נְגִישׁוּת

גודל טקסט

גדול קטן רגיל

ניגודיות

ניגודיות בהירה ניגודיות כהה רגיל

מצב קריאה

הפעל מצב קריאה חזור לתצוגה רגילה

אנימציות

בטל אנימציות הפעל אנימציות

ניגודיות גבוהה במיוחד

הפעל רגיל

גופן קריא

הפעל רגיל

טקסט מודגש

הדגש רגיל

הקראת טקסט

הקרא טקסט נבחר עצור קריאה

הדגשת קישורים

הפעל בטל
דווח
לְבַטֵל הצהרת ניגשות
תיק אישי
כספיות
פיקדונות
מחקות
עוקבות
כשרות
גידור בנאמנות
דרוג קרנות
הרכבי קרנות
אחזקות
מנהלים
גיוסים ופדיונות
מחזורי מוסדיים
חיסכון לכל ילד
גמל להשקעה
תיק אישי|כספיות|פיקדונות|מחקות|עוקבות|כשרות|גידור בנאמנות|דרוג קרנות|הרכבי קרנות|אחזקות|מנהלים|גיוסים ופדיונות|מחזורי מוסדיים|חיסכון לכל ילד|גמל להשקעה

במספר רב של חברות, לניהול השקעות, דיוני הדירקטוריון מקיפים במידה סבירה ומטה את מכלול הנושאים הרלוונטיים לתחום ההמשכיות העסקית

 

 
שמואל האוזר יור רשות ניירות ערךשמואל האוזר יור רשות ניירות ערך
 
קרן מרדכי
LinkedinFacebookTwitter Whatsapp
16/01/2014

חוזר למנהלי קרנות נאמנות, מנפיקי תעודות סל וחברות בעלות רישיון לניהול תיקי השקעות
בדבר עמדת סגל הרשות בנוגע למספר סוגיות הקשורות לממצאי ביקורת רוחב בנושא רציפות במתן שירותים, גיבוי ושחזור נתונים ושמירת מידע אצל מנהלי קרנות, מנפיקי תעודות סל וחברות בעלות רישיון לניהול תיקים
 
 לכבוד
מנהלי קרנות, מנפיקי תעודות סל וחברות בעלות רישיון לניהול תיקים
באמצעות כתובות דואל במערכת מגנא
 
א.ג.נ.,
רקע
לאור החשיבות של רציפות במתן שירותים חיוניים למשקיעים ולאור מורכבות הטיפול בנושא המשכיות עסקית והיערכות לחירום, ביצע סגל הרשות ביקורת רוחב בהתכתבות בנושא שבנדון בקרב מנהלי קרנות, מנפיקי תעודות סל וחברות בעלות רישיון לניהול תיקי השקעות (להלן יחד: "חברה מנהלת"), וזאת בהמשך לפרסום עמדותיו בחוזר הרשות בדבר גיבוי נתונים ורציפות במתן שירות (להלן: "חוזר הרשות") אשר פורסם בתאריך 21 בדצמבר 2011.

שאלון הביקורת
במהלך חודש ינואר 2013, הפיץ סגל הרשות שאלון בנושא רציפות במתן שירותים, גיבוי ושחזור נתונים ושמירת מידע (להלן: "שאלון הביקורת").

שאלון הביקורת הוא שאלון הערכה עצמית, אשר נשלח ל- 20 קבוצות של חברות מנהלות, הכוללות יחד מעל 40 חברות הפועלות בתחומי ניהול תיקי השקעות, קרנות נאמנות ותעודות סל. מרבית השאלות הכלולות בשאלון הביקורת, התייחסו לעניינים לגביהם הביע סגל הרשות את עמדתו במסגרת חוזר הרשות. השאלון נשלח בעיקר לחברות אשר מחויבות לאמץ כללי ממשל תאגידי, וכן למספר חברות המנהלות כספים בהיקף העולה על מיליארד ש"ח. בהתאם לכך, הממצאים והתובנות, המובאים בחוזר זה, רלוונטיים בעיקר לחברות מהסוג שנבחן. יחד עם זאת, אנו סבורים כי עיון בממצאים ובתובנות עשוי להביא ערך מוסף גם לחברות מפוקחות אחרות אשר מאפייניהן שונים, אך חייבות גם הן, מכח הוראות הדין החלות עליהן, בהבטחת המשכיות עסקית ועריכת גיבויים, כל אחת במידה ובאופן ההולם את מאפייניה.

