תקציר תקן אתרים עיסקיים

 

תוכן עניינים

 

כללי

הניהול התפעולי וניהול האיכות

אבטחת מידע

סקירה כללית - תקן לאתרים עיסקיים מקוונים

 

 

פרק ראשון: כללי

 

התקן מציג את הדרישות הטכניות והניהוליות ממערכת ניהול איכות -ואבטחת מידע של אתר עסקי מקוון ב-web. להלן "האתר".

הדרישות מבוססות חלקית על התקנים:

·        9000:2000 ISO.

·        ת"י 7799.

·       דרישות טכניות נוספות הנגזרות מהדרישות של ארגון האיכות הבנלאומי IQNET, הדרישות המומלצות על ידי המועצה הישראלית לצרכנות, דרישות החוק במדינת ישראל, והניסיון המצטבר בעולם בתחום זה.

 

     ארגון המפעיל אתר מקוון עסקי ב- web  אמור לקיים מערכת ניהול איכות ואבטחת מידע,  שמטרתה  להגביר את  שביעות רצון הלקוח ע"י עמידה בדרישותיו וציפיותיו. כדי לממש מטרה זו על הארגון לנהל מספר פעילויות שיעודן:

להבטיח את הגינות האתר.

להבטיח את עמידתו בדרישות הלקוח והחוק.

להבטיח את חסיון המידע של הלקוח.

להבטיח את הדיוק והשלמות של המידע ושל שיטות עיבודו.

להבטיח את זמינות האתר.

 

התקן מהווה בסיס להכנת מערכת נהלים והקמת מערכת ניהול איכות ואבטחת מידע האמור לאפשר לאתר לעמוד ביעדים הנ"ל.
התקן  מציג את הדרישות ממערכת האיכות, מערכת ניהול אבטחת המידע וכן דרישות מהמערכת הטכנולוגית ומממשק המשתמש.

 

     דרישות התקן המובאות להלן מתחלקות לשלושה פרקים:
פרק ניהולי – ניהול מערכת איכות.
פרק אבטחת המידע – ניהול ויישום מערכת אבטחת המידע באתר.
פרק ממשק המשתמש והדרישות הטכנולוגיות.

 

  תקן זה יכול לשמש גורמים פנימיים וחיצוניים, לרבות גופי התעדה, בבואם להעריך את יכולת האתר לעמוד בדרישות הלקוח, בדרישות תחיקתיות ובדרישותיו שלו.

 

   אתר, שיקים מערכת הבטחת איכות ואבטחת מידע ויקבל אישור לעמידה בדרישות התקן יתחייב להפעיל את המערכת בכל עת באתר.

 

1.   פרק ממשק המשתמש

בפרק זה מוצגים הכללים והמסגרת בהם מחויב מפעיל האתר לחשוף את מדיניות הפעילות העסקית ואת כל הפרטים הרלוונטיים למימוש העיסקה  מול  לקוחותיו, והאופן בו יש לקחת בחשבון שיקולי עיצוב ועריכה של האתר בכדי שיעמוד בדרישות.

 

1.1   הצגת נתונים ומדיניות באתר העסקי.

 

1.1.1       זיהוי ספק השירות.

 

ספק השרות צריך להיות מזוהה באופן מפורט שיאפשר ללקוחות ולמשתמשים להתייחס באופן מפורט למפעיל האתר וליהנות מנגישות מקסימלית לישות העסקית. הפרטים המזהים צריכים להופיע במקום בולט.

 

הנתונים כוללים:

 

·        שם

·        כתובת העסק

·        השם המשפטי

·        מספר רשיון חברה

·        השם לפיו העסק מנוהל

·        כתובת פיזית עיקרית לאיתור

·        טלפון

·        פקס

·        דואר אלקטרוני

1.1.2     נתונים מפורטים אודות המוצר או השרות. לכל מוצר או שרות המוצגים באתר חייב להיות מצורף תאור מפורט וממצה של השרות/מוצר באופן שיאפשר למשתמש/לקוח להחליט על הרכישה באופן שכל נתוני ההחלטה מוצגים בפניו, כולל:

·        שם המוצר (+קטגוריה אם רלוונטי)

·        שם היצרן (מוצר יבוא יוצג גם בשפת המקור).

·        מספר הדגם

·        מידות ומשקל

·        תנאי שימוש מיוחדים

·        הערות מיוחדות לגבי שימוש

·        אזהרות לגבי בטיחות המוצר.

·        תקני בטיחות ובריאות בהם המוצר עומד.

·        תמונה (באם רלוונטי)

1.1.3     נתונים לגבי המחיר ותנאי התשלום

·        הצגת מחיר (כולל מע"מ)

·        ופרוט עלויות נלוות ( מסים, דמי משלוח)

·        תנאי תשלום (זמן חיוב, תשלומים)

 

1.1.4     חלות ותנאי העסקה – תנאי העיסקה (תקנון) יוצגו בפני הרוכש לפני ביצוע העיסקה.

·        תוקף העסקה.

·        פרוט אחריות על הנכס או השרות.

·        מדיניות ביטול העסקה: החזרים והחלפה.

·        זכות הצרכן לבטל העסקה לפי חוק.

·        הדרך לפניה בנושא מימוש האחריות.

·        מדיניות החזרים או החלפה (החזר כספי או זיכוי).

·        פרק הזמן בו ניתן להחזיר ללא דמי ביטול, והדרך למימוש.

·        פגם או אי התאמה - החזר מלא.

·        סיבה אחרת (5% או 100 ש"ח אם תוך שבועיים).

·        הפצה ומסירה.

·        זמן יעד ברור להפצה.

