
1. תהליכי SOX ותהליכי ISOX
> תיעוד תהליכים בתחום טכנולוגיות המידע ואבטחת מידע.
> בניית קטלוג בקרות לתחומים: אבטחת מידע (לוגית ופיסית), פיתוח, ניהול שינויים ותפעול מערכות.
> בניית מטריצת סיכונים ובקרות – RACM-Risk And Control Matrix.
> מיפוי פערים ובניית תכניות עבודה לתיקונם.
> ביצוע בדיקות (Testing) למדידת אפקטיביות הבקרות - דוגמא לטופס בדיקת אפקטיביות בקרות ITGC
* התאמת קטלוג בקרות לסביבת SOX עבור הגופים המוסדיים בהתאמה
לדרישות ההוראה לניהול אבטחת המידע של הגופים המוסדיים (257).
* התאמת קטלוג בקרות ממוקד לדרישות הרשות לניירות ערך - ISOX עבור
מערכות/תהליכים שהוגדרו כקריטיים לדיווח והגילוי.
2. סקרי ציות
- בדיקת התאמת הציות לדרישות:
> הוראה לניהול אבטחת מידע של הגופים המוסדיים - 257.
> נוהל בנקאי תקין (נב"ת) 357 החל על הבנקים.
> הוראה לניהול טכנולוגיות המידע של הגופים המוסדיים.
> ניהול טכנולוגיות המידע מטעם הבורסה.
> חוק הגנת הפרטיות - ניהול מאגרי מידע.
> יישום הוראות ארגוניות כמדיניות ונהלים, הנחיות דירקטוריון וכדומה.
3. המשכיות עסקית / חוסן ארגוני
- מידת המוכנות העסקית להמשכיות:
> מיפוי ותיעוד תהליכים קריטיים, תשתיות ומערכות.
> בצוע הערכה ובחינה עסקית לקביעת ההשפעה האפשרית מהתרחשות אירוע כשל - BIA-Business Impact Analysis.
> הגדרת זמני השבתה מקובלים ומידת עדכניות המידע אליה הארגון מעוניין לחזור במסגרת התאוששות.
> התאמת תכנית המשכיות עסקית (BCP) לרמת הארגון ולרמת היחידות העסקיות השונות.
> תרגול תהליכי המשכיות עסקית.
4. ניהול אבטחת מידע
- התאמת בקרות ותהליכי אבטחת מידע:
> הגדרת תהליך אישור ובקרה של מסמכים פורמאליים כמדיניות ונהלים.
> הגדרת תהליך הענקת הרשאות ופתיחת משתמשים במערכות שונות.
> הגדרת תהליך הוצאת מידע רגיש אל מחוץ לחצרות הארגון.
> הגדרת תהליך סיווג והערכת נכסי מידע.
> הגדרת תהליך אבטחת מידע בטיפול במשאב האנושי משלב המיון-גיוס-עזיבה.
> הגדרת תהליך ניהול שינויים במערכות.
> הגדרת תהליך הוצאת מידע לגורמים צד ג' ושמירה על סודיות המידע.
> הגדרת תהליך העברת מידע בין סביבות שונות.
> הגדרת תהליך הכנסת מערכת חדשה ועוד..
ציות ורגולציה
הפיקוח על פעילות חברות ציבוריות/פרטיות מבוצע לרוב בדרך של חקיקה/הוראה הנקבעת על ידי הרגולטורים השונים (כגון: המפקח על הבנקים-נב"ת 357, הממונה על אגף שוק ההון והחסכון באוצר-257/ניהול טכנולוגיות מידע/SOX, הבורסה לניירות ערך בתל-אביב-ניהול טכנולוגיות מידע, הרשות לניירות ערך-ISOX ועוד).
על מנת לעמוד בדרישות הרבות ולציית למגוון ההוראות הארגונים נדרשים להתאים תהליכי עבודה ולהקצות משאבים בהתאמה (רכש, כוח אדם, הכשרה הדרכה ועוד).