Пояснення ролей та обов'язків за стандартом ISO 27001
Ролі та обов'язки за стандартом ISO 27001
Визначення та розподіл ролей і відповідальності за інформаційну безпеку є важливим для впровадження та функціонування Системи управління інформаційною безпекою (СУІБ).
Чітко визначені ролі та обов'язки гарантують, що співробітники знають, чого від них очікують, сприяючи відповідальності за інформаційну безпеку в організації.
Крім того, це розроблено для встановлення чіткої, затвердженої та зрозумілої системи впровадження, функціонування та управління інформаційною безпекою в організації.
Кому це належить?
Керівник з інформаційної безпеки, у співпраці з відділом кадрів та вищим керівництвом, відповідає за визначення та розподіл ролей та обов'язків у сфері інформаційної безпеки.
ЗРОБИ САМ ISO 27001
Нарешті! Впровадьте ISO 27001 самостійно, не витрачаючи ні копійки на консультантів чи програмне забезпечення.
Керівництво з дотримання вимог
Ролі та обов'язки у сфері інформаційної безпеки слід призначати відповідно до встановленої політики інформаційної безпеки та відповідних тематичних політик.
Організація повинна чітко визначити та керувати обов'язками щодо:
  • Захист інформації та пов'язаних з нею активів.
  • Виконання спеціальних процедур інформаційної безпеки.
  • Управління ризиками інформаційної безпеки, включаючи прийняття залишкових ризиків (наприклад, відповідальними за ризики).
  • Забезпечення безпечного використання організаційної інформації та пов'язаних з нею активів усім персоналом.
Ці обов'язки можуть бути доповнені більш детальними інструкціями щодо конкретних місць розташування та засобів обробки інформації.
Особи, на яких покладено обов'язки щодо безпеки, можуть делегувати завдання іншим, але зрештою вони залишаються відповідальними за успішне виконання цих завдань.
Кожна сфера безпеки з призначеними обов'язками має бути чітко визначена, задокументована та доведена до відома всього відповідного персоналу. Рівні повноважень для кожної ролі також повинні бути визначені та задокументовані.
Особи, які виконують ролі в галузі інформаційної безпеки, повинні володіти необхідними знаннями та навичками. Організація повинна надавати постійну підтримку, щоб забезпечити збереження цими особами необхідних компетенцій.
Додаткові вказівки
Багато організацій призначають керівника з інформаційної безпеки, який керує розробкою та впровадженням заходів інформаційної безпеки, включаючи стратегії виявлення та зменшення ризиків. Однак відповідальність за розподіл ресурсів та впровадження конкретних заходів контролю часто покладається на керівників окремих відділів.
Поширений підхід полягає у призначенні «власника активу» для кожного критичного активу, що робить його відповідальним за його щоденну безпеку. Розподіл обов'язків щодо інформаційної безпеки залежить від розміру організації та наявних ресурсів.
У деяких випадках встановлюються спеціальні посади з інформаційної безпеки, тоді як в інших обов'язки з безпеки інтегровані в існуючі посадові обов'язки.
Додаткова література
У розділі 5.2 Додатка A до стандарту ISO 27001 «Ролі та обов’язки» конкретно розглядаються вимоги до розподілу «Ролей та обов’язків».