·        במקרה של חילוקי דעות יופעל מנגנון ברור ע"י גוף חוץ משפטי, כפי שתנחה המועצה לצרכנות.

 

1.1.5     הצגת מנגנון הגשת תלונה

האתר יפרט את הפרוצדורה בה לקוח או משתמש יכולים להתלונן, כולל:

·        כתובת פיזית, טלפון, דואר אלקטרוני

·        שעות פעילות במשרד

·        מחויבות לזמן תגובה

·        האמצעי בה תועבר התגובה

 

1.1.6     הצגת מדיניות שמירת פרטיות

הנושאים המפורטים לעיל יוצגו באתר העסקי ויקויימו.

·      בעל האתר יתחייב להימנע מהעברה של המידע הפרטי של לקוחותיו מרשותו לכל גורם אחר, אלא אם כן קיבל רשות בכתב מן הלקוח להעביר את המידע לאדם מסוים.

·        האתר יוכל לפנות אל הצרכן לצורך משלוח דואר אליו או לכל צורך אחר (שאינו קשור לעסקה) אך ורק אם הלקוח  ציין בצורה מפורשת את נכונותו לקבל פניות כאלו.

·        תוצג מדיניות השימוש ב"עוגיות".

 

1.1.7     הצגת מדיניות אבטחת מידע

האתר יציין את מדיניות אבטחת המידע הנוגעים ל: חיסיון, שלמות וזמינות הנתונים.

 

1.1.8     שימושיות

·        המידע בתקנון/מדיניות יוצג בצורה ברורה, קלה להתמצאות ובגודל סביר.

·        הצרכן יוכל לשמור כל מידע המופיע באתר (הדפסה או שמירה בדיסק הקשיח שלו).

·        אם רלוונטי המידע צריך להיות מוצג במספר שפות.

·        יתאפשר ללקוח לבדוק את כל רכיבי ההזמנה לפני שההזמנה נשלחת לביצוע.

·        אפשרות נסיגה מהאתר מבלי לבצע שום הזמנה.

·        לא תהיה פגיעה בפונקציות דפדפן או מערכת ההפעלה של המשתמש.

 

1.2          אתיקה

1.2.1     פרסום אמין ומדויק

הפרסומים המופיעים באתר בין פרסומים כלליים ובין פרסום הקשור למוצר/שרות מסויימים צריך להיות מדויק וללא הטעיה של ציבור המשתמשים.

·        מפעיל האתר יספק הוכחה לנכונות הטענות המופיעות בו  לפי בקשת הלקוח.

·        כל פרסום מסחרי צריך להיות מוצג כפרסום  ולא כעובדה טכנית או מוחשית.

·        אם מוצגת השוואת מחירים יפורסמו הפרטים הבאים של הפריט המושווה: אזור, תאריך.

 

1.2.2     חוקים

תוצג זכותו של הצרכן להיות מוגן על ידי החוק במדינה בה הוא נמצא.

 

1.2.3     הגנה על ילדים

האתר באמצעות עיצובו, תכניו, קישוריו ומוצריו יופעל במסגרת חוק הגנת הצרכן סעיף 7הדן בדרכי שיווק המכוונים לקטינים.

·        קטין לא יוכל לבצע הזמנה אלא באמצעות הורה (דרוש מנגנון של אישור הורה).

·        האתר לא יפנה קישורים ישירים לתכנים בעלי אופי האסור לחשיפה לקטינים.

 

 

בכל האמור להלן, התקן מתייחס לתהליכי ניהול איכות ואבטחת מידע הנוגעים לאתר ולשרות שהוא מספק.

 

2.            הפרק הניהול התפעולי וניהול האיכות:

2.0                מבוא

 

2.0.1                כללי
הפרק מתייחס בעיקר לנושא ניהול האיכות של האתר וכוונתו לפרט את הדרישות הנוגעות לאיכות האתר והשרות שהוא מתחייב לתת ללקוח. ואופי התפעול של רכיבי המסחר האלקטרוני באתר. רצוי שהאימוץ של מערכת ניהול איכות, יהיה החלטה אסטרטגית של הארגון מפעיל האתר. המימוש של מערכת ניהול איכות של האתר מושפעים  ממטרות ייחודיות, מהמוצרים והשרות המסופקים, מהתהליכים המופעלים ומגודלו ומבנהו של האתר. אין כוונתו של תקן  זה לקבוע אחידות מבנה של מערכות ניהול איכות, או אחידות של תיעוד. הדרישות למערכת ניהול איכות המפורטות בנוהל מת"י זה מתבססות על התקן הבין לאומי 9001:2000 ISO.

 

2.0.2     תחום התקן

2.0.2.1            כללי

תקן זה קובע דרישות למערכת ניהול איכות, כאשר ארגון:

I)         צריך להוכיח את יכולתו לספק באופן עקבי מוצר או שרות העומד בדרישות הלקוח  ובדרישות תחיקתיות ישימות.

ב)    חותר להגביר את שביעות רצון הלקוח באמצעות יישום אפקטיבי של המערכת, יישום תהליכים לשיפור מתמיד של המערכת, ובאמצעות הבטחת התאמה ^(ה) (conformity).

 

הערה:  כאשר מוזכר "מוצר" הכוונה למוצר המסופק כחלק מהשירות שהאתר מספק. המונח "מוצר" מתייחס למוצר המיועד ללקוח או נדרש על ידו.

2.1                מערכת ניהול איכות

 

2.1.1                    דרישות כלליות
הארגון יקים, יתעד, יממש, ויתחזק מערכת ניהול איכות בהתאמה לדרישות תקן זה וישפר בהתמדה את האפקטיביות שלה. הארגון יקים ויפעיל  נהלי תפעול ותחזוקה .
הארגון:

א.      יזהה את התהליכים הדרושים למערכת ניהול האיכות ולתפעול האתר וליישומם.

