Необходимые мероприятия
Высшее руководство должно обеспечивать распределение обязанностей и полномочий в отношении ролей, имеющих отношение к информационной безопасности, и информирование об этом всей организации.
Пояснение
Высшее руководство обеспечивает распределение и доведение ролей и обязанностей, а также необходимых полномочий, имеющих отношение к ИБ.
Цель этого требования состоит в том, чтобы возложить обязанности и полномочия для обеспечения соответствия СМИБ требованиям ИСО/МЭК 27001, а также обеспечить предоставление отчетности о производительности СМИБ высшему руководству.
Руководство
Высшее руководство должно регулярно следить за тем, чтобы обязанности и полномочия в отношении СМИБ были распределены таким образом, чтобы система менеджмента выполняла требования, изложенные в ИСО/МЭК 27001. Высшее руководство не должно распределять все роли, обязанности и полномочия, но должно надлежащим образом делегировать полномочия на это. Высшее руководство должно утвердить основные роли, обязанности и полномочия СМИБ.
Следует распределить обязанности и полномочия, связанные с деятельностью в области ИБ. Они включают в себя:
a) координацию создания, внедрения, поддержания, отчетности о производительности и улучшении СМИБ;
b) консультирование по вопросам оценки и обработки рисков ИБ;
c) разработку процессов и систем ИБ;
d) установление стандартов, касающихся определения, настройки и функционирования мер обеспечения ИБ;
e) управление инцидентами ИБ;
f) анализ и аудит СМИБ.
Соответствующие обязанности и полномочия в области ИБ должны быть включены не только в роли, непосредственно связанные с ИБ, но и в другие роли. Например, обязанности по ИБ могут быть включены в роли:
g) владельцев информации;
h) владельцев процесса;
i) владельцев активов (например, владельцы приложений или инфраструктуры);
j) владельцев рисков;
k) координатора ИБ (эта специфическая роль обычно играет вспомогательную роль в СМИБ);
l) руководителей проектов;
m) линейных менеджеров;
n) пользователей информации.
Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5, перечисление b)).
Дополнительная информация
Дополнительная информация отсутствует.