Jakie role są wymagane przy wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001?

Jeżeli jako Organizacja zastanawiacie się nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), to stajecie przed pytaniem, jakie Role / Funkcje są potrzebne, aby rozpocząć wdrożenie systemu zgodnego z ISO/IEC 27001.

Odpowiedź na to pytanie jest kluczowa dla zdefiniowania katalogu ról oraz zakresu ich odpowiedzialności w Organizacji, a następnie przygotowania treści składających się na SZBI w celu ich przypisania do jednej lub kilku ról. Proces ten jest jednym z etapów składających się na uzyskanie certyfikacji w zakresie bezpieczeństwa informacji.

Role

Poniższa infografika przedstawia kluczowe, z mojego doświadczenia, role do wdrożenia SZBI zgodnego z Systemem Zarządzania Bezpieczeństwem Informacji dla normy ISO/IEC 27001 oraz Rozporządzaniem o Ochronie Danych Osobowych.

ISO/IEC 27001 Główne role w systemie zarządzania bezpieczeństwem informacji

Rysunek 1. ISO/IEC 27001 Główne role w systemie zarządzania bezpieczeństwem informacji

Należy zwrócić uwagę, że w zależności od rozmiaru Organizacji Rola może być przypisana do pojedynczej osoby, np. Pełnomocnik ds. Bezpieczeństwa Informacji, albo całej grupy – rola „Administrator IT” będzie zazwyczaj realizowana przez grupę / departament odpowiedzialny za wsparcie IT organizacji.

Pracownik / Kontraktor

Rola ta reprezentuje pracownika / kontraktora w Twojej Organizacji. Kompetencja i wiedza osób przypisanych do tej roli są kluczowe dla osiągnięcia celów Organizacji w zakresie ochrony informacji. Osoby te powinny pracować zgodnie z przyjętymi politykami, procesami i procedurami składającymi się na System Zarządzania Bezpieczeństwem Informacji.

Do najważniejszych polityk przewidzianych dla tej roli należą:

  • Polityka Bezpieczeństwa Informacji
  • Polityka Klasyfikacji Informacji
  • Polityka Akceptowanego Użycia Zasobów
  • Polityka Dostępu do Sieci i Usług Sieciowych
  • Polityka Zarządzania Hasłami

Przy podejściu do tej Roli Organizacja powinna się skupić na budowaniu świadomości i kompetencji w obszarze ochrony informacji u obecnych i nowych pracowników.

Pełnomocnik ds. Bezpieczeństwa Informacji

Pełnomocnik ds. Bezpieczeństwa Informacji to rola odpowiedzialna za koordynację wszystkich czynności składających się na zarządzanie bezpieczeństwem informacji w Organizacji. W małych i średnich organizacjach może ją pełnić jedna osoba, w większych systemach warto przypisać do tej roli grupę użytkowników.

Osoba w tej roli jest przede wszystkim odpowiedzialna za:

  • Definiowanie i nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji
  • Koordynowanie wszystkich działań składających się na SZBI
  • Komunikowanie SZBI w Organizacji
  • Kontakt z organami władzy i grupami zainteresowań z obszaru SZBI
  • Koordynowanie procesu zarządzania ryzykiem
  • Nadzór i ciągłe doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji

Osoba w tej roli powinna łączyć kompetencje menadżerskie, komunikacyjne oraz techniczne.

Administrator IT

Administrator IT jest to rola odpowiedzialna za definicję, wdrożenie i utrzymywanie od strony technicznej zabezpieczeń i technologii składających się na zasoby i sieci teleinformatyczne Organizacji oraz System Zarządzania Bezpieczeństwem Informacji. W małych i średnich organizacjach rola ta może być powierzona kilku osobom, w dużych, np. działom IT.

Osoba w tej roli jest odpowiedzialna między innymi za:

  • Definiowanie i wdrażanie zabezpieczeń technicznych w Organizacji
  • Uczestnictwo w procesie analizy ryzyka w roli ekspertów technologicznych
  • Utrzymywanie zasobów i infrastruktury teleinformatycznej w oparciu o Proces Działań Operacyjnych
  • Nadzór nad dostępami do zasobów w Organizacji
  • Monitorowanie i utrzymanie zasobów i sieci teleinformatycznych Organizacji
  • Zarządzanie dostępnością, potencjałem wykonawczym oraz zdarzeniami
  • Reakcja na zagrożenie i incydenty bezpieczeństwa w Organizacji
  • Wsparcie i wykonanie elementów składających się na plany ciągłości działania w Organizacji
  • Podnoszenie świadomości użytkowników w obszarach technologicznych

Najwyższe Kierownictwo

W artykule na temat wdrożenia ISO/IEC 27001 („Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?1 ) wskazywaliśmy, że warunkiem dobrego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest uzyskanie wsparcia najwyższego kierownictwa. Jeżeli zastanawiasz się, czy Wasz Prezes(ka) jest wystarczająco wysoki(a), aby wpaść w tę grupę … nie martw się, to problem niefortunnego tłumaczenia z języka angielskiego 😊.