ב.       יקבע את רצף התהליכים ואת יחסי הגומלין ביניהם.

ג.       יקבע קריטריונים ושיטות הנחוצים להבטיח, שהן התפעול והן הבקרה של תהליכים אלה הם אפקטיביים.

ד.       יבטיח את זמינות המשאבים והמידע הנחוצים לתמיכה בתפעול וניטור של תהליכים

ה.      ינטר, ימדוד וינתח תהליכים אלה.

ו.        יממש פעולות נחוצות להשגת התוצאות שתוכננו ולשיפור מתמיד  של תהליכים אלה.
ז.      הארגון ינהל תהליכים אלה בהתאם לדרישות נוהל מת"י ת.ת 7799 זה.

 

2.1.2                     דרישות תיעוד

התיעוד של מערכת ניהול האיכות יכלול:

א.      הצהרות מתועדות של מדיניות האיכות ומטרות האיכות.

ב.       מדריך איכות.

ג.       נהלים מתועדים הנדרשים בתקן זה.

ד.       מסמכים הנדרשים על ידי הארגון מפעיל האתר כדי להבטיח תכנון, תפעול ובקרה אפקטיביים של תהליכיו הנוגעים לאתר.

 

הערה:

היקף התיעוד של מערכת ניהול האיכות יכול להשתנות מארגון לארגון לפי:

א.      גודל הארגון וסוג פעילויותיו.

ב.       מורכבות התהליכים ויחסי הגומלין ביניהם:

ג.       כישורי העובדים.

 

2.1.3       מדריך איכות

הארגון יכין ויתחזק מדריך איכות אשר יכלול את:

א.     תחום מערכת ניהול האיכות העונה על צרכי תפעול האתר העסקי.

ב.     הנהלים המתועדים שנקבעו עבור מערכת ניהול האיכות או הפניות אליהם.

ג.      תיאור יחסי הגומלין בין התהליכים של מערכת ניהול האיכות.

 

2.2                אחריות הנהלה

2.2.1       מחויבות הנהלה

ההנהלה הבכירה תספק ראיה למחויבותה לפיתוח ולמימוש מערכת ניהול האיכות במסגרת תפעול האתר העסקי ולשיפור המתמיד של האפקטיביות שלה, על ידי:

א.      העברת מסר למסגרת המפעילה את האתר העסקי לגבי חשיבות העמידה בדרישות הלקוח וכן בדרישות על פי דין.

ב.       קביעת מדיניות האיכות מתועדת.

ג.       הבטחת קביעתן של מטרות איכות.

ד.       ניהול סקרי הנהלה.

ה.      הבטחת זמינותם של משאבים.

 

התמקדות בלקוח

ההנהלה הבכירה תבטיח כי דרישות הלקוח נקבעו ומולאו במטרה להגביר את שביעות רצונו במהלך התקשרותו האינפורמטיבית והעסקית עם מפעיל האתר.

מדיניות איכות

ההנהלה הבכירה תבטיח כי מדיניות האיכות:

א.      מתאימה לייעוד האתר.

ב.       כוללת מחויבות לעמידה בדרישות ולשיפור מתמיד של אפקטיביות מערכת ניהול האיכות.

ג.       מספקת מסגרת לקביעה ולסקירה של מטרות איכות.

ד.       מופצת ומובנת בתוך הארגון.

ה.      נסקרת להמשך התאמה.

 

2.2.2       אחריות, סמכות ותקשורת

 

אחריות וסמכות

ההנהלה הבכירה תבטיח כי אחרויות וסמכויות מוגדרות ומופצות בתוך הארגון.

2.2.3 נציג הנהלה
ההנהלה הבכירה תמנה חבר הנהלה אשר ללא קשר לתחומי אחריותו האחרים, יהיה בעל אחריות וסמכות שיכללו:

א.       הבטחה שהתהליכים הנחוצים למערכת ניהול האיכות נקבעים, ממומשים ומתוחזקים.
ב.       דיווח להנהלה הבכירה על ביצועי מערכת ניהול האיכות, ועל כל צורך בשיפור.

ג.        הבטחת קידום המודעות לדרישות הלקוח במסגרת התקשרותו עם האתר העסקי.

הערה:
אחריותו של נציג ההנהלה יכולה לכלול קישור עם גורמים חיצוניים בעניינים הקשורים במערכת ניהול האיכות.

תקשורת פנימית
ההנהלה הבכירה תבטיח כי נקבעים תהליכי תקשורת נאותים בתוך הארגון, וכי מתקיימת תקשורת לגבי האפקטיביות של מערכת ניהול האיכות.

 

סקר הנהלה

כללי
ההנהלה הבכירה תסקור את מערכת ניהול האיכות של האתר, במרווחי זמן מתוכננים, כדי להבטיח כי נשמרת רציפות ההתאמה, הנאותוּת והאפקטיביות שלה. סקר זה יכלול הערכת הזדמנויות לשיפור והערכת הצורך בשינויים במערכת ניהול האיכות, לרבות מדיניות האיכות ומטרות האיכות.
 

תשומות סקר

התשומות לסקר הנהלה יכללו מידע על אודות:

א.    תוצאות מבדקים.

ב.    משוב לקוחות.

ג.     ביצועי תהליך והתאמת השירות.

ד.    סטטוס הפעולות המונעות והמתקנות.

ה.    פעולות עוקבות מסקרי הנהלה קודמים.

ו.     שינויים העשויים להשפיע על מערכת ניהול האיכות.

ז.     המלצות לשיפור.

