Punkt ten dotyczy zapewnienia przez kierownictwo najwyższego szczebla, że role, obowiązki i uprawnienia są jasne dla systemu zarządzania bezpieczeństwem informacji. Nie oznacza to, że organizacja musi wyznaczyć kilku nowych pracowników lub nadmiernie zwiększyć zaangażowane środki – jest to często źle rozumiane oczekiwanie, które zniechęca mniejsze organizacje do osiągnięcia standardu.
Co zawiera punkt 5.3?
Po prostu ISO 27001 wymaga jasności i skupienia się na kluczowych częściach SZBI – kto jest odpowiedzialny ogólnie, kto jest odpowiedzialny za określone części, wszystkie dobre i logiczne praktyki biznesowe. Musisz wykazać, że określone role (niekoniecznie osoby) istnieją, zostały wyznaczone przez najwyższe kierownictwo i są przekazywane odpowiednim zainteresowanym stronom oraz jasno udokumentowane, aby nie było żadnych niejasności. Wymóg ten jest dość wysoki i łatwy do udokumentowania, a także pasuje do innych części systemu zarządzania bezpieczeństwem informacji, np. właścicieli ryzyka bezpieczeństwa w 6.1, właścicieli celów bezpieczeństwa informacji w 6.2 itp.
Tak więc jedna osoba może pełnić więcej niż jedną rolę i możesz ujednolicić pracę, np. poprzez posiadanie zespołu, który nadzoruje wszystko, aby pomóc wykazać przeglądy zarządzania zgodnie z 9.3 i w pełni ujednolicić system zarządzania bezpieczeństwem informacji. Po prostu wyjaśnij, kto jest za co odpowiedzialny. Pomyśl o rolach pod kątem interesariuszy, a także praktycznego wdrożenia. Na przykład rola CISO (Chief Information Security Officer) może być sygnałem dla Twoich klientów, że poważnie traktujesz bezpieczeństwo informacji i może być pełniona przez kierownika wyższego szczebla oprócz jego codziennej pracy, lub w większej organizacji może to być rola pełnoetatowa.
Możesz także zdecydować się na powołanie Specjalisty ds. Bezpieczeństwa Informacji Technicznych (TISO) lub jego odpowiednika, który jest bardziej techniczny i może skupić się na tych aspektach SZBI, jeśli inne role pełnione są przez osoby bardziej komercyjne/strategiczne. Zapoznaj się z Załącznikiem A 6.1.1 (dotyczącym organizacji bezpieczeństwa informacji) i upewnij się, że dostosowałeś ten wymóg do tej kontroli z Załącznika A.
Norma ISO 27001 wymaga w szczególności jasnego określenia ról i obowiązków:
- zapewnienia, że system zarządzania bezpieczeństwem informacji spełnia wymagania Międzynarodowej Organizacji Normalizacyjnej
- raportowanie wydajności SZBI (co jest znacznie łatwiejsze, jeśli wszystko jest w jednym miejscu)
Często się zdarza, że kierownik wyższego szczebla jest odpowiedzialny za SZBI w ramach zobowiązania kierownictwa wyższego szczebla do zapewnienia bezpieczeństwa informacji (5.1), ale może on oczywiście delegować jego działanie innym osobom w organizacji lub zlecić je specjalistom, z takich podmiotów jak: OpenTech CyberSecuiry lub DMTeam sp. z o.o. specjalizującymi się w zarządzaniu bezpieczeństwem informacji i audytowaniu.