A.8.9 ניהול תצורה
מטרה
מטרת הנוהל היא להבטיח שכל מערכות המידע והציוד בארגון מוגדרים ומתוחזקים בצורה מסודרת ועקבית, תוך ניהול תצורה מבוקר על מנת להבטיח זמינות, שלמות ואבטחת המידע.
תחום יישום
הנוהל חל על כל מערכות המידע, התשתיות, היישומים, הציוד והרכיבים הטכנולוגיים בארגון, כולל שרתים, תחנות עבודה, התקני רשת, מערכות הפעלה ותוכנות.
הגדרות
- תצורה: ההגדרות והמאפיינים הטכניים של מערכות המידע והציוד בארגון, כולל גרסאות תוכנה, הגדרות רשת, הגדרות אבטחה, ושאר רכיבי תצורה.
- ניהול תצורה: תהליך של תיעוד, בקרה, ניטור ועדכון של תצורת מערכות המידע והציוד בארגון, כדי להבטיח שהמערכות פועלות כראוי ושומרות על רמת אבטחה גבוהה.
אחריות
- מחלקת IT: אחראית על ניהול תצורת המערכות, כולל תיעוד, תחזוקה ועדכון שוטף של הגדרות התצורה, וכן על מעקב אחר שינויים ובקרת גרסאות.
- ממונה על אבטחת המידע: אחראי לפקח על תהליך ניהול התצורה ולוודא שהמערכות מוגדרות בהתאם למדיניות הארגון ולדרישות האבטחה.
- מנהלי פרויקטים: אחראים לוודא שהגדרות התצורה עבור פרויקטים חדשים מתועדות ומנוהלות בהתאם לנוהלי הארגון.
תהליך
1. תיעוד תצורה
- מחלקת IT תבצע תיעוד מקיף של כל תצורות המערכות, כולל גרסאות תוכנה, הגדרות רשת, הגדרות אבטחה ושינויים שנעשו במערכות.
- יש לוודא שכל שינוי בתצורה מתועד במערכת ניהול תצורה מרכזית, כולל הסבר על השינוי, תאריך הביצוע וזהות הגורם המבצע.