תפוקות סקר
התפוקות מסקר ההנהלה יכללו החלטות ופעולות לביצוע המתייחסות:
א.     לשיפור האפקטיביות של מערכת ניהול האיכות ותהליכיה.
ב.     לשיפור האתר ותפקודו בהקשר לדרישות הלקוח.
ג.      הצורך במשאבים.

 

2.3               מימוש השרות במסגרת תפעול האתר העיסקי

2.3.1               תכנון מימוש השרות
הארגון מפעיל האתר, יתכנן ויפתח את התהליכים הדרושים למימוש השרות שהאתר אמור לספק ללקוח. תכנון מימוש השרות יהיה עקבי עם דרישות התהליכים האחרים של מערכת ניהול האיכות (ראו 2.1.1).
בתכנון מימוש השרות, יקבע הארגון, לפי העניין, את:

א.    מטרות האיכות והדרישות לשרות.

ב.    הצורך בקביעת תהליכים, בהכנת מסמכים ובהספקת משאבים ספציפיים לשרות.

ג.     הפעילויות הדרושות לאימות, לניטור, לבחינה ולבדיקה הספציפיים לשרות ואת הקריטריונים לקבלת השרות.

ד.    במידה והשרות כולל הספקת טובין ללקוח: את דרישות האריזה, השימור, וההספקה. 

ה. התפוקה מתכנון זה תהיה בצורה שתתאים לשיטות הפעולה של הארגון.

 

2.3.2               תהליכים הקשורים ללקוח

קביעת דרישות הקשורות לשירות או למוצר הנמסר ללקוח בעקבות התקשרות עסקית עם האתר.
הארגון יקבע:

א.    דרישות המוגדרות על ידי הלקוח, לרבות הדרישות לפעילויות מסירה ולפעילויות שלאחר מסירה.

ב.    דרישות שלא נתבקשו על ידי הלקוח, אך נחוצות לשימוש מוגדר או לשימוש מיועד, אם ידוע.

ג.     דרישות תחיקתיות הקשורות לשירות או למוצר.

דרישות נוספות שנקבעו על ידי הארגון.

 

הערה: הדרישות שייקבעו צריכות להתאים למוצהר במדיניות/תקנון המוצגים באתר.

 

2.3.3                סקר דרישות הקשורות למוצר
הארגון יסקור את הדרישות הקשורות בשירות או במוצר. סקר זה יתקיים לפני שהארגון מתחייב לספֵּק את השרות או המוצר ללקוח (לדוגמה: הגשת הצעת מחיר, קבלת חוזים או הזמנות, קבלת שינויים לחוזים או הזמנות), ויבטיח כי:

א.      דרישות ההספקה, לוחות זמנים להספקה  השרות למוצר מוגדרות.

ב.       הנתונים המוצגים באתר נכונים.

ג.       הארגון מסוגל לעמוד בדרישות המוגדרות  המוצגות באתר.

תקשורת עם הלקוח
הארגון יקבע ויממש סידורים אפקטיביים לתקשורת עם הלקוח בנושאים אלה:

א.      מידע על אודות המוצר או השירות כפי שמפורט בנושא "הצגת אינפורמציה מספקת" בפרק "ממשק משתמש".

ב.       בירורים, טיפול בחוזים או הזמנות, לרבות עדכונים.

ג.       משוב לקוח, כולל טיפול בתלונות לקוח.

ד.       מידע אודות מפעיל האתר כפי שמפורט בפרק "ממשק משתמש".

 

2.3.4                דרישות הקשורות להתקשרות נכונה של מפעיל האתר עם הלקוח ומימוש נכון של העסקה.

א.        הזמנת הלקוח צריכה להיבדק מבחינת סבירותם לפני שיגורם לביצוע

ב.       מתן אפשרות לנסיגה מביצוע עסקה תוך כדי ביצועה.

ג.        מתן אינפורמציה ללקוח בכל שלב משלבי עיבוד ההזמנה, כולל:

·        וידוא הימצאות הפריט במלאי.

·        אישור הזמנה

·        צפי למועד הספקה.

·        שימוש במודל הזמנה תלת שלבי

 

2.3.4               אספקה ומשלוח טובין

מפעיל האתר ינהל את אספקת המוצרים ו/או השרותים ללקוחותיו באופן שיתאים להתחייביותיו כלפי הלקוחות והוראות דין. ינהל מערכת למשלוח טובין ויבקר חוסרים.

 

א.    שימוש במנגנון בקרה המוודא שהמוצר/שרות המסופק זהה למוצר/שרות המוזמן.

ב.    כאשר המוצר/שרות אינו זמין:

 

·        פרוצדורה המשקפת ללקוח את עובדת אי היכולת לספק.

·        במידה ומוצעת אלטרנטיבה, יהיה קיים מנגנון המאפשר ללקוח לקבל או לדחות אלטרנטיבה זו.

ג.     מערכת אמינה להספקת מוצרים מוזמנים בתוך לוח הזמנים המובטח.

ד.    מערכת למשלוח חשבונית.

 

2.4       מתן שירות
2.4.1 בקרה על מתן שירות
הארגון יתכנן ויבצע את מתן השירות בתנאים מבוקרים. תנאים מבוקרים יכללו את המפורט להלן ככל שיָשים:
א.    זמינות המידע המתאר את מאפייני המוצר או השרות.
ב.     זמינותן של הוראות העבודה, לפי הצורך.
ג.     השימוש באמצעי בקרה  מתאימים.

ד.     על פי המתחייב ממדיניות השרות בפרק "ממשק משתמש".