ממצאי הביקורת
חוזר זה בא לשקף את עמדת סגל הרשות בהתייחס למספר ממצאים וסוגיות אשר עלו מניתוח מענה החברות המנהלות לשאלון הביקורת. מצופה כי החברות המנהלות יפעלו לטיפול בממצאים המוצגים בחוזר זה, ככל שהם רלוונטיים לגביהן. יצוין כי סגל הרשות לא יבצע פניות ממוקדות בשלב זה לחברות מנהלות אשר אצלן אותרו ממצאים המפורטים בחוזר זה בלבד, אלא יבחן את טיפול החברות בממצאים הללו באמצעות ביקורות מעקב בעתיד.
 
רציפות במתן השירות

1. על פי סעיף 4.2 לחוזר הרשות: "בהתאם לאופי הארגון וצרכיו העסקיים, הדירקטוריון יגבש ויאשר
מדיניות בנושא המשכיות עסקית...".  

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי במספר רב של חברות דיוני הדירקטוריון מקיפים במידה סבירה ומטה את מכלול הנושאים הרלוונטיים לתחום ההמשכיות העסקית. כך למשל, דיוני הדירקטוריון של מספר חברות עסקו באופן תמציתי למדי באישור הנוהל העוסק בהמשכיות העסקית, ובחלק מהחברות לא התקיים כלל דיון בעניין אלא אישור פורמלי בלבד. בנוסף, הציון הגבוה שהעניקו לעצמן מספר חברות בשאלה שנגעה לטיב דיוני הדירקטוריון בתחום ההמשכיות העסקית, לא תאם את איכות דיוני הדירקטוריון שלהן, כפי שהשתקפה בפרוטוקולים.

לדעת סגל הרשות, מעורבותו של הדירקטוריון בגיבוש מדיניות בתחום, בבחינת מידת התאמתה של תוכנית ההמשכיות העסקית לצרכי החברה וכן מעקב אחר יישומה בפועל ותרגולה, מהווים נדבך מרכזי בתהליך בניית תוכנית המשכיות עסקית לחברה. כך למשל, בעת גיבוש המדיניות ובחינת התאמת התוכנית לצרכי החברה, על הדירקטוריון להבין היטב את ההשלכות המעשיות של יישום המדיניות בכלל והתוכנית בפרט, על עסקי החברה בשעת חירום (למשל משמעות של פרקי הזמן הנדרשים לחברה על מנת לשוב ולשדר הוראות מסחר כדי שתוכל לעמוד בדרישות המשקיעים למימוש נכסים וקבלת מזומנים בשעת חירום).


2. על פי סעיף 4.2 לחוזר הרשות: "... הדירקטוריון יגבש ויאשר מדיניות בנושא המשכיות עסקית, אשר תכלול, בין היתר, התייחסות להיבטים הבאים:"


2.1 "זיהוי ומיפוי כלל התהליכים העסקיים והמערכות הטכנולוגיות התומכות בתהליכים אלו" (סעיף 4.2.1  לחוזר הרשות). 

