כיצד יישום ISO מסייע למנמ"ר ביצירת מתודולוגיה לניהול מערכות המידע בארגון ?

אתחיל בפירוש לשוני: המילה תִּקְנוּן או תְּקינה הן המילים העבריות לסטנדרטיזציה – כלומר: קביעת תקן מסוים, מתכונת אחידה או עשייה לפי תקן.

לדוגמה, אחד מהתקנים הבסיסיים והנפוצים ביותר שרובכם מכירים, הוא ת"י ISO 9001, זהו תקן ניהול איכות ומתאים לכל סוגי הארגונים, ללא תלות בסוג וגודל הארגון, התקן עושה שימוש בגישה תהליכית PDCA (ר"ת Plan-Do-Check-Act). ארגונים רבים דורשים מספקיהם עמידה בדרישות תקן ISO 9001 על מנת להתקשר איתם. ברוב המקרים ת"י ISO 9001  הוא הבסיס ואינו קשור באופן ישיר למנמ"ר.

בארגון שבו אני עובד, הוטמעו במערכות מידע שני תקני ISO:
● ת"י 27001 ISO – מערכת ניהול אבטחת מידע.
● ת"י 20000-1 ISO/IEC – טכנולוגיות מידע (IT) – מערכות ניהול שירות.

תקן ISO 27001:2013 הינו תקן המגדיר עקרונות פשוטים שיטתיים ותכליתיים, להקמה, ניהול ותחזוקה של מערכת ניהול אבטחת מידע המתאימה לארגון.

תקן ISO 27001:2013 מתרכז בנושא ניהול סיכונים.  בעקבות כך, בחרתי להציג לכם  את תהליך סקר סיכונים שיישמו במסגרת התקן בארגון, במטרה להראות כיצד תהליך זה מסייע למנמ"ר:
● ביצוע מיפוי ותיעוד של כל נכסי המידע (מערכות), תהליכים העבודה והממשקים.
התיעוד כולל פרטים אודות הנכס/מערכת, פירוט המידע המאוחסן בנכס. כמו כן, נקבעו שני גורמים מהארגון האחראיים על הנכס; מנהל סיכון ומנהל המערכת, שהם שונים אחד משני ברמה התפעולית וברמת קבלת הסיכון.
● בסולם של 1-5 חילקנו מדדי הערכה לכל נכס על ידי הפרמטרים הבאים:
• הסתברות לסיכון.
•  עוצמת נזק – סודיות.
• עוצמת נזק – זמינות.
• עוצמת נזק – אמינות.
● התוצאה של המדדים נתנה לנו תמונת מצב לרמת הסיכון הכללית של כל נכס/מערכת. כפי שמוצג בדוגמה הבאה:

ניתן נראות סיווג של כלל נכסי הארגון כולל תהליכים וממשקים  אותם סקרנו, ומכן ניתן להסיק מה הן המערכות הקריטיות ומה הן המערכות הפחות קריטיות. בדוגמה המצורפת בטבלה הימנית, ניתן לראות שישנה מערכת אחת (באדום) עם חומרת נזק גבוהה והסתברות לסיכון גבוה – מערכת כזו צריכה לקבל תשומת לב גבוהה, שלוש מערכות "נזק בינוני" חומרת נזק גבוהה וכדומה.

לאחר סקירה מפורטת, כעת כשיש ברשותנו ריכוז של ניהול סיכונים לכל אחד מהנכסים, תהליכים וממשקים, אנו יכולים לקבוע מדיניות אחידה לטיפול בכל רמת סיכון שהיא.

לדוגמה, ביצוע סקר סיכונים, מבדקי PT, מבחני חדירה, הגנה והצפנת בסיסי נתונים למערכות קריטיות וכדומה.

כתוצאה מכך, תהליך זה מקנה למנמ"ר כלים נוספים לקבלת תקציבים לשמירה על רמת שירות גבוהה בפן המחשוב ומערכות המידע, ומחייב את ההנהלה לשאוף לשיפור תמידי.

ת"י 20001ISO – טכנולוגיות מידע (IT) – מערכות ניהול שירות.

התקן מרכז את תפקידה של אגף מערכות מידע בארגון לספק שירות איכותי, התומך בליבה העסקית של הלקוחות הפנימיים ושל הלקוחות החיצוניים.

● רובנו עוסקים במתן שירות לגורמים שונים בארגון ומחוצה לו, ולא פעם הזדמן לנו לשמוע בשיחת מסדרון תלונה של עובד בחברה על טיפול מרושל בפניה שפתח לצוות המחשוב. השאלה היא מה אנו כמנהלי מערכות מידע עושים כדי לתת שירותי IT אפקטיביים ויעילים יותר, במטרה לשפר את שירותי החברה כלפי לקוחותיה.

● כפי שהזכרתי בנושא הקודם, ביומיום אנו עוסקים בניהול מגוון רחב של סיכונים תפעוליים, חיצוניים, פנימיים וכו', חשוב לנהל את הסיכונים ולתעד אירועים באמצעות תחקירי אירוע כדי לצמצם את החשיפה לסיכונים, על בסיס הידע והניסיון המצטבר.

● הערכת איכות השירותים המסופקים על ידי אגף מערכות מידע הן באמצעות סקר שביעות רצון או באמצעות מבדק פנימי על ידי גורם בלתי תלוי.

● עלינו לבצע הערכת ספקים חיצוניים אותם בחרנו לצורך מתן שירותים עבור החברה, האם הם עומדים בהסכמים החוזיים עימם חתמנו, האם הם עומדים בהתחייבויות אמנת השירות (SLA) לה התחייבו.

● אחת לשנה נערוך "הערכת ספק" על פי קריטריונים שקבענו מראש, ובמידה ונזהה ירידה ברמת השירות, נפעל באסקלציה מול הגורמים אצל ספק השירות. במקרים בהם נזהה מגמה של חוסר שביעות רצון מספק או אי-עמידה בהתחייבויות נפעל להחליפו, התהליך שביצענו יסייע לנו בתהליך שימוע לספק.

לסיכום:
● השימוש בתקנים בתחום מערכות מידע, מסייע למנמ"ר במהלך פרויקטים או בשינוי ארגוני כזה או אחר. על מנת להצליח יש צורך בשותפות ובמחויבות של ההנהלה בתהליך. באמצעות יישום תקני ISO המנמ"ר משיג מחויבות הנהלה, יכול להוביל להכנסת מערכות וטכנולוגיות שונות, שינוי ושיפור תהליכים, תקציבים ואפילו להוספת תקנים.
● שיח כמו "יהיה בסדר", "אין מה לדאוג", "סמוך עלי", יוחלף במושגים כמו תיעוד, תחקור אירועים, פעולות מתקנות ומונעות אשר בסופו של דבר יביאו ליצירת מתודולוגיה מסודרת הכוללת נהלי עבודה בארגון.
● תהליך זה יוביל בסופו של דבר גם לשיפור האיכות. איכות השירות עבור משתמשי החברה, לקוחות החברה וספקי השירות (תוכנה/חומרה) החתומים באמצעות הסכמים עם החברה ולא תמיד עומדי בהסכמי השירות SLA עליהם התחייבו.

הכותב הינו מנהל מערכות מידע, החברה למשק וכלכלה.