 

2.4.2 זיהוי ועקיבות
כאשר יש צורך, יזהה הארגון את המוצר או השרות באמצעים הולמים במהלך מימושו.
הארגון יזהה את סטטוס השירות בכל שלב.
כאשר עקיבות היא דרישה, הארגון יבקר וירשום את הזיהוי הייחודי של המוצר או השירות.

 

2.4.3 רכוש לקוח
כאשר רכוש הלקוח נמצא ברשותו של הארגון או (לדוגמה: למתן שרות) , ינהג בו הארגון בזהירות. הארגון יזהה ויאמת רכוש לקוח שסופק, ויגן וישמור עליו.  הארגון אחראי על שלמות המוצר ויפצה את הלקוח במקרה של אובדן או נזק.

 

2.5      מדידה, ניתוח ושיפור

2.5.1 כללי
הארגון יתכנן ויממש את תהליכי הניטור, המדידה, הניתוח והשיפור, הדרושים כדי:
א.     להוכיח את התאמת השירות.
ב.     להבטיח את התאמת מערכת ניהול האיכות.
ג. לשפר בהתמדה את האפקטיביות של מערכת ניהול האיכות.
הדבר יכלול קביעה של שיטות ישימות, לרבות טכניקות סטטיסטיות, ושל היקף השימוש בהן.

 

2.5.2 ניטור ומדידה
שביעות רצון לקוח
כאחת המדידות של ביצועי מערכת ניהול האיכות, ינטר הארגון מידע ביחס לתפיסתו של הלקוח באשר למידה שבה ענה האתר ושרותיו, על דרישותיו. ייקבעו השיטות לקבלת מידע זה ושיטות השימוש בו. ממשק המשתמש שייבנה על ידי מפעיל האתר יאפשר לגולש או ללקוח לבטא את הערותיו בקשר למידת שביעות רצונו מהמערכת.

א.      האתר יישם מערכת שתקבל, תתעד ותעבד תלונות מלקוחות ומשתמשים ויכלול:

·        מתן מענה לתלונות מבוססות ומזוהות בפרק זמן מתחייב.

·        נקיטת צעדים למניעת חזרה על כשל מדווח.

·        הצגת תעוד בהירה על פיתרון הבעה.

 

ב.   יישום מערכת במטרה לפקח שצעדים מתקנים בוצעו תוך פרק זמן מתחייב

 

ג.  יישום מערכת לקבלת הערות לקוח אודות מוצרים ושרותים, מעקב אחרי הטיפול והפעולות   המתקנות.

 

2.5.3 מבדק פנימי
הארגון יערוך מבדקים פנימיים במרווחי זמן מתוכננים כדי לקבוע אם מערכת ניהול האיכות:

א.      תואמת את דרישות תקן  זה ואת דרישות מערכת ניהול האיכות שקבע הארגון.

ב.       ממומשת ומתוחזקת באופן אפקטיבי.
תתוכנן תוכנית מבדקים אשר תביא בחשבון את הסטטוס של תהליכים והתחומים           אשר ייבדקו במבדק ואת חשיבותם, וכמו כן את תוצאות המבדקים הקודמים. יוגדרו קריטריוני המבדק, היקפו, תדירותו ושיטותיו. בחירת עורכי המבדקים וניהול המבדקים יבטיחו שהמבדק ייערך באובייקטיביות ובלא פניות. עורכי מבדקים לא יערכו מבדק של עבודתם הם.
.
ההנהלה האחראית לתחום הנבדק, תבטיח כי נעשות פעולות ללא דיחוי מיותר, לסילוק אי-התאמות שהתגלו וסיבותיהן. פעילויות מעקב יכללו אימות של הפעולות שננקטו ודיווח על תוצאות האימות 

 

בקרת מוצר או שרות לא-מתאים
הארגון יבטיח כי מוצר או שרות לא-מתאים לדרישות ממנו, מזוהה ומבוקר כדי למנוע שימוש בו או משלוח שלו, שלא במתכוון. הבקרות, האחראיות והסמכויות לטיפול במוצר או שרות לא-מתאים יוגדרו בנוהל מתועד.
הארגון יטפל במוצר או בשרות לא-מתאים באחת הדרכים המפורטות להלן או בכמה מהן:
א.         נקיטת פעולה לסילוק אי-התאמה שהתגלתה.
ב.          נקיטת פעולה למניעת השימוש או היישום המיועד המקורי.

ג.          נקיטת פעולה שתימנע הישנות אי התאמה.

 

3.             פרק אבטחת מידע

 

3.0          מבוא

הפרק מתייחס לנושא ניהול מערכת אבטחת המידע  של האתר וכוונתו לפרט את הדרישות לקביעה, מימוש ותעוד של מערכת ניהול אבטחת מידע (מנא"מ), הנוגעות לרמת החסיון ושלמות המידע  שאתר מתחייב לתת ללקוח. רצוי שהאימוץ של מנא"מ, יהיה החלטה אסטרטגית של הארגון מפעיל האתר. המימוש של מערכת ניהול איכות של האתר מושפעים גם מדרישות חוק, מהסכמים על שותפים  וממטרות ייחודיות של האתר, מהמוצרים והשרות המסופקים, מהתהליכים המופעלים ומגודלו ומבנהו של האתר.

התיאור בפרק זה מתבסס על דרישות התקן ת"י 7799 . חלק 1 של ת"י 7799 מביא המלצות לגבי הכללים הטובים ביותר לתמיכה בדרישות אלה.
הבקרות הנדרשות להלן, נגזרו מהמטרות שהובאו בחלק 1 של ת"י 7799 ובהתאמה להן.

