Jakie role są wymagane przy wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001?
Sprawdź gotowy zestaw know-how ISO 27001/RODO
Poniżej przestawiony jest gotowy zestawy know-how używany do wdrożenia ISO 27001/RODO w organizacji.
Jeżeli jako Organizacja zastanawiacie się nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), to stajecie przed pytaniem, jakie Role / Funkcje są potrzebne, aby rozpocząć wdrożenie systemu zgodnego z ISO/IEC 27001.
Odpowiedź na to pytanie jest kluczowa dla zdefiniowania katalogu ról oraz zakresu ich odpowiedzialności w Organizacji, a następnie przygotowania treści składających się na SZBI w celu ich przypisania do jednej lub kilku ról. Proces ten jest jednym z etapów składających się na uzyskanie certyfikacji w zakresie bezpieczeństwa informacji.
Role
Poniższa infografika przedstawia kluczowe, z mojego doświadczenia, role do wdrożenia SZBI zgodnego z Systemem Zarządzania Bezpieczeństwem Informacji dla normy ISO/IEC 27001 oraz Rozporządzaniem o Ochronie Danych Osobowych.
Rysunek 1. ISO/IEC 27001 Główne role w systemie zarządzania bezpieczeństwem informacji
Należy zwrócić uwagę, że w zależności od rozmiaru Organizacji Rola może być przypisana do pojedynczej osoby, np. Pełnomocnik ds. Bezpieczeństwa Informacji, albo całej grupy – rola „Administrator IT” będzie zazwyczaj realizowana przez grupę / departament odpowiedzialny za wsparcie IT organizacji.
Pracownik / Kontraktor
Rola ta reprezentuje pracownika / kontraktora w Twojej Organizacji. Kompetencja i wiedza osób przypisanych do tej roli są kluczowe dla osiągnięcia celów Organizacji w zakresie ochrony informacji. Osoby te powinny pracować zgodnie z przyjętymi politykami, procesami i procedurami składającymi się na System Zarządzania Bezpieczeństwem Informacji.
Do najważniejszych polityk przewidzianych dla tej roli należą:
- Polityka Bezpieczeństwa Informacji
- Polityka Klasyfikacji Informacji
- Polityka Akceptowanego Użycia Zasobów
- Polityka Dostępu do Sieci i Usług Sieciowych
- Polityka Zarządzania Hasłami
Przy podejściu do tej Roli Organizacja powinna się skupić na budowaniu świadomości i kompetencji w obszarze ochrony informacji u obecnych i nowych pracowników.
Pełnomocnik ds. Bezpieczeństwa Informacji
Pełnomocnik ds. Bezpieczeństwa Informacji to rola odpowiedzialna za koordynację wszystkich czynności składających się na zarządzanie bezpieczeństwem informacji w Organizacji. W małych i średnich organizacjach może ją pełnić jedna osoba, w większych systemach warto przypisać do tej roli grupę użytkowników.
Osoba w tej roli jest przede wszystkim odpowiedzialna za:
- Definiowanie i nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji
- Koordynowanie wszystkich działań składających się na SZBI
- Komunikowanie SZBI w Organizacji
- Kontakt z organami władzy i grupami zainteresowań z obszaru SZBI
- Koordynowanie procesu zarządzania ryzykiem
- Nadzór i ciągłe doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji
Osoba w tej roli powinna łączyć kompetencje menadżerskie, komunikacyjne oraz techniczne.
Administrator IT
Administrator IT jest to rola odpowiedzialna za definicję, wdrożenie i utrzymywanie od strony technicznej zabezpieczeń i technologii składających się na zasoby i sieci teleinformatyczne Organizacji oraz System Zarządzania Bezpieczeństwem Informacji. W małych i średnich organizacjach rola ta może być powierzona kilku osobom, w dużych, np. działom IT.
Osoba w tej roli jest odpowiedzialna między innymi za:
- Definiowanie i wdrażanie zabezpieczeń technicznych w Organizacji
- Uczestnictwo w procesie analizy ryzyka w roli ekspertów technologicznych
- Utrzymywanie zasobów i infrastruktury teleinformatycznej w oparciu o Proces Działań Operacyjnych
- Nadzór nad dostępami do zasobów w Organizacji
- Monitorowanie i utrzymanie zasobów i sieci teleinformatycznych Organizacji
- Zarządzanie dostępnością, potencjałem wykonawczym oraz zdarzeniami
- Reakcja na zagrożenie i incydenty bezpieczeństwa w Organizacji
- Wsparcie i wykonanie elementów składających się na plany ciągłości działania w Organizacji
- Podnoszenie świadomości użytkowników w obszarach technologicznych
Najwyższe Kierownictwo
W artykule na temat wdrożenia ISO/IEC 27001 („Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?”1 ) wskazywaliśmy, że warunkiem dobrego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest uzyskanie wsparcia najwyższego kierownictwa. Jeżeli zastanawiasz się, czy Wasz Prezes(ka) jest wystarczająco wysoki(a), aby wpaść w tę grupę … nie martw się, to problem niefortunnego tłumaczenia z języka angielskiego 😊.
