פעילויות אישור עמידת ספקים במתודת שרשרת אספקה של מערך הסייבר הלאומי ורישומם

מכון התקנים – אגף איכות והסמכה נבחר לגוף שיבצע בשיתוף מערך הסייבר הלאומי פעילויות אישור עמידת ספקים במתודת שרשרת אספקה של מערך הסייבר הלאומי ורישומם.

מכון התקנים כגוף ההתעדה הנבחר יהיה אחראי לביצוע פעילויות אישור עמידת ספקים במתודת שרשרת אספקה של מערך הסייבר הלאומי, לרבות בקרות ועריכת תהליכי אישור לספק בעמידה במתודולוגיית שרשרת אספקה של מערך הסייבר הלאומי לכל אורכו, ובכלל זה: בדיקת התאמת מסמכים ונתוני הספק הנבדק למתודה של המערך, ביצוע בקרות על סקרי הבודקים באמצעות מומחי תוכן מתאימים, ניהול רשימת הספקים שנבדקו ואושרו כעומדים בדרישות המתודה והעברתה לידי המערך לצורך פרסומם במאגר ספקים מאושרים מרכזי, ביצוע סקרים ותהליכי בקרה תקופתיים לספקים אלו וביצוע סקרים תקופתיים למערכות הניהול העצמיות של מבצע הפעילות.

מכון התקנים פיתח מערכת ייעודית המאפשרת קבלת דו"חות ממצאים בעלי רגישות וסיווג אסמכתאות ונתונים במסגרת ביקורת הליכי בדיקה ואישור עמידה בדרישות המתודה, באופן מוצפן ומאובטח (אלקטרוני ופיזי).

מערך הסייבר :

מערך הסייבר הלאומי הינו יחידת סמך במשרד ראש-הממשלה, הפועלת במסגרת החלטות הממשלה וכן על פי החוק להסדרת הביטחון בגופים ציבוריים, תשנ"ח.

המערך נדרש "לבנות ולחזק את החוסן של כלל המשק בסייבר באמצעות היערכות, כשירות ואסדרה, ובכלל זה העלאת הכשירות של מגזרים וגופים במשק, הנחיית המשק בתחום הגנת הסייבר, אסדרת שוק שירותי הגנת הסייבר, רישוי, תקינה...".

מערך הסייבר פועל להעלאת רמת העמידות של ארגונים במשק בתחום הגנת הסייבר, וגיבש מודל אסדרה ואישור עמידת ספקים במתודה של המערך התומך בכך.

הסיכונים המשמעותיים לעמידות ארגונים בפני סיכוני סייבר נובעים מחשיפה הנובעת מספקים המספקים להם מוצרים או שירותים בעלי זיקה להגנת הסייבר של הארגון.

כפועל יוצא מכך, ארגונים נדרשים לאתר ולהתמודד עם סיכוני הסייבר הנובעים מפעילות הספקים המספקים להם מוצר או שירות. בתחום הגנת הסייבר מקובל להתייחס לכך כ- "הגנה על שרשרת האספקה".

על מנת לייעל את תהליך הערכת הסיכונים הארגוני במסגרת רכש שירותים, מערך הסייבר גיבש המלצות לשיטת בדיקה אחידה, המבוססת על מפרט בדיקות אחיד לספקים, ועל המלצות לגבי אופן הבדיקה של המפרט, המכונה בידי המערך "מתודת שרשרת אספקה של מערך הסייבר הלאומי".

תהליך קליטת תיק ספק לבדיקה:

1. ניתן להגיש תיק ספק שנבדק ע"י בודק ספקים באחד מאמצעי ההגשה להלן: הגשה פיסית בעותק 1 Hard -קשיח .PDF או משלוח דוא"ל לתיבה ייעודית בקובץ DOK , ,כונן נייד copy.

2. לרשות מי שאינו מעוניין להעביר לנו את תיק האסמכתאות המלא נעמיד חלופה שבה תיק הספק יוגש הגשה חסרה (ללא תיק האסמכתאות) באחד האמצעים שפורטו לעיל, ותיק האסמכתאות בלבד יוצג באופן בלתי אמצעי למנהל תהליך אישור התאימות במתקן הספק/מקום מושבו.

3. תיק ספק לבדיקה חייב לכלול את כל המסמכים הבאים:

• טופס בקשה לאישור ספק העומד בדרישות
• דו"ח ממצאים ואסמכתאות
• כתב הסכמה חתום ע"י הספק
• תצהיר בודק ספקים
• תצהיר היעדר ניגוד עניינים לבודק ספקים
• נספח תשלום עבור תהליך בדיקת עמידת הספק במתודה בהתאם לתחום הבדיקה שנבחר בטופס הבקשה ובהתאם לתעריף שפורסם.

4. במידה ותיק הספק לא יכלול את מלוא המסמכים הנדרשים, נחזיר את התיק להשלמה על ידי מגיש התיק בתוך 14 ימי עבודה.

5. החלטת מנהל תהליך אישור התאימות ביחס לתיק ספק שהוגש לבדיקתנו תועבר למגיש התיק תוך 14 ימי עבודה מיום שהוגש התיק.

6. במקרים שנדרשת גם בדיקה של מומחה תוכן לצורך הליך הבדיקה והאישור, בהתאם להנחיית מערך הסייבר הלאומי בקשר לסוג ספקים מסוים, נעביר למגיש התיק את החלטת מנהל תהליך אישור התאימות ומומחה התוכן ביחס לתיק הספק שהוגש בתוך 21 ימי עבודה מיום שהוגש לנו התיק.

7. התעודה שתונפק על ידינו לספק שנמצא כעומד בדרישות המתודה תהיה תקפה לשנה, עם אפשרות הארכה בשנה נוספת בתנאי שהספק או מי מטעמו יגיש תצהיר חתום ע"י נציג מורשה.

אבני הדרך להתעדה :
הגשת התיק וספק מאושר/לא מאושר

8. ציר זמנים

9. אי הענקת אישור לספק :

מנהל תהליך אישור התאימות לא יעניק לספק אישור בהימצא אחד או יותר מהליקויים הבאים -

תיקון הליקויים יוגש חזרה לגוף ההתעדה הנבחר בתוך 3 חודשים ממועד קבלת ההחלטה

החזרת תיק ספק למגיש התקי לצורך תיקון ליקויים תתאפשר – פעם אחת בלבד !

10. בחינה נוספת:

11. לאחר שנה:
על הספק לבצע תיקוף/דיווח שלא נעשה שינויי .
הודעה על הארכת תקופה כאמור יש להעביר לגוף ההתעדה בכתב לא יאוחר מחודש לפני סיום התקופה הקודמת לה

13. לפרטים נוספים והגשת בקשות:
קלריס עסיס
03-6465311 מייל: asisklaris@sii.org.il

14. מידע נוסף ומורחב ניתן למצוא באתר מערך הסייבר הלאומי בלינק המצורף :
https://www.gov.il/he/departments/israel_national_cyber_directorate