 

3.0.1      כללי

הארגון מפעיל האתר יקים ויקיים מנא"ם מתועד. המערכת תתייחס לנכסים הצריכים הגנה, לגישת הארגון לניהול סיכונים, למטרות הבקרה ולבקרות, ולרמת האבטחה הנדרשת.

 

3.0.2      הקמת מסגרת ניהול

כדי לזהות ולתעד את מטרות הבקרה ואת הבקרות, יינקטו הצעדים האלה:

א.      תוגדר מדיניות אבטחת המידע.

ב.       יוגדר היקף מערכת ניהול אבטחת המידע. גבולות המערכת יוגדרו במונחים של אופייני האתר, מיקומו, נכסיו והטכנולוגיה שלו.

ג.       תיעשה הערכת סיכונים נאותה. היא תזהה את האיומים על הנכסים, את נקודות התורפה ואת ההשפעות על הארגון, ותקבע את דרגת הסיכון.

ד.       אזורי הסיכון שיש לנהל יזוהו על סמך מדיניות אבטחת המידע של האתר ולפי דרגת האבטחה הדרושה.

ה.      ייבחרו מטרות בקרה ובקרות מתאימות, שאותן יש לממש, והבחירה תנומק.

3.0.3      יישום

הארגון מפעיל האתר יישם באפקטיביות את מטרות הבקרה והבקרות שנבחרו. האפקטיביות של הנהלים שאומצו למימוש הבקרות, תאומת באמצעות סקרים .

3.1               בקרות מפורטות

3.1.1               מדיניות האבטחה

3.1.1.1         מסמך מדיניות אבטחת המידע
ההנהלה תאשר מסמך מדיניות אבטחת מידע של האתר, והוא יפורסם ויופץ כראוי, בין כל מועסקי הארגון שתפקודם קשור לתפעול השוטף של האתר.

3.1.1.2       סקר והערכה
המדיניות תיסקר תקופתית ואחרי כל שינוי משמעותי, כדי לשמר את היותה נאותה.

3.1.2               ארגון האבטחה

3.1.2.1            פורום הנהלה לאבטחת המידע

יהיה פורום של ההנהלה, שיבטיח קיומם של הכוונה ברורה של ההנהלה לגבי יוזמות בתחום האבטחה, ותמיכה ברורה של ההנהלה ביוזמות אלה.

3.1.2.2            הטלת אחראיות
האחראיות להגנת כל נכס, ולביצוע תהליכי אבטחה ספציפיים, יוגדרו בבירור.

 

3.1.3     אבטחת גישה של צד שלישי

 

3.1.3.1            זיהוי סיכוני צד שלישי
תיעשה הערכה של הסיכונים הקשורים בגישת צד שלישי לאפשרות לעיבוד המידע של הארגון לדוגמה ISP, ארוח שרתי האתר, פיתוח יישומי תוכנה ע"י גורם חיצוני ), ויופעלו בקרות אבטחה מתאימות.

3.1.3.2            דרישות אבטחה בחוזי קבלנות שירות (outsourcing)
כאשר ארגון מעביר את ניהול מערכות המידע שלו, הרשתות, ואת הבקרה עליהן, לארגון אחר, אזי דרישות האבטחה יוסכמו ויוכללו בהסכם שבין שני הצדדים.

 

3.2                    סיווג ובקרה של נכסים

 

3.2.1     מצאי הנכסים
תיערך ותישמר רשימת מצאי של נכסי הארגון החשובים לצורך מימוש פעילות האתר. הנכסים יסווגו לפי רמת הסיכון האבטחתי  שלהם.

3.2.2     סיווג מידע                               

 

3.2.1.1                        הנחיות סיווג
סיווג המידע ובקרות ההגנה הנובעות ממנו, יתאימו לצורכי העסק בשיתוף מידע או בהגבלתו, ולהשפעות העסקיות הקשורות בצרכים אלה.

3.3               אבטחת עובדים

3.3.1     אבטחה בהגדרת תפקיד ובגיוס עובדים

3.3.1.1               הכללת אבטחה כחלק מאחראיות התפקיד
בהגדרות תפקידים יוגדרו ויתועדו גם תפקידי האבטחה והאחראיות לאבטחה, לפי העניין, כפי שנוסחו במדיניות אבטחת המידע של הארגון.

 

3.3.1.2               תחקור עובדים
לפי הצורך ובהתאם לרמת רגישות המידע אליו ייחשף עובד, ייערכו מבדקי אימות של העובדים הקבועים בעת השמתם לתפקידיהם.

הסכמי חיסיון
המועסקים יחתמו על הסכם חיסיון כחלק מתנאי העסקתם היסודיים.

3.3.1.3                         תנאי העסקה
תנאי ההעסקה יכללו ציון של אחריות המועסק לאבטחת מידע.

3.3.1.4                         הדרכה ותרגול
כל המועסקים הקשורים להפעלת האתר, ואם הדבר רלוונטי - גם משתמשי צד שלישי, יקבלו הדרכה נאותה ועדכונים סדירים באשר לנהלים ולקווי המדיניות של האתר בנושא אבטחת מידע.

                                                                                                                                                     

3.3.2     תגובה לאירועי אבטחה ולתקלות אבטחה

3.3.2.1         דיווח על אירועי אבטחה
אירועי אבטחה ידווחו בערוצי דיווח נאותים, קרוב ככל האפשר למועד גילוים.

3.3.2.2                       דיווח על תקלות תוכנה
ייקבעו נהלים לדיווח על תקלות תוכנה, והעובדים יפעלו על פיהם.

3.3.2.3                        הפקת לקחים מאירועים
יהיו מנגנונים שיאפשרו לכמת ולנטר את הסוגים, ההיקפים והעלויות של אירועים ותקלות.

