מתפרסם מאז שנת 1999
רשות התקשוב הממשלתי: עקרונות לניהול סיכוני תקשוב במשרדי הממשלה
רשות התקשוב הממשלתי במשרד ראש הממשלה פירסמה את מסמך העקרונות לניהול סיכוני תקשוב במשרדי הממשלה.
■ מטרות המסמך הן:
- לקבוע עקרונות יסוד ומתודולוגיה סדורה לניהול סיכוני תקשוב ביחידות מונחות רשות התקשוב הממשלתי.
- לספק כלים ניהוליים למנמ”רים ולמנהלי סיכוני התקשוב במשרדים להטמעת התהליך ולניהול שוטף של סיכוני התקשוב.
- לספק הנחיות לניהול סיכונים בתחומי התקשוב, לרבות סיכוני פרויקטים, סיכונים תפעוליים וסיכוני מערכות מידע.
- לקבוע סמכויות ותחומי האחריות במסגרת תהליך ניהול סיכוני התקשוב.
מחבר המסמך יהודה אופיר מנהל אגף בכיר משילות בקרה ושקיפות (ITG) ברשות התקשוב הממשלתי מציין כי “מסמך זה מהווה מסמך מדיניות ותקן ממשלתי, ועל כן תוכנו מחייב את קהל היעד“.
■ המסמך מופנה אל מנהלים ברשות התקשוב הממשלתי; מנהל סיכוני תקשוב ראשי במטה רשות התקשוב הממשלתי; מנהלי היחידות ומנהלי סיכוני תקשוב ביחידות מונחות רשות התקשוב הממשלתי.
“מדיניות רשות התקשוב הממשלתי בעניין ניהול סיכוני תקשוב מתבססת על החלטת הממשלה מס’ 2097, מיום 10 באוקטובר 2014, על פי הסעיפים שפורטו לעיל בסעיף 1 ועל הוראת תכ”מ מס’ 5.2.1 ‘עקרונות לניהול סיכונים תפעוליים במשרדי הממשלה’ אשר פורסמה ע”י החשב הכללי ומספקת בסיס למתודולוגיית רשות התקשוב הממשלתי.
“תהליך ניהול סיכוני תקשוב במשרדי ממשלה יתבצע, כמו בממשלות רבות בעולם, כחלק מיישום ממשל תאגידי ובהתבסס על מתודולוגית ניהול סיכונים של מודל Committee Of Sponsoring Organization, COSO וניהול סיכוני מערכות מידע במסגרת מודל Control Objectives for IT & Related Technologies, COBIT. משרדים ממשלתיים חשופים לסיכונים מגוונים אשר התממשותם עלולה לגרום לפגיעה ביעדיהם ולסוגים שונים של נזקים הן ברמת המשרד והן ברמת הממשלה כולה.
“המידע והטכנולוגיה התומכים בניהול המשרדים הינם משאבים חיוניים וקריטיים להנעה והצלחה של התהליכים והפעילויות הממשלתיות ועל כן ניהול סיכוני תקשוב מהווה נדבך חשוב, הן בניהול אגף מערכות מידע ממשלתי והן בניהול הסיכונים התפעוליים של משרדי ממשלה.
“התהליך יתבצע באגפי מערכות המידע תוך שימוש בכלים ומתודולוגיה שיסופקו על ידי רשות התקשוב הממשלתי. שימוש במתודולוגיה אחידה יאפשר למנהלי מערכות מידע, מנקודת מבט ניהול הסיכונים, לאתר כשלים הקשורים במגוון תהליכים כגון אבטחת מידע, ניהול פרויקטים ותחזוקת מערכות ותשתיות. בהתאם יוכלו מנהלי מערכות המידע לתעדף את הטיפול בסיכונים על פי חשיבותם, לפעול למזעור הסיכונים ולהקצות את המשאבים הקיימים בצורה אפקטיבית.
“רשות התקשוב הממשלתי תנחה ותוודא ביצוע תהליך של הפקת לקחים ושיתוף ידע וניסיון בין המשרדים השונים, הן לגבי הסיכונים והן לגבי דרכי הטיפול בהם. רשות התקשוב הממשלתי תפעל לזהות ולמפות סיכוני רוחב ולרכז תכנית טיפול ברמה ממשלתית.
