מתפרסם מאז שנת 1999
מטה התקשוב הממשלתי: ייערכו סקרי סיכוני IT במשרדי הממשלה וביחידותיה
מטה התקשוב הממשלתי פירסם הודעה למנמ”רים בכל משרדי הממשלה בה נאמר כי ניהול סיכוני IT הנו חלק מתהליך ניהול סיכונים תפעוליים בממשלת ישראל ומתבצע בהובלת אגף התקשוב הממשלתי. כחלק מתהליך זה יתבצע תהליך מיפוי ואיתור נכסי IT, תהליכי IT ופרוייקטי IT אסטרטגיים, וניתוח השפעתם על התהליכים העסקיים בחטיבת המערכות והשירותים הרוחביים (יחידות ממשל זמין ומרכב”ה) ובמשרדי הממשלה”.
“במסגרת תהליך ניהול סיכוני IT יופעלו סקרי סיכוני IT במשרדי הממשלה וביחידותיה, בהתאם למתודולוגיה המתפרסמת בהנחיות אלו. סקרי הסיכונים יתבצעו במשרדי הממשלה בהתאם למתכונת וללוחות זמנים שייקבעו על-ידי אגף התקשוב הממשלתי”.
הוראת השעה שפירסם מטה התקשוב הממשלתי [הנחייה מספר 8.9.1, בנושא “ניהול סיכוני – IT – בנק הסיכונים”] קובעת ומעגנת הנחיות מחייבות לפעילות הנדרשת על-ידי אגפי מערכות המידע במשרדי הממשלה ולוחות זמנים מחייבים לביצוע הסקרים והעברת מידע על סיכונים ותוכניות הפחתה לאגף התקשוב הממשלתי.
המתודולוגיה לניהול סיכוני IT אשר תיושם במשרדי הממשלה מותאמת למערכת SAP GRC, ותהליך ניהול הסיכונים יתבצע בעתיד באמצעות מערכת זו. מערכת SAP GRC, שתוטמע בהדרגה במשרדי הממשלה במודול RM (Risk Management) תאפשר לכל משרד לנהל את סיכוניו ומבקביל תאפשר לאגף התקשוב הממשלתי לנהל סיכונים רוחביים (סיכונים הגלומים בתשתיות IT ובתהליכי IT רוחביים) ולנתח סיכונים אסטרטגיים במשרדי הממשלה השונים, ואת תוכניות ההפחתה שלהם.
עוד נאמר בהודעה כי כחלק מהטמעת המתודולוגיה יבוצעו במשרדי הממשלה סקרי סיכוני IT. בשלב הראשון יבוצעו הסקרים באמצעות חברות חיצוניות וזאת תוך שימוש במתודולוגיה לניהול סיכוני IT.
משרדי הממשלה צריכים לסקור את בנק הסיכונים הנמצא כנספח להנחיית המת”ם 8.9.1, ולהעביר – עד ה- 28 בפברואר 2014 – לרווית זילברפרב מיחידת ניהול סיכוני IT באגף התקשוב הממשלתי רשימה של 3-5 סיכונים המוגדרים כמשמעותיים ונטולי בקרה אפקטיבית.
בחירת הסיכונים המשמעותיים תבוצע בהסתמך על הקריטריונים הבאים: נושא הסיכון הינו בעל חשיבות גבוהה; הנזק שייגרם אם הסיכון יתממש גדול; לצורך יישום בקרה אפקטיבית למזעור הסיכון דרוש תקציב גבוה שלא קיים כרגע או יידרש זמן רב ליישום הבקרה; לסיכון השפעות רוחביות משמעותיות בתחום המשאב האנושי.
בנוסף יעבירו מנהלי אגפי מערכות המידע לאגף התקשוב הממשלתי שמות אחראים מטעמם לנושא ניהול סיכוני IT ביחידותיהם.
עד ה- 28 במארס 2014 יפרסם אגף התקשוב הממשלתי תוכנית תלת-שלבית לעריכת סקרי סיכוניIT מפורטים במשרדי הממשלה. בשלב הראשון יבוצעו סקרי סיכוני IT בחמישה משרדי ממשלה ראשונים ובשלב השני – יבוצעו סקרי סיכוני IT בחמישה משרדי ממשלה נוספים.
עד ה- 30 באוקטובר 2014 יעבד אגף התקשוב הממשלתי את תוצאות סקרי סיכוני IT בחמישה המשרדים הראשונים ויפרסם את הממצאים ואת תוכניות העבודה הנגזרות למשרדים הרלוונטיים. תוצאות סקרי סיכוני IT בקבוצה השנייה של חמישה משרדי ממשלה נוספים יעובדו עד ה- 31 באפריל 2015.