 

3.4               אבטחה פיזית וסביבתית

3.4.1               אזורים מאובטחים

 

3.4.1.1              מעגל אבטחה פיזי
הארגון ישתמש במעגלי אבטחה כדי להגן על אזורים המכילים אפשרות לעיבוד מידע הרלוונטיים לאתר.

3.4.1.2              בקרות כניסה פיזיות
האזורים המאובטחים  בהם מאוחסנים משאבים חיוניים כמו: שרתים יוגנו על ידי בקרות כניסה מתאימות, כדי להבטיח שרק אנשים בעלי היתר כניסה יוכלו להיכנס.

3.4.1.3              אבטחת משרדים, חדרים .
ייקבעו אזורים מאובטחים כדי להגן על משרדים, חדרים שיש לגביהם דרישות אבטחה מיוחדות.

3.4.1.4                        מיקום ציוד והגנתו
ציוד ימוקם או יוגן כך שיופחתו הסיכונים שמקורם באיומים וסכנות סביבתיים, ויפחתו הסיכויים לגישה לא מורשית.

 

3.5  ניהול תקשורת ותפעול

3.5.1         תפעול

 

נוהלי תפעול מתועדים
נוהלי התפעול שהוגדרו במדיניות האבטחה יתועדו ויתוחזקו.

בקרת שינויי תפעול
שינויים באפשרויות לעיבוד מידע ובמערכות, יבוקרו.

נוהלי ניהול אירועים
ייקבעו האחראויות והנהלים לניהול אירועים, כדי להבטיח תגובה מהירה, אפקטיבית ותקינה לאירועי אבטחה באתר.

תכנון קיבולת
דרישות הקיבולת ינוטרו וייעשו הערכות לגבי דרישות קיבולת עתידיות, כדי להבטיח זמינות של יכולת עיבוד וקיבול אחסון נאותים.

 

קבלת מערכת
ייקבעו קריטריוני קבלה למערכות מידע חדשות, שִדרוגים וגרסאות חדשות, והמערכת תיבדק בבדיקות מתאימות לפני קבלתה.

הבדיקות ייכללו: בדיקות אבטחה, מבחני קבלה בכל שחרור גרסא,

 

3.5.1 הגנה מפני תוכנה זדונית

3.5.1.1                        בקרות נגד תוכנה זדונית
להגנה מפני תוכנה זדונית, ייושמו בקרות גילוי ומניעה, וייקבעו נהלים נאותים להגברת המודעוּת של המשתמשים.

3.5.1.2                        גיבוי מידע
יוכנו עותקי גיבוי של מידע ותוכנות חיוניים של העסק, כדרך שגרה.

3.5.1.3                        רישומי מפעיל (ביומן)
צוות ההפעלה ינהל יומן של פעילויותיו.

3.5.1.4                        רישום תקלות
תקלות ידווחו ויינקטו פעולות מתקנות.

 

3.5.2 ניהול רשת

3.5.2.1                        בקרות רשת
כדי להשיג ולתחזק אבטחה ברשתות, ייושם מגוון של בקרות.

3.5.2.2                        ייקבעו נהלים לטיפול במידע ולאחסונו, כדי להגן על המידע מפני חשיפה לא מורשית או מפני שימוש בו לרעה.

3.5.2.3                        אבטחת סחר אלקטרוני
בכל מקרה של ביצוע עסקאות בין האתר לאתרי מסחר אחרים, הסחר האלקטרוני יוגן מפני פעילויות הונאה, סכסוכים חוזיים וחשיפה או הסגלה (שינוי) של מידע.

מפעיל האתר ישתמש בפרוטוקול התקשרות מאובטח בעת העברת מידע רגיש כמו : פרטי עסקה, פרטים אישיים, זיהוי כרטיס אשראי.

3.5.2.4                        אבטחת דואר אלקטרוני
תפותח מדיניות לגבי השימוש בדואר אלקטרוני באתר וייקבעו בקרות כדי להפחית סיכוני אבטחה שמקורם בדואר אלקטרוני.

 

3.6      בקרת גישה

3.6.1     מדיניות בקרת גישה
דרישות האתר לבקרת גישה יוגדרו ויתועדו, והגישה תוגבל כפי שהוגדר במדיניות בקרת הגישה.

3.6.2     ניהול גישת משתמש

3.6.2.1              הרשמת משתמשים
יהיה נוהל רשמי לרישום משתמשים לקבלת הרשאת גישה, ולמחיקתם מהרשימה, לכל מערכות המידע ושירותי המידע המְשרתים מִשְתמשים רבים.

3.6.2.2              ניהול זכויות-יתר
הענקת זכויות-יתר לגישה, והשימוש בהן, יהיו מוגבלים ומבוקרים.

 

3.6.2.3                          ניהול סיסמות משתמשים
הקצאת הסיסמות תבוקר באמצעות תהליך ניהול רשמי.

 

3.6.3      בקרת גישה לרשת

3.6.3.1              מדיניות שימוש בשירותי רשת
משתמשים יקבלו גישה ישירה רק לשירותים שהשימוש בהם הותר להם באמצעות הרשאות מיוחדות.

3.6.3.2              אבטחת שירותי רשת
יסופק תיאור ברור של תכונות האבטחה של כל שירותי הרשת שהארגון משתמש בהן.

 

3.6.4          בקרת גישה למערכת ההפעלה

3.5.5.1    זיהוי גישות למערכת הפעלה
זיהוי מיוחד ישמש כדי לאמת גישות וחיבורים למקומות מסוימים.

3.5.5.2    מערכת ניהול סיסמות
תהיה מערכת לניהול סיסמות שתספק אמצעי אפקטיבי שיבטיח סיסמות איכותיות.

