שירותים

מדיניות ונהלים

אחד העקרונות המרכזיים בעת הקמת מערך ניהול סיכוני IT הינו הגדרת הקווים המנחים המובלים ע”י הנהלת הארגון ואשר מטרתם העיקרית היא לקבוע, באמצעות מסמך מדיניות, את מידת הסיכון אותה מעוניינת ההנהלה לקחת על עצמה ועקרונות מנחים לבניית מערך מזעור סיכונים למערכות המידע של הארגון. מטרת הנהלים שיכתבו על בסיס המדיניות הינה הגדרה פרטנית של אופן ניהול הסיכונים השונים אל מול הערכת הסיכונים הקיימת בארגון ואל מול הדרישות הרגולטוריות השונות.
מדיניות טכנולוגיית המידע קובעת עקרונות ייסוד לניהול סיכוני טכנולוגיות המידע הנובעים מפעילות הארגון תוך צמצום החשיפה להתממשות סיכונים אשר מקורם בטכנולוגיות המידע ולהשלכות הנגזרות מהתממשותם של סיכונים אלו בהקשר לתהליכים העושים שימוש בטכנולוגיית המידע. בנוסף, המדיניות מיועדת להבטיח:

  • קיום תהליך להגדרה ומיפוי של מערכות המידע והערכת הסיכון שלהן.
  • יום תהליך זיהוי סיכונים, הערכתם, ניטורם השוטף, מזעור החשיפות ובקרה שוטפת.
  • קיום תהליך דיווח תקופתי ושוטף לבעלי העניין.
  • קיום מבנה ארגוני ותפקודי בארגון אשר תומך בניהול סיכוני טכנולוגיית המידע.
  • דיווח מלא של אירועי כשל וקיומו של תהליך הפקת לקחים יעיל.
  • ניהול סיכוני טכנולוגיית המידע ייתמך על ידי מערכת מרכזית

על בסיס העקרונות שיקבעו במדיניות נדרש הארגון לעגן נוהלי עבדוה וליישם מתודולוגיה שיתאימו לאופי הארגון ובשפה משותפת עם המתודולוגיה לניהול הסיכונים הכולל. במסגרת זו ישולב מערך ניהול סיכוני טכנולוגיית המידע כחלק מתהליך ניהול הסיכון התפעולי הכולל תוך יצירת אינטגרציה והיזון הדדי בין ניהול הסיכונים התפעוליים לניהול סיכוני טכנולוגיית המידע.