Najwyższe Kierownictwo to rola powierzona osobie lub grupie osób, które zarządzają i kontrolują Organizację na jej najwyższym szczeblu. W warunkach polskich może to być, np. poziom zarządu organizacji.

Osoby w tej roli są odpowiedzialne za:

  • Określenie strategii dla Organizacji
  • Określenie celów i zakresu Systemu Zarządzania Bezpieczeństwem Informacji
  • Przywództwo i zaangażowanie w odniesieniu do Systemu Zarządzania Bezpieczeństwa Informacji
  • Wytyczanie przez Polityki kierunków działania Organizacji w kontekście ochrony informacji
  • Definiowanie Ról, przypisanie odpowiedzialności i uprawnień w Organizacji
  • Dostarczenie zasobów i akceptacja budżetu
  • Prowadzenie i nadzorowanie procesu komunikacji zewnętrznej Organizacji
  • Udział w Przeglądach Zarządzania i doskonaleniu SZBI

Osoba w tej roli, w kontekście ochrony informacji, powinna mieć świadomość swojego wypływu na cele, kierunek i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.

Audytor Wewnętrzny

Audytor wewnętrzny jest rolą odpowiedzialną za przeprowadzanie audytów. Audyt jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania dowodów z audytu oraz jego obiektywnej oceny, w celu określenia stopnia spełnienia kryteriów audytu. Audytor wewnętrzny jest rolą kluczową pod kątem utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Mniejsze organizacje powinny rozważyć możliwość outsourcingu tej roli na zewnątrz do firm specjalizujących się w tych działaniach.

Osoby w tej roli są odpowiedzialne za:

  • Uczestnictwo w Procesie Zarządzania Audytami
  • Przygotowanie i dystrybucja Raport z Audytu
  • Ocenę zgodności Organizacji z przyjętymi zabezpieczeniami w Deklaracji Stosowania
  • Przygotowanie kryteriów do audytu, celem podniesienia jego jakości
  • Budowanie kompetencji eksperta technicznego w obszarach wymaganych w Organizacji
  • Dbałość o doskonalenie i rozwój systemów zarządzania Organizacji

Osoba w tej roli powinna łączyć praktykę audytowania Systemów Zarządzania Bezpieczeństwa Informacji z wiedzą o Organizacji i jej zabezpieczeniach bezpieczeństwa informacji.

Inspektor Ochrony Danych Osobowych

Rola Inspektora Ochrony Danych Osobowych (IOD) nie jest kluczowa dla Organizacji, jednak ze względu na wymagania wynikające z Rozporządzenia o Ochronie Danych Osobowych2  warto zastanowić się nad jej zdefiniowaniem. W takim przypadku będzie ona stanowiła rozszerzenie roli Pełnomocnika ds. Bezpieczeństwa Informacji w oparciu o wymagania RODO. Zakres tej roli jest przedstawiony w publikacji poświęconej porównaniu wymagań ISO/IEC 27001 oraz Rozporządzaniu o Ochronie Danych Osobowych.

www.ins2outs.com – wsparcie dla Ról wynikających z ISO/IEC 27001

System ins2outs znacznie ułatwia wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001 oraz Rozporządzeniem o Ochronie Danych Osobowych.

Przy zakupie gotowego zestawu wiedzy o ISO/IEC 27001 Organizacja uzyskuje gotowy do dostosowania do jej potrzeb System Zarządzania Bezpieczeństwem Informacji, a w tym:

  1. Gotowe definicje Ról z zakresem ich odpowiedzialności
  2. Możliwość przypisanie użytkowników do jednej lub większej ilości ról
  3. Szkolenia dostępne na platformie ins2outs wprowadzające dla osób w poszczególnych rolach
  4. System zadań i powiadomień mający na celu powiadomienie użytkowników o treściach z którymi osoby w danej roli muszą się zapoznać
  5. Automatyczne wskaźniki zgodności dla Ról i Użytkowników
  6. Długofalowe profile kompetencyjne dla poszczególnych ról

ins2outs Role w Organizacji wymagane przez ISO 27001

Rysunek 2. ins2outs – Role w Organizacji wynikające z ISO/IEC 27001

Dzięki temu Organizacja bardzo szybko może pokonać barierę braku know-how w zakresie Systemu Zarządzania Bezpieczeństwem, a następnie ustanowić SZBI i upewnić się, że osoby w poszczególnych rolach w całej Organizacji uzyskały wymaganą wiedzę i kompetencje, aby wspierać bezpieczeństwo informacji. Jest to funkcjonalność bardzo istotna zarówno dla małych, średnich, jak i dużych organizacji.

Jeżeli zainteresowało Cię wdrożenie systemu zarządzania bezpieczeństwem informacji na platformie ins2outs lub chciałbyś się dowiedzieć czegoś więcej, to skontaktuj się z Nami info@ins2outs.com lub odwiedź naszą stronę https://ins2outs.com/

1 Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?
2 (UE) 2016/679 Rozporządzenie o Ochronie Danych Osobowych