Jakie role są wymagane przy wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001?

Jeżeli jako Organizacja zastanawiacie się nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), to stajecie przed pytaniem, jakie Role / Funkcje są potrzebne, aby rozpocząć wdrożenie systemu zgodnego z ISO/IEC 27001.

Odpowiedź na to pytanie jest kluczowa dla zdefiniowania katalogu ról oraz zakresu ich odpowiedzialności w Organizacji, a następnie przygotowania treści składających się na SZBI w celu ich przypisania do jednej lub kilku ról. Proces ten jest jednym z etapów składających się na uzyskanie certyfikacji w zakresie bezpieczeństwa informacji.

Role

Poniższa infografika przedstawia kluczowe, z mojego doświadczenia, role do wdrożenia SZBI zgodnego z Systemem Zarządzania Bezpieczeństwem Informacji dla normy ISO/IEC 27001 oraz Rozporządzaniem o Ochronie Danych Osobowych.

Rysunek 1. ISO/IEC 27001 Główne role w systemie zarządzania bezpieczeństwem informacji

Należy zwrócić uwagę, że w zależności od rozmiaru Organizacji Rola może być przypisana do pojedynczej osoby, np. Pełnomocnik ds. Bezpieczeństwa Informacji, albo całej grupy – rola „Administrator IT” będzie zazwyczaj realizowana przez grupę / departament odpowiedzialny za wsparcie IT organizacji.

Pracownik / Kontraktor

Rola ta reprezentuje pracownika / kontraktora w Twojej Organizacji. Kompetencja i wiedza osób przypisanych do tej roli są kluczowe dla osiągnięcia celów Organizacji w zakresie ochrony informacji. Osoby te powinny pracować zgodnie z przyjętymi politykami, procesami i procedurami składającymi się na System Zarządzania Bezpieczeństwem Informacji.

Do najważniejszych polityk przewidzianych dla tej roli należą:

• Polityka Bezpieczeństwa Informacji
• Polityka Klasyfikacji Informacji
• Polityka Akceptowanego Użycia Zasobów
• Polityka Dostępu do Sieci i Usług Sieciowych
• Polityka Zarządzania Hasłami

Przy podejściu do tej Roli Organizacja powinna się skupić na budowaniu świadomości i kompetencji w obszarze ochrony informacji u obecnych i nowych pracowników.

Pełnomocnik ds. Bezpieczeństwa Informacji

Pełnomocnik ds. Bezpieczeństwa Informacji to rola odpowiedzialna za koordynację wszystkich czynności składających się na zarządzanie bezpieczeństwem informacji w Organizacji. W małych i średnich organizacjach może ją pełnić jedna osoba, w większych systemach warto przypisać do tej roli grupę użytkowników.

Osoba w tej roli jest przede wszystkim odpowiedzialna za:

• Definiowanie i nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji
• Koordynowanie wszystkich działań składających się na SZBI
• Komunikowanie SZBI w Organizacji
• Kontakt z organami władzy i grupami zainteresowań z obszaru SZBI
• Koordynowanie procesu zarządzania ryzykiem
• Nadzór i ciągłe doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji

Osoba w tej roli powinna łączyć kompetencje menadżerskie, komunikacyjne oraz techniczne.

Administrator IT

Administrator IT jest to rola odpowiedzialna za definicję, wdrożenie i utrzymywanie od strony technicznej zabezpieczeń i technologii składających się na zasoby i sieci teleinformatyczne Organizacji oraz System Zarządzania Bezpieczeństwem Informacji. W małych i średnich organizacjach rola ta może być powierzona kilku osobom, w dużych, np. działom IT.

Osoba w tej roli jest odpowiedzialna między innymi za:

• Definiowanie i wdrażanie zabezpieczeń technicznych w Organizacji
• Uczestnictwo w procesie analizy ryzyka w roli ekspertów technologicznych
• Utrzymywanie zasobów i infrastruktury teleinformatycznej w oparciu o Proces Działań Operacyjnych
• Nadzór nad dostępami do zasobów w Organizacji
• Monitorowanie i utrzymanie zasobów i sieci teleinformatycznych Organizacji
• Zarządzanie dostępnością, potencjałem wykonawczym oraz zdarzeniami
• Reakcja na zagrożenie i incydenty bezpieczeństwa w Organizacji
• Wsparcie i wykonanie elementów składających się na plany ciągłości działania w Organizacji
• Podnoszenie świadomości użytkowników w obszarach technologicznych

Najwyższe Kierownictwo

W artykule na temat wdrożenia ISO/IEC 27001 („Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?”¹ ) wskazywaliśmy, że warunkiem dobrego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest uzyskanie wsparcia najwyższego kierownictwa. Jeżeli zastanawiasz się, czy Wasz Prezes(ka) jest wystarczająco wysoki(a), aby wpaść w tę grupę … nie martw się, to problem niefortunnego tłumaczenia z języka angielskiego 😊.