3.5.5.3    שימוש בתוכניות שירות של המערכת
השימוש בתוכניות שירות של המערכת יוגבל ויבוקר בקפדנות.

 

3.5.6                בקרת גישה ביישומים

3.5.6.2              הגבלות גישה למידע
גישה לפונקציות של מערכות יישומים ושל מערכות מידע תוגבל לפי מדיניות בקרת הגישה.

 

3.5.7                ניטור הגישה למערכת והשימוש בה

3.5.7.2              רישום ביומן אירועים
יוכנו רישומי יומן של חריגים ואירועים אחרים הרלוונטיים לאבטחה, והם יישמרו לתקופה מוגדרת, כדי לסייע בחקירות בעתיד ובניטור בקרת גישה.

3.5.7.3               ניטור השימוש במערכת
ייקבע נוהל לניטור השימוש באפשורות לעיבוד המידע ותוצאות הניטור ייסקרו תקופתית. תישמר בצורה מאובטחת היסטורית התנועות של כלל הלקוחות בצורה שתאפשר גישה חד-חד-ערכית לתנועות.

 

3.5.8                דרישות אבטחה ממערכות

3.5.8.1       ניתוח וניסוח של דרישות אבטחה
בניסוח דרישות האתר למערכות חדשות, או לחיזוק המערכות הקיימות, יפורטו דרישות הבקרה.

3.5.8.2    מתן-תוקף לנתוני קלט
לנתוני הקלט למערכות יישומים יינתן תוקף, כדי להבטיח שהם נכונים ונאותים.

3.5.8.3    בקרת העיבוד הפנימי
במערכות ישולבו בדיקות מתן-תוקף כדי לגלות שיבוש של נתונים מעובדים.

3.5.8.4    אימות-זהות מסרים
אימות-זהות של מסרים ישמש עבור יישומים ששיקולי אבטחה דורשים להגן על כלילות תוכן המסרים שלהם.

3.5.8.5    מתן-תוקף לנתוני פלט
לנתוני פלט ממערכת יישום יינתן תוקף כדי להבטיח שעיבוד המידע המאוחסן הוא נכון ומתאים לנסיבות.

 

3.5.9                בקרות הצפנה

3.5.9.2              מדיניות השימוש בבקרות הצפנה
תפותח ותיושם מדיניות שימוש בבקרות הצפנה להגנת מידע.

3.5.9.3              הצפנה
תבוצע הצפנה להגנת החיסיון של מידע רגיש או קריטי.

3.5.9.4              ניהול מפתחות
תיושם מערכת ניהול מפתחות, מבוססת על קבוצה מוסכמת של תקנים, נהלים ושיטות, לתמיכה בשימוש בטכניקות הצפנה.

 

3.5.10            אבטחה בתהליכי פיתוח ותמיכה

3.5.10.2       נוהלי בקרת שינויים
כדי להפחית למינימום מקרים של שיבוש מערכות מידע, תופעל בקרה קפדנית על ביצוע שינויים, באמצעות נהלים רשמיים לבקרת שינויים.

3.5.10.3       סקירה טכנית של שינויים במערכת הפעלה
מערכות יישומים ייסקרו וייבדקו בכל פעם שמופיעים שינויים.

3.5.10.4       ערוצים חשאיים וקודים טרויאניים
רכישת תוכנה, שימוש וביצוע הסגלות בה יבוקרו וייבדקו, להגנה מפני אפשרות נוכחותם של ערוצים חשאיים וקודים טרויאניים.

 

3.6                   ניהול המשכיות עסקית     

3.6.5 היבטי ניהול המשכיות עסקית

3.6.5.1       תהליך ניהול המשכיות עסקית
יהיה תהליך מנוהל לפיתוח ולקיום של המשכיות עסקית בכל הארגון.

3.6.5.2              המשכיות עסקית וניתוח השפעות
תפותח תוכנית אסטרטגייה, מבוססת על הערכת סיכונים נאותה, לטיפול כולל בהמשכיות עסקית.

 

3.7                   התאמה

3.7.1התאמה לדרישות החוק

זיהוי חוקים ישימים
לכל מערכת מידע, יוגדרו ויתועדו במפורש כל דרישות החוק הרלוונטיות החלות עליה.

הגנת נתונים ופרטיות של מידע אישי
ייושמו בקרות להגנת מידע אישי, על פי דרישות החוק הרלוונטיות.

מניעת השימוש לרעה באפשורות לעיבוד מידע
ההנהלה תאשר את השימוש באפשורות לעיבוד מידע וייושומו בקרות שימנעו שימוש לרעה באפשורות כאלה.

3.7.5.2              תחיקה לגבי בקרת הצפנה
יהיו בקרות שיבטיחו התאמה להסכמים לאומיים, חוקים, תקנות או כלים אחרים, כדי לבקר את הגישה לבקרות הצפנה, או את השימוש בהן.

3.7.5.3              איסוף ראיות
כאשר פעולה נגד אדם או ארגון כרוכה בהליך משפטי - אזרחי או פלילי, הראיות המוגשות יתאימו לכללי הראיות שבחוק הרלוונטי, או בערכאה המשפטית שבה יתנהל ההליך המשפטי. הדבר יכלול התאמה לכל תקן או קובץ כללים שפורסמו, באשר לאופן ההמצאה של ראיות קבילות.

 

3.8                   שמירת פרטיות המשתמש

*             מפעיל האתר צריך לקיים מערכת נוהלית ויישומית המאפשרת לשמור על תנאי הפרטיות המובטחים.

*             מידע רגיש יועבר לאתר/מהאתר בצורה מאובטחת ומוצפנת בלבד.