Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

     5.3 Организационные роли, обязанности и полномочия


Необходимые мероприятия

Высшее руководство должно обеспечивать распределение обязанностей и полномочий в отношении ролей, имеющих отношение к информационной безопасности, и информирование об этом всей организации.

Пояснение

Высшее руководство обеспечивает распределение и доведение ролей и обязанностей, а также необходимых полномочий, имеющих отношение к ИБ.

Цель этого требования состоит в том, чтобы возложить обязанности и полномочия для обеспечения соответствия СМИБ требованиям ИСО/МЭК 27001, а также обеспечить предоставление отчетности о производительности СМИБ высшему руководству.

Руководство

Высшее руководство должно регулярно следить за тем, чтобы обязанности и полномочия в отношении СМИБ были распределены таким образом, чтобы система менеджмента выполняла требования, изложенные в ИСО/МЭК 27001. Высшее руководство не должно распределять все роли, обязанности и полномочия, но должно надлежащим образом делегировать полномочия на это. Высшее руководство должно утвердить основные роли, обязанности и полномочия СМИБ.

Следует распределить обязанности и полномочия, связанные с деятельностью в области ИБ. Они включают в себя:

a) координацию создания, внедрения, поддержания, отчетности о производительности и улучшении СМИБ;

b) консультирование по вопросам оценки и обработки рисков ИБ;

c) разработку процессов и систем ИБ;

d) установление стандартов, касающихся определения, настройки и функционирования мер обеспечения ИБ;

e) управление инцидентами ИБ;

f) анализ и аудит СМИБ.

Соответствующие обязанности и полномочия в области ИБ должны быть включены не только в роли, непосредственно связанные с ИБ, но и в другие роли. Например, обязанности по ИБ могут быть включены в роли:

g) владельцев информации;

h) владельцев процесса;

i) владельцев активов (например, владельцы приложений или инфраструктуры);

j) владельцев рисков;

k) координатора ИБ (эта специфическая роль обычно играет вспомогательную роль в СМИБ);

l) руководителей проектов;

m) линейных менеджеров;

n) пользователей информации.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5, перечисление b)).

Дополнительная информация

Дополнительная информация отсутствует.