■ מטרות תהליך ניהול סיכוני התקשוב: תמיכה בהשגת יעדי המשרד ויעדי מנהלי מערכות המידע במשרדי ממשלה תוך מזעור הנזקים העלולים להיגרם כתוצאה מהתממשות הסיכונים; תיעדוף והקצאה אפקטיבית של משאבים; מתן מענה לשינויים החלים בסביבת הפעילות של המשרד ע”י יצירת תהליך דינמי לניהול סיכונים בתחום התקשוב; מתן כלים אפקטיביים למזעור הסיכונים המהותיים ולהתמודדות עם התממשותם; יצירת כלים ניהוליים המאפשרים תהליך ניהול סיכונים אפקטיבי הכולל תהליכי הערכת הסיכונים, הערכת התגובות הקיימות ויישום התגובות המומלצות; מיפוי סיכונים ייעודיים בתחומי אבטחת מידע, ניהול פרויקטים ותחזוקת מערכות ותשתיות; מיפוי סיכוני רוחב שזוהו במספר משרדים ומתן מענה רוחבי לטיפול בסיכונים אלו.
■ סוגי סיכוני תקשוב:
+ סיכוני תקשוב תפעוליים – באגף מערכות מידע במשרד ממשלתי יש לבצע הליך ניהול סיכונים תפעולי, בדגש על נושאי ליבה, כגון תחזוקת מערכות ותשתיות.
+ סיכוני תקשוב פרוייקטלים – ניהול סיכונים הינו חלק בלתי נפרד מפרויקט תקשוב החל משלב הייזום ועד שלב המעבר לתחזוקה שוטפת. ניהול סיכונים לפרויקט נועד לזהות אירועי כשל העלולים לפגוע בהשגת מטרות הפרויקט ומסייע לביצוע יעיל ואפקטיבי של פרויקט תקשוב. ניהול סיכונים יכול להכריע בקבלת החלטות מהותיות בדבר המשכיות הפרויקט, התקדמות הפרויקט וניהול משאבים בפרויקט. בסקר סיכונים פרויקטלי יש למפות כבר בשלב תכנון הפרויקט סיכונים הקשורים להמשך תפעול מערכת המידע.
+ סיכוני תקשוב במערכת מידע – הליך ניהול סיכונים המתמקד באופיין המיוחד של מערכות מידע מהותיות בארגון ובתהליכים העיסקיים בהם הן תומכות. ניהול הסיכונים יתמקד בנושאים כגון דיוק ושלמות הנתונים בממשקים, ניהול הרשאות, תשתיות, תמיכת ספקי חוץ ועוד.
+ סיכוני אבטחת מידע.
■ תפקיד מנהל סיכוני תקשוב ראשי ברשות התקשוב הממשלתי: בהחלטת הממשלה מס’ 2097, מיום 10 אוקטובר 2014 הוגדר כי תפקידי מנהל סיכוני תקשוב ראשי יהיו: הנחיית מנהלי סיכוני התקשוב באגפי מערכות המידע וסיוע בהטמעת המתודולוגיה הממשלתית. מתן סיוע למשרדי הממשלה ויחידות הסמך בביצוע סקרי סיכוני תקשוב וביישום תכניות להפחתת הסיכונים. הסיוע יינתן באמצעות שימוש בכלים הטכנולוגיים הממשלתיים ועריכת הכשרות והדרכות בתחום. אחראי על ריכוז תמונת מצב ממשלתית בדבר סיכוני התקשוב וייזום פעילות רוחבית להפחתתה.
■ תפקיד מנהל סיכוני התקשוב המשרדי: מעקב ופיקוח אחר פעילות תקינה של תהליך ניהול הסיכונים במשרד. ווידוא שיתוף פעולה של הגורמים המקצועיים באגף מערכות המידע בתהליך ניהול סיכוני התקשוב הכולל: ביצוע סקרי סיכונים, עדכון מערכת ניהול הסיכונים ודיווחים שוטפים על יישום תוכניות טיפול בסיכונים ואירועי כשל. מינוי בעלי סיכון האחראיים על תחומים מקצועיים בסקר הסיכונים. סקירה ואישור של תוצרי סקרי הסיכונים, השינויים במפת סיכוני התקשוב המשרדית לאורך זמן ותוכניות לטיפול בסיכונים. גיבוש המלצות לתעדוף יישום התכנית לטיפול בסיכוני התקשוב, קביעת לוחות זמנים ובהתאם הקצאת המשאבים הנדרשים. דיון בדבר התקדמות יישום של תכנית הטיפול וחסמים לביצוע התוכנית. דיווח להנהלת המשרד ולמנהל סיכוני תקשוב ברשות התקשוב הממשלתי על ממצאי סקר הסיכונים, הסיכונים המהותיים והתקדמות ביצוע תכניות הטיפול.