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי חברות רבות התייחסו לתהליכים קריטיים בלבד בשלב מיפוי וניתוח התהליכים העסקיים. בנוסף, במספר מקרים מתייחסת התוכנית להמשכיות עסקית למערכות ולא לתהליכים עסקיים, לדוגמא: הגדרת RTO, המתייחסת לזמן הנדרש להשבת מערכת מסוימת לפעילות (ולא הזמן הנדרש להשיב לפעילות תהליך עסקי אשר כשל או הושבת). תהליך עסקי עשוי להתבסס על יותר ממערכת מידע אחת ועשוי לדרוש משאבים נוספים מעבר למערכות המידע. לדעת סגל הרשות, יש למפות בשלב הראשון את כלל התהליכים העסקיים ולא רק את אלו הקריטיים. מידת חשיבותו של כל תהליך והרלוונטיות שלו לתוכנית ההמשכיות העסקית, ייקבעו לאחר שיוגדרו עבורו RTO (פרק הזמן המרבי, אשר במסגרתו נדרש להשיב לפעילות תקינה תהליך עסקי אשר כשל או הושבת) ו- RPO (הנקודה בזמן, אליה יאוחזר המידע, בעקבות התרחשות מקרי קיצון). כמו כן, בעת הגדרת יעדי RTO ו- RPO, יש להתייחס לתהליכים עסקיים ולא למערכות. יש לזכור כי המטרה הסופית היא תפקודם של תהליכים עסקיים קריטיים בחירום וכי תהליכים אלו עשויים להתבסס על תהליכי משנה, מספר מערכות מידע ומשאבים נוספים שאינם בהכרח בעלי אופי טכנולוגי.


2.2 "הגדרת RTO ו- RPO עבור כל תהליך עסקי" (סעיף 4.2.2 לחוזר הרשות).

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי בחלק מהחברות, הגדרות ה- RTO וה- RPO אינן משקפות את הצרכים העסקיים שלהן, אלא מנציחות את המצב, בהתאם לפתרון הטכנולוגי הקיים. כך לדוגמא, בחלק מהמקרים הגדירו חברות את ה- RPO, בהתאם למחזוריות שמירת קלטות הגיבוי מחוץ לחברה, וזאת במקום להגדיר תחילה מהו ה- RPO הרצוי ובהתאמה לכך לקבוע את מחזוריות שמירת קלטות הגיבוי.

כמו כן, נוכחנו כי חלק מהחברות בחרו שלא להגדיר יעדי RPO לתהליכים עסקיים והסתפקו
בהגדרת יעדי RTO בלבד.

לדעת סגל הרשות, נדרשות החברות לקיים תהליך של ניתוח השלכות עסקיות, כתוצאה מאי זמינותו של כל אחד מהתהליכים העסקיים הקריטיים לתפקוד הארגון. על החברות לגבש את הפתרון הטכנולוגי התומך בתוכנית ההתאוששות העסקית, בהתאם לתוצאותיו של תהליך ניתוח ההשלכות העסקיות, כך שיתמוך בהגדרות ה- RTO וה- RPO של התהליכים השונים. ראוי לחזור ולהדגיש את חשיבותו של יעד ה- RPO, מאחר והוא מתייחס לכמות המידע אותו עלולה החברה לאבד לצמיתות, ללא כל יכולת לשחזר אותו.
 
3. על פי סעיף 4.1 לחוזר הרשות: "מטרת התוכנית להמשכיות עסקית, הינה גיבוש תהליכי עבודה,
הנסמכים על מערך טכנולוגי מתאים, המבטיחים את השבתם לכשירות של תהליכים עסקיים, אשר
יוגדרו כמהותיים לתפקוד הארגון, בעקבות התקיימות תרחישי קיצון, כגון: כשלים טכנולוגיים, טעויות
אנוש, אסונות טבע ומצבי חירום לאומיים".

מניתוח מענה החברות עולה, כי רבות מהן לא התייחסו במסגרת תוכנית ההמשכיות העסקית שלהן לתרחישי קיצון בהיקף נרחב, כגון אלו המצוינים בסעיף 4.1 לחוזר הרשות. במספר מקרים, ציינו חברות "הנחות יסוד" אשר אינן משקפות כלל מצב חירום, כדוגמת זמינות מלאה של עובדים, זמינות מלאה של משאבים פנימיים אחרים וזמינות מלאה של תשתיות לאומיות.

