה מאובטחת ויעילה.

8. הדרכת צוותים

  • הארגון יספק הדרכה לצוותים הטכניים על נהלי ניהול השינויים, כולל הגשת בקשות לשינוי, הערכת סיכונים, תכנון וביצוע שינויים בצורה מאובטחת.
  • ההדרכה תכלול גם הכרות עם כלי ניהול שינויים ושיטות לבדיקות ולתיעוד תהליכים.

9. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי ניהול השינויים, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לניהול שינויים, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.