Najwyższe Kierownictwo to rola powierzona osobie lub grupie osób, które zarządzają i kontrolują Organizację na jej najwyższym szczeblu. W warunkach polskich może to być, np. poziom zarządu organizacji.

Osoby w tej roli są odpowiedzialne za:

• Określenie strategii dla Organizacji
• Określenie celów i zakresu Systemu Zarządzania Bezpieczeństwem Informacji
• Przywództwo i zaangażowanie w odniesieniu do Systemu Zarządzania Bezpieczeństwa Informacji
• Wytyczanie przez Polityki kierunków działania Organizacji w kontekście ochrony informacji
• Definiowanie Ról, przypisanie odpowiedzialności i uprawnień w Organizacji
• Dostarczenie zasobów i akceptacja budżetu
• Prowadzenie i nadzorowanie procesu komunikacji zewnętrznej Organizacji
• Udział w Przeglądach Zarządzania i doskonaleniu SZBI

Osoba w tej roli, w kontekście ochrony informacji, powinna mieć świadomość swojego wypływu na cele, kierunek i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.

Audytor Wewnętrzny

Audytor wewnętrzny jest rolą odpowiedzialną za przeprowadzanie audytów. Audyt jest systematycznym, niezależnym i udokumentowanym procesem uzyskiwania dowodów z audytu oraz jego obiektywnej oceny, w celu określenia stopnia spełnienia kryteriów audytu. Audytor wewnętrzny jest rolą kluczową pod kątem utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. Mniejsze organizacje powinny rozważyć możliwość outsourcingu tej roli na zewnątrz do firm specjalizujących się w tych działaniach.

Osoby w tej roli są odpowiedzialne za:

• Uczestnictwo w Procesie Zarządzania Audytami
• Przygotowanie i dystrybucja Raport z Audytu
• Ocenę zgodności Organizacji z przyjętymi zabezpieczeniami w Deklaracji Stosowania
• Przygotowanie kryteriów do audytu, celem podniesienia jego jakości
• Budowanie kompetencji eksperta technicznego w obszarach wymaganych w Organizacji
• Dbałość o doskonalenie i rozwój systemów zarządzania Organizacji

Osoba w tej roli powinna łączyć praktykę audytowania Systemów Zarządzania Bezpieczeństwa Informacji z wiedzą o Organizacji i jej zabezpieczeniach bezpieczeństwa informacji.

Inspektor Ochrony Danych Osobowych

Rola Inspektora Ochrony Danych Osobowych (IOD) nie jest kluczowa dla Organizacji, jednak ze względu na wymagania wynikające z Rozporządzenia o Ochronie Danych Osobowych²  warto zastanowić się nad jej zdefiniowaniem. W takim przypadku będzie ona stanowiła rozszerzenie roli Pełnomocnika ds. Bezpieczeństwa Informacji w oparciu o wymagania RODO. Zakres tej roli jest przedstawiony w publikacji poświęconej porównaniu wymagań ISO/IEC 27001 oraz Rozporządzaniu o Ochronie Danych Osobowych.

www.ins2outs.com – wsparcie dla Ról wynikających z ISO/IEC 27001

System ins2outs znacznie ułatwia wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001 oraz Rozporządzeniem o Ochronie Danych Osobowych.

Przy zakupie gotowego zestawu wiedzy o ISO/IEC 27001 Organizacja uzyskuje gotowy do dostosowania do jej potrzeb System Zarządzania Bezpieczeństwem Informacji, a w tym:

1. Gotowe definicje Ról z zakresem ich odpowiedzialności
2. Możliwość przypisanie użytkowników do jednej lub większej ilości ról
3. Szkolenia dostępne na platformie ins2outs wprowadzające dla osób w poszczególnych rolach
4. System zadań i powiadomień mający na celu powiadomienie użytkowników o treściach z którymi osoby w danej roli muszą się zapoznać
5. Automatyczne wskaźniki zgodności dla Ról i Użytkowników
6. Długofalowe profile kompetencyjne dla poszczególnych ról

Rysunek 2. ins2outs – Role w Organizacji wynikające z ISO/IEC 27001

Dzięki temu Organizacja bardzo szybko może pokonać barierę braku know-how w zakresie Systemu Zarządzania Bezpieczeństwem, a następnie ustanowić SZBI i upewnić się, że osoby w poszczególnych rolach w całej Organizacji uzyskały wymaganą wiedzę i kompetencje, aby wspierać bezpieczeństwo informacji. Jest to funkcjonalność bardzo istotna zarówno dla małych, średnich, jak i dużych organizacji.

Jeżeli zainteresowało Cię wdrożenie systemu zarządzania bezpieczeństwem informacji na platformie ins2outs lub chciałbyś się dowiedzieć czegoś więcej, to skontaktuj się z Nami ins2outs@pro4people.com lub odwiedź naszą stronę https://ins2outs.com/

¹ Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?
² (UE) 2016/679 Rozporządzenie o Ochronie Danych Osobowych