כמו כן, נוכחנו כי קיים חוסר בהירות באשר לתכולה הנדרשת בתוכנית ה- BCP (תוכנית המשכיות עסקית אשר נועדה לאפשר לארגון מתן שירות רציף בעקבות מצבי משבר) ובתוכנית ה- DRP (תוכנית התאוששות טכנולוגית, המהווה חלק מתוכנית ההמשכיות העסקית) ולהבדלים ביניהן. אי בהירות זו הובילה לכתיבה של תוכניות המשכיות עסקית אשר אינן מתייחסות לכלל הנושאים כנדרש בחוזר הרשות ובמקרים רבים אינן מבדילות בין תהליכים ומשאבים טכנולוגיים לבין תהליכים עסקיים ומשאבים אחרים הנדרשים בחירום.

לדעת סגל הרשות, קיימת חשיבות רבה לקיומה של תוכנית המשכיות עסקית מפורטת, הכוללת מידע חיוני והנחיות מפורטות לגורמים השונים המעורבים בתהליך ההתאוששות של החברה. נדרש כי תוכנית ההמשכיות העסקית תספק מענה לתרחישי קיצון הרלבנטיים לחברה, לרבות אלה המפורטים בסעיף 4.1 לחוזר הרשות ולמשמעותם הלכה למעשה, לרבות אי זמינות של עובדים, אי זמינות של משאבים פנימיים אחרים ואי זמינות של תשתיות לאומיות. סגל הרשות מודע כי בתרחישים מסוימים, כגון הפסקת פעילות של הבורסה לניירות ערך ו/או של חברי הבורסה, אין ביכולתה של חברה מנהלת לחזור לחלק ניכר מפעילותיה הקריטיות בחירום, לרבות השתתפות במסחר בניירות ערך. במצב עניינים זה, לדעת סגל הרשות, אין מניעה כי החברות המנהלות יגדירו RTO הכולל תנאי מתלה בעניין חזרה לפעילות של הבורסה וחבריה, כאשר עד לחזרתם לפעילות של גופים אלו, על החברה המנהלת לקבוע תוכנית אשר תסייע לה לשוב לפעילות המסחר בהקדם האפשרי, בהתקיים אותו תנאי מתלה.

בעת גיבוש תוכנית ההמשכיות העסקית, יש להתייחס לשני מרכיביה המרכזיים: השבה לפעילות של המערכות הטכנולוגיות (DRP) והשבה לכשירות של התהליכים העסקיים (BCP). יש לגבש נהלים ותהליכי עבודה מפורטים, אשר יסייעו לחברה להתמודד בהצלחה עם מצבי קיצון וחוסר וודאות.
 
4. על פי סעיף 4.3 לחוזר הרשות: "בהתבסס על המדיניות בנושא המשכיות עסקית, הנהלת הארגון
תיישם פתרון, הן בהיבטים תהליכיים (BCP) והן בהיבטים טכנולוגיים (DRP), אשר יספק מענה, בין
היתר, לנושאים הבאים:" 


4.1. "הגדרת סמכות ואחריות של בעלי תפקידים בשגרה ובחירום לרבות בעלי תפקידים האמונים על
יישום הפתרון הטכנולוגי ובחינת הצורך בהגדרת בעלי תפקידים חילופיים לפונקציות חיוניות
בארגון" (סעיף 4.3.1 לחוזר הרשות).

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי בכ- 30% מהחברות לא מונתה הנהלה חלופית
לחברה.

לדעת סגל הרשות, קיימת חשיבות רבה למינוי חברי הנהלה חליפיים, לשם התמודדות טובה יותר עם תרחישי קיצון לא צפויים. מאחר שלא ניתן לצפות מראש את זמינותם של חברי הנהלת החברה בעת אסון, נדרשת החברה למנות חברי הנהלה חליפיים, אשר יחליפו בעת הצורך את חברי ההנהלה שאינם זמינים. יש להגדיר את סמכותם ואחריותם בחירום של חברי ההנהלה החליפיים ולוודא כי הם מודעים לתפקידם בשעת חירום.


