דלג לתוכן הראשי

A.8.9 ניהול תצורה

מטרה

מטרת הנוהל היא להבטיח שכל מערכות המידע והציוד בארגון מוגדרים ומתוחזקים בצורה מסודרת ועקבית, תוך ניהול תצורה מבוקר על מנת להבטיח זמינות, שלמות ואבטחת המידע.

תחום יישום

הנוהל חל על כל מערכות המידע, התשתיות, היישומים, הציוד והרכיבים הטכנולוגיים בארגון, כולל שרתים, תחנות עבודה, התקני רשת, מערכות הפעלה ותוכנות.

הגדרות

  • תצורה: ההגדרות והמאפיינים הטכניים של מערכות המידע והציוד בארגון, כולל גרסאות תוכנה, הגדרות רשת, הגדרות אבטחה, ושאר רכיבי תצורה.
  • ניהול תצורה: תהליך של תיעוד, בקרה, ניטור ועדכון של תצורת מערכות המידע והציוד בארגון, כדי להבטיח שהמערכות פועלות כראוי ושומרות על רמת אבטחה גבוהה.

אחריות

  • מחלקת IT: אחראית על ניהול תצורת המערכות, כולל תיעוד, תחזוקה ועדכון שוטף של הגדרות התצורה, וכן על מעקב אחר שינויים ובקרת גרסאות.
  • ממונה על אבטחת המידע: אחראי לפקח על תהליך ניהול התצורה ולוודא שהמערכות מוגדרות בהתאם למדיניות הארגון ולדרישות האבטחה.
  • מנהלי פרויקטים: אחראים לוודא שהגדרות התצורה עבור פרויקטים חדשים מתועדות ומנוהלות בהתאם לנוהלי הארגון.

תהליך

1. תיעוד תצורה

  • מחלקת IT תבצע תיעוד מקיף של כל תצורות המערכות, כולל גרסאות תוכנה, הגדרות רשת, הגדרות אבטחה ושינויים שנעשו במערכות.
  • יש לוודא שכל שינוי בתצורה מתועד במערכת ניהול תצורה מרכזית, כולל הסבר על השינוי, תאריך הביצוע וזהות הגורם המבצע.

2. בקרת שינויים

  • כל שינוי בתצורה חייב להיות מאושר מראש על ידי הגורמים הרלוונטיים, בהתאם למדיניות ניהול השינויים של הארגון.
  • לפני ביצוע שינוי בתצורה, יש לבצע הערכת סיכונים כדי להבין את ההשלכות האפשריות על המערכות והמידע.

3. ניהול גרסאות

  • מחלקת IT תנהל גרסאות שונות של תצורות המערכות, כולל מעקב אחר שינויים והשוואה בין גרסאות קודמות וחדשות.
  • יש לוודא שהגרסה העדכנית ביותר של התצורה מופעלת על המערכות, ושגרסאות ישנות נשמרות לצורכי גיבוי והתאוששות.

4. ניטור ובקרה

  • מחלקת IT תבצע ניטור שוטף של תצורות המערכות, כולל בדיקה תקופתית של הגדרות קריטיות וזיהוי חריגות או שינויים בלתי מורשים.
  • כל חריגה או שינוי לא מורשה בתצורה ייבחנו ויטופלו בהתאם לנהלי הארגון.

5. התאוששות ובדיקות תקופתיות

  • מחלקת IT תוודא כי תצורות המערכות מגובות בצורה סדירה, וכי קיימות תכניות התאוששות במקרה של כשל או שינוי בלתי צפוי בתצורה.
  • יש לבצע בדיקות תקופתיות להערכת תקינות תצורות המערכות ולהבטחת עמידה בדרישות הארגון ובמדיניות האבטחה.

6. הדרכת עובדים

  • הארגון יספק הדרכה לעובדים בנוגע לניהול תצורה נכון, כולל חשיבות התיעוד, בקרת השינויים והקפדה על מדיניות האבטחה.
  • ההדרכה תכלול גם הנחיות לפעולה במקרה של זיהוי שינויים לא מורשים או חריגות בתצורה.

7. סקירה ועדכון נהלים

  • הארגון יבצע סקירה תקופתית של נהלי ניהול התצורה, ויעדכן אותם בהתאם לשינויים טכנולוגיים, סיכונים חדשים או דרישות רגולטוריות.
  • יש לוודא שכל העדכונים מיושמים על ידי כל הצוותים הרלוונטיים בארגון.

הערות

הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לניהול תצורה, ויבצע התאמות ושיפורים בהתאם לצורך ולשינויים רגולטוריים או טכנולוגיים.