Najwyższe Kierownictwo to rola powierzona osobie lub grupie osób, które zarządzają i kontrolują Organizację na jej najwyższym szczeblu. W warunkach polskich może to być, np. poziom zarządu organizacji.
Osoby w tej roli są odpowiedzialne za:
- Określenie strategii dla Organizacji
- Określenie celów i zakresu Systemu Zarządzania Bezpieczeństwem Informacji
- Przywództwo i zaangażowanie w odniesieniu do Systemu Zarządzania Bezpieczeństwa Informacji
- Wytyczanie przez Polityki kierunków działania Organizacji w kontekście ochrony informacji
- Definiowanie Ról, przypisanie odpowiedzialności i uprawnień w Organizacji
- Dostarczenie zasobów i akceptacja budżetu
- Prowadzenie i nadzorowanie procesu komunikacji zewnętrznej Organizacji
- Udział w Przeglądach Zarządzania i doskonaleniu SZBI
Osoba w tej roli, w kontekście ochrony informacji, powinna mieć świadomość swojego wypływu na cele, kierunek i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.
Audytor Wewnętrzny
Audytor wewnętrzny jest rolą odpowiedzialną za przeprowadzanie audytów. Audyt jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania dowodów z audytu oraz jego obiektywnej oceny, w celu określenia stopnia spełnienia kryteriów audytu. Audytor wewnętrzny jest rolą kluczową pod kątem utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Mniejsze organizacje powinny rozważyć możliwość outsourcingu tej roli na zewnątrz do firm specjalizujących się w tych działaniach.
Osoby w tej roli są odpowiedzialne za:
- Uczestnictwo w Procesie Zarządzania Audytami
- Przygotowanie i dystrybucja Raport z Audytu
- Ocenę zgodności Organizacji z przyjętymi zabezpieczeniami w Deklaracji Stosowania
- Przygotowanie kryteriów do audytu, celem podniesienia jego jakości
- Budowanie kompetencji eksperta technicznego w obszarach wymaganych w Organizacji
- Dbałość o doskonalenie i rozwój systemów zarządzania Organizacji
Osoba w tej roli powinna łączyć praktykę audytowania Systemów Zarządzania Bezpieczeństwa Informacji z wiedzą o Organizacji i jej zabezpieczeniach bezpieczeństwa informacji.
Inspektor Ochrony Danych Osobowych
Rola Inspektora Ochrony Danych Osobowych (IOD) nie jest kluczowa dla Organizacji, jednak ze względu na wymagania wynikające z Rozporządzenia o Ochronie Danych Osobowych2 warto zastanowić się nad jej zdefiniowaniem. W takim przypadku będzie ona stanowiła rozszerzenie roli Pełnomocnika ds. Bezpieczeństwa Informacji w oparciu o wymagania RODO. Zakres tej roli jest przedstawiony w publikacji poświęconej porównaniu wymagań ISO/IEC 27001 oraz Rozporządzaniu o Ochronie Danych Osobowych.
www.ins2outs.com – wsparcie dla Ról wynikających z ISO/IEC 27001
System ins2outs znacznie ułatwia wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001 oraz Rozporządzeniem o Ochronie Danych Osobowych.
Przy zakupie gotowego zestawu wiedzy o ISO/IEC 27001 Organizacja uzyskuje gotowy do dostosowania do jej potrzeb System Zarządzania Bezpieczeństwem Informacji, a w tym:
- Gotowe definicje Ról z zakresem ich odpowiedzialności
- Możliwość przypisanie użytkowników do jednej lub większej ilości ról
- Szkolenia dostępne na platformie ins2outs wprowadzające dla osób w poszczególnych rolach
- System zadań i powiadomień mający na celu powiadomienie użytkowników o treściach z którymi osoby w danej roli muszą się zapoznać
- Automatyczne wskaźniki zgodności dla Ról i Użytkowników
- Długofalowe profile kompetencyjne dla poszczególnych ról
Rysunek 2. ins2outs – Role w Organizacji wynikające z ISO/IEC 27001
Dzięki temu Organizacja bardzo szybko może pokonać barierę braku know-how w zakresie Systemu Zarządzania Bezpieczeństwem, a następnie ustanowić SZBI i upewnić się, że osoby w poszczególnych rolach w całej Organizacji uzyskały wymaganą wiedzę i kompetencje, aby wspierać bezpieczeństwo informacji. Jest to funkcjonalność bardzo istotna zarówno dla małych, średnich, jak i dużych organizacji.
Jeżeli zainteresowało Cię wdrożenie systemu zarządzania bezpieczeństwem informacji na platformie ins2outs lub chciałbyś się dowiedzieć czegoś więcej, to skontaktuj się z Nami ins2outs@pro4people.com lub odwiedź naszą stronę https://ins2outs.com/
1 Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?
2 (UE) 2016/679 Rozporządzenie o Ochronie Danych Osobowych
Sprawdź gotowy zestaw know-how ISO 27001/RODO
Poniżej przestawiony jest gotowy zestawy know-how używany do wdrożenia ISO 27001/RODO w organizacji.