4.2. "גיבוש תהליכים ונהלים להפעלת שירותים עסקיים והמערך הטכנולוגי בחירום, לרבות קביעת
כללים פרטניים בעניין אופן מתן השירות ללקוחות" (סעיף 4.3.2 לחוזר הרשות).  

מניתוח מענה החברות עולה, כי במקרים רבים נכללות בתוכנית ההמשכיות העסקית הנחיות בלשון עתיד. כך לדוגמא, בתרחיש לפיו לא ניתן יהיה להשתמש במשרדי החברה, נכתב כי יינקטו פעולות למציאת מקום עבודה פיזי חלופי, כלומר חלק מהחברות בחרו שלא לגבש מראש תהליכים ונהלי עבודה מרכזיים, מצב המעמיד בסימן שאלה את יכולתן להתאושש מאסון, תוך עמידה ביעדי ה- RTO וה- RPO שהציבו לעצמן.

עוד עולה ממענה החברות, כי לדעת מרביתן, המרחק בין אתר הייצור לאתר החירום הינו סביר ומעלה, בעוד שבחלק מהמקרים נוכחנו לדעת כי המרחק בפועל קטן ביותר.

לדעת סגל הרשות, על תוכנית ההמשכיות העסקית לכלול תיאור של תהליכי עבודה ודרכי פעולה בחירום (למשל: פירוט בעלי תפקידים קריטיים לעבודה בחירום, עובדים מגבים רלוונטיים, משימות לביצוע בחירום, מערכות תומכות אותן יש להפעיל בחירום וכן הלאה). יש לגבש תהליכים אלו מראש, כדי לצמצם ככל הניתן את הצורך לאלתר פתרונות ברגע האמת וכדי לאפשר בעת הצורך הקצאת משאבים לשם התמודדות עם משימות קריטיות.

כמו כן, ראוי כי אתר החירום ימוקם במרחק מהאתר הראשי, באופן שבו תקטן ההסתברות ששני
האתרים ייפגעו בו זמנית במצב חירום.


4.3. "הסכמי התקשרות עם ספקים חיצוניים יכללו, בין היתר, התייחסות הולמת למצב של הפרעה לפעולה סדירה של מערכות המידע בין אם בחצרי הארגון ובין אם אצל ספק השירות. כמו כן יש לוודא כי פעילות ספקי השירות תעמוד בהגדרות RPO ו- RTO אותן קבע הארגון" (סעיף 4.3.4 לחוזר הרשות).

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי מרבית החברות מקיימות במידה מועטה בלבד
בקרה על הספקים בהקשר של רציפות במתן השירות. במספר מקרים נמצאו פערים בין יעדי RTO ו-  RPO אשר הגדירו החברות לעצמן, לבין התחייבויותיהם של ספקים בשעת חירום, אשר עשויים להוביל לאי עמידה בהגדרות ה- RTO וה- RPO של החברה. למען הסר ספק, יצוין כי הערת הביקורת רלוונטית רק לספקים חיצוניים חיוניים, אשר פעילותם נדרשת לצורך עמידה ביעדי ה- RTOו- RPO אשר הוגדרו על ידי החברה.

לדעת סגל הרשות, גם במקרה של העברת האחריות התפעולית (Responsibility) לידי גורם חיצוני, הרי שהאחריות הכוללת (Accountability) ממשיכה לחול על החברה והנהלתה. על כן, נדרש לוודא באופן פרואקטיבי, כי הספקים החיצוניים מסוגלים לספק את שירותיהם, בהתאם למדיניות החברה וצרכיה.

לאור האמור, על החברות לוודא את יכולתם של הספקים הרלוונטיים, לספק לחברה מענה גם בעת חירום, בחצרי החברה או אצל הספק. יש לשאוף לעגן את התחייבויות הספקים בכתב ולוודא, כי רמת השירות וזמני התגובה, להם התחייבו הספקים החיצוניים, עונים על צרכי החברה ומותירים לה פרק זמן מספיק לעמידה בהגדרות ה- RTO של כל תהליך. כמו כן, נדרש לסקור בתדירות סבירה וכן בטרם ביצוע שינוי עסקי או טכנולוגי מהותי, את מידת התאמתם של חוזי ההתקשרות עם ספקים חיצוניים לצרכי החברה, לרבות הגדרות RTO ו- RPO.

