ISMS信息安全ISO27001认证体系内部组织规范一
ISMS信息安全ISO27001认证体系标准5.3要求确定实施ISO27001认证体系企业的与信息安全相关的角色、责任和权限,其目的是什么?哪些角色和职责需要定义呢?本文予以简要说明供参考。
实施ISMS信息安全ISO27001认证体系时首先要建立内部组织,其目标是建立管理框架,以启动和控制组织范围内的信息安全的实施和运行。
1.在确定ISO27001认证体系信息安全角色和职责时要函盖所有的信息安全职责宜予以定义和分配。
a) 宜识别和定义资产和信息安全过程; 实施指南信息安全职责的分配宜与信息安全策略相一致。宜识别各个资产的保护和执行特定信息安全过程的职责。宜定义信息安全风险管理活动,特别是残余风险接受的职责。这些职责宜在必要时加以补充,来为特定地点和信息处理设施提供更详细的指导。资产保护和执行特定安全过程的局部职责宜予以定义。分配有信息安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们仍然负有责任,并且他们宜能够确定任何被委托的任务是否已被正确地执行。个人负责的领域宜予以规定;特别是,宜进行下列工作:
b) 宜分配每一资产或信息安全过程的实体职责,并且该职责的细节宜形成文件;
c) 宜定义授权级别,并形成文件;
d) 能够履行信息安全领域的职责,领域内被任命的人员宜有能力,并给予他们机会,使其能够紧跟发展的潮流;
e) 宜识别供应商关系信息安全方面的协调和监督措施,并形成文件。
在许多组织中,将任命一名信息安全管理人员全面负责信息安全的开发和实施,并支持控制措施的识别。然而,提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。
2.ISMS信息安全ISO27001认证体系内部组织职责分析控制措施是分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。实施指导如下:
宜注意,在无授权或监测时,个人不能访问、修改或使用资产。事件的启动宜与其授权分离。勾结的可能性宜在设计控制措施时予以考虑。小型组织可能感到难以实现这种职责分离,但只要具有可能性和可行性,宜尽量应用该原则。如果难以分离,宜考虑其他控制措施,例如对活动、审核踪迹和管理监督的监视等。
在确定ISMS信息安全ISO27001认证体系内部织组时除了上述两点,还可能会与保持与政府相关部门、利益集团联系,还要考虑项目管理中信息安全职责,本站将另文介绍。本站所有内容仅供参考。