מסקנה דומה, עולה מניתוח השאלות הנוגעות למעורבות ספקים חיצוניים בתהליכי הגיבוי, כפי
שמתואר בסעיף 9 להלן.


5. על פי סעיף 4.4.1 לחוזר הרשות: "ההנהלה תוודא את קיומו של תהליך ריענון עבור העובדים
הרלוונטיים, בדבר פרטי התוכנית להמשכיות עסקית. ריענון כאמור יערך בתדירות אשר תיקבע ע"י
הנהלת הארגון ויתייחס בין היתר לנוהלי עבודה בחירום וכן לתפקידים ותחומי האחריות בחרום".

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי בחלק מהחברות תדירות ביצוע תהליך הריענון כאמור היתה נמוכה באופן שספק אם מבטיחה את שימור הידע לאורך זמן ועדכונם של עובדים חדשים בנושאים הרלוונטיים. יחד עם זאת, נוכחנו כי במהלך שנת 2012 קיימו מרבית החברות תהליך ריענון לעובדים רלוונטיים.

לדעת סגל הרשות, יש לקיים תהליך ריענון עבור העובדים הרלוונטיים, בדבר פרטי התוכנית להמשכיות עסקית, בתדירות אשר תבטיח תפקוד אפקטיבי של עובדי החברה במצב חירום. במסגרת תהליך זה, יש להתייחס בין היתר לתפקידם של חברי ההנהלה, חברי ההנהלה החליפית ושל הצוותים השונים האמונים
על השבה לפעילות של מערכות טכנולוגיות ותהליכים עסקיים.
 
6. על פי סעיף 4.4.2 לחוזר הרשות: "ההנהלה תבצע בדיקה וניסוי של התוכנית להמשכיות עסקית אחת לתקופה. תרגול זה יכלול, בין היתר, תיעוד התהליך, תיעוד התוצאות והליקויים ואופן הטיפול בהם".

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי תדירות ביצוע התרגולים כאמור בחלק מהחברות
היתה נמוכה באופן שספק אם תאפשר לחברה לרכוש מהימנות מספקת בהפעלת התוכנית בעת הצורך.
לדעת סגל הרשות, יש לקיים תרגולים של תוכנית ההמשכיות העסקית, בהיקף ובתדירות אשר, לדעת
החברה, יבטיחו את היערכותה לחירום ויספקו מענה הולם לצרכיה העסקיים והגנה על לקוחותיה.
 
גיבוי ושחזור נתונים
7. על פי סעיף 3.4.1 לחוזר הרשות: "ההנהלה תבחן בתדירות סבירה, כפי שתיקבע ע"י הדירקטוריון, את מידת התאמתם של תהליכי הגיבוי והשחזור היזום, לצרכי הארגון, לרבות התייחסות לתקלות אשר
התרחשו בתהליך והשלכותיהן על הארגון".

מניתוח מענה החברות המתייחס לסעיף זה עולה, כי 30% מהחברות אינן מקיימות תהליך זה כלל וכי כ- 
20% מהחברות מקיימות תהליך זה במידה מועטה.

לדעת סגל הרשות, קיימת חשיבות רבה בבחינה תקופתית של התאמת תהליכי הגיבוי והשחזור לצרכי החברה, בתדירות אשר תבטיח כי כלל נכסי המידע מגובים כנדרש. במסגרת הבחינה התקופתית כאמור, על החברות לבחון שינויים אפשריים המשפיעים על תהליכי הגיבוי, כגון התארכות תהליך הגיבוי כתוצאה מגידול בכמות המידע, קיצור חלון הזמן בו ניתן לבצע גיבויים הנובע משינוי בתהליכים עסקיים וכדומה. לאור שינויים אפשריים אלו, יש לבחון שוב את מידת התאמתן של המערכות הטכנולוגיות התומכות בתהליך הגיבוי וכן קריטריונים שונים, דוגמת מחזוריות התהליך ואופן השמירה והאחסון של מצעי הגיבוי. כמו כן, נדרשות החברות לבחון את אופן הטיפול בתקלות מהותיות בתהליך הגיבוי, במידה והתרחשו בתקופה החולפת.

8.על פי סעיף 3.2 לחוזר הרשות: "בהתאם לאופי הארגון וצרכיו העסקיים, הדירקטוריון יגבש ויאשר
מדיניות גיבוי ושחזור של נתונים, אשר תכלול, בין היתר, התייחסות להיבטים הבאים:
"...מחזוריות התהליך לרבות סוג הגיבוי ומשך הזמן לשמירת מצעי גיבוי לפני מחזורם" (סעיף 3.2.2
לחוזר הרשות).

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי מספר חברות לא כללו במדיניות ובנהלי העבודה
שלהן הנחיות באשר למשך הזמן לשמירת מצעי גיבוי לפני מחזורם. לדעת סגל הרשות, הגדרת מחזוריות תהליך הגיבוי, לרבות קביעת משך הזמן לשמירה ואחסון מצעי גיבוי מחוץ לחברה, מהווים בסיס לתהליך הגיבוי ומשפיעים באופן ישיר על יכולת החברה לשחזר מידע לנקודות זמן שונות, בהתאם לצרכי החברה.

כמו כן, יש לתת את הדעת כי מחזוריות שמירת מצעי הגיבוי מחוץ לחברה משפיעה על כמות המידע
המקסימאלית אותו עלולה החברה לאבד לצמיתות, במידה ותידרש לשחזר מידע ממצעי הגיבוי.
 
9. על פי סעיף 3.3.3 לחוזר הרשות: "הנהלת הארגון תוודא, כי ספקים חיצוניים של שירותי מערכות
המידע, מסוגלים בעת הצורך, לספק מענה לדרישות שחזור מידע של הארגון, באופן העונה על דרישות
מדיניות הארגון".  

מניתוח מענה החברות המתייחס לסעיף זה, עולה כי מרבית החברות מקיימות בקרה במידה מועטה על הספקים בהקשר לגיבוי ושחזור נתונים. נמצא כי %35 מהחברות, בהן תהליך הגיבוי מתבצע ע"י ספק חיצוני, אינן מקיימות כלל תהליך בקרה על ספקים חיצוניים.

לדעת סגל הרשות, גם במקרה של העברת האחריות התפעולית (Responsibility) לידי גורם חיצוני, הרי שהאחריות הכוללת (Accountability) ממשיכה לחול על החברה והנהלתה. על כן, נדרש לוודא באופן פרואקטיבי, כי הספקים החיצוניים מסוגלים לספק את שירותיהם, בהתאם למדיניות החברה וצרכיה. לאור האמור, על החברות לוודא כי הספקים החיצוניים הרלוונטיים מגבים את המידע השייך לחברה באופן העונה על דרישות מדיניות החברה וצרכיה. בין היתר, נדרשות החברות להבטיח, כי ניתן יהיה לשחזר מידע השייך לחברה, בעקבות שיבוש או מחיקה, לנקודות זמן שונות, בהתאם למחזוריות תהליך הגיבוי, כפי שנקבעה במדיניות החברה (ראה סעיף 3.2.2 לחוזר הרשות). מסקנה דומה, עולה מניתוח השאלות הנוגעות למעורבות ספקים חיצוניים בתוכנית ההמשכיות העסקית,
כפי שמתואר בסעיף 4.3 לעיל.
 
 ניתן לצפייה באתר הרשות בקישור הבא:

https://www.isa.gov.il/Download/IsaFile_8283.pdf



הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או  או שיווק השקעות או ייעוץ השקעות ב: קרנות נאמנות, תעודות סל, קופות גמל, קרנות פנסיה, קרנות השתלמות או כל נייר ערך אחר או נדל"ן– בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניניים. פאנדר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. פאנדר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש. 

x