ISO 27001 资讯安全管理系统 【解析】(十五)

(三) 第5.3条组织角色、责任与职权,高阶管理者应该指派有关ISMS之角色、分配相关责任与职权,这些角色将会执行ISMS的相关活动如下:
• 整合建立、维护、管理、报告效能、改善。
• 风险评估及处置的建议
• 设计流程及系统
• 设置标准内的控制措施及执行
• 管理资安事件
• 审查及稽核
除了上述的活动,与资讯本身相关的角色也应该指派,以避免责任无法区分,需要指派的范例如下(参考NIST SP800-12):

  1. 风险执行长
    可以是企业中的CEO、董事会成员、CIO,负责保证考量与风险相关的注意事项,并陈述总体策略目标以实现业务使命和职能。
     基本职责:
    • 定义一个完整的策略来解决整个企业的安全风险。
    • 制定企业风险管理策略。
    • 监督整个企业中与风险相关的活动。

  2. 资讯安全执行长
    代表企业中的最高级别的高阶管理人员,他们全权负责提供与资讯的安全性相对应的资讯安全保护,其风险和冲击可能是由於未经授权的揭露、存取、破坏和修改而引起的。
     基本职责:
    • 整合资讯安全管理流程、策略以及营运计划流程。
    • 确保促进组织营运的系统和资讯已有相应的资讯安全防护措施。
    • 核准受过培训的人员在遵守相关的资讯安全策略、法规、指令、指令和准则之下执行工作。

  3. 首席资讯长
    负责指定资讯安全官,制定和维护安全性的政策、程序和控制技术,监督负有重大安全责任的人员并确保人员得到适当培训,并为高阶人员提供支持组织角色的安全活动。
     基本职责:
    • 为支持组织的营运使命和职掌,系统性地保护及分配资源。
    • 透过确认安全的规划,来保证系统被保护并被允许运行。
    • 确保有效实施组织整体的资讯安全计划。

  4. 资讯拥有者
    负责营运、管理或设定资讯的权限。
     基本职责:
    • 建立正确使用和保护机密性的规则。
    • 向系统所有者提供有关充分保护机密资讯所需的安全控制和要求的资讯。
    • 制定政策和程序,以监督资讯之产生、处理、搜集、处置和传递。

  5. 资讯安全官
    负责作为首席资讯官和系统拥有者之间的主要联系人,授权人员、系统安全员及其他人员。该角色也可以称为首席资讯安全官。
     基本职责:
    • 管理和实施组织整体的资讯安全计划。
    • 在需要时承担确认安全控制评估者的责任。

  6. 授权人员
    负责承担在对企业资产和营运造成一定风险的情况下运行系统的责任。
     基本职责:
    • 确认安全计划、行动计划并确定操作环境或系统中的某些变更是否需要重新授权。
    • 通过安全授权确保指定的代表执行其活动和职能。

  7. 授权人员指定代表
    代表授权人员协调并进行与安全授权过程相关的基本日常活动。
     基本职责:
    • 承担授权人员的责任。
    • 制定相关计划和授权流程,监控和核准行动计划实施的决策。
    • 准备授权,获取授权经理在与授权决策相关文件上的签名。

  8. 隐私权高级专员
    对确保实施隐私保护负有全部责任,例如确保组织完全遵守与隐私相关的法律、政策和法规。
     基本职责:
    • 监督、促进和协调组织的隐私合规性工作。
    • 审查资讯隐私程序,以确保其完整性且维持最新。
    • 确保组织的承包商和员工接受有关指导资讯处理的资讯法规、政策、程序和隐私法律的适当教育和培训计划。

  9. 系统拥有者
    负责系统的采购、开发、变更、操作、维护和处置。
     基本职责:
    • 解决使用者的操作。
    • 保证安全性要求。
    • 创建和订定系统安全计划。
    • 确保根据制定的安全控制措施来操作和部署系统。

  10. 系统安全人员
    负责确保系统中保持适当之作业安全的人员。
     基本职责:
    • 监督系统的日常安全作业。
    • 支援安全策略和流程的开发,并保证遵守这些安全策略和流程。

  11. 系统安全工程师
    负责执行系统安全工程活动的个人或团体。
     基本职责:
    • 设计和开发组织的系统或强化、更新旧系统。
    • 与系统拥有者、资讯安全人员及系统安全人员协调面对资讯安全的活动。

  12. 安全控制评估员
    负责对操作、管理和技术安全控制以及系统继承或用於确定安全控制措施有效性评估的个人或团体。
     基本职责:
    • 提供评估以确定系统及其作业环境中的漏洞或弱点。
    • 建议采取矫正措施以解决确定的漏洞。
    • 编写包含评估结果的安全评估报告。

  13. 系统管理员
    负责组建和维护系统/系统组件的个人或团体。
     基本职责:
    • 安装、配置和更新硬体和软件。
    • 建立和管理用户帐户。
    • 监督备份和复原任务。
    • 实施与安全性相关的技术控制。

  14. 使用者
    有权访问组织资料以执行其分配职责的个人/团体/组织。
     主要责任:
    • 遵循管理系统可接受使用的策略。
    • 基於合规的目的,使用单位提供的资源
    • 报告可疑或异常的系统行为。

  15. 其他辅助角色
    • 稽核员—负责分析系统,以确定安全控制措施是否适当以及系统是否满足规定的安全需求和组织策略。
    • 实体安全人员—负责创建和执行相应的物理安全控制。
    • 灾难复原人员—负责整个组织的突发事件应变计划,并与其他员工一起工作,以根据需要获得支援来因应额外的突发事件。
    • 品质保证人员—负责透过保证系统的完整性、机密性和可用性来提高程序品质。
    • 采购办公室工作人员—负责保证组织采购。
    • 培训办公室人员—负责确保有效的培训计划。
    • 人力资源人员—负责以安全为导向的人员聘雇及离职程序,例如背景调查、保密合约签署。
    • 风险管理人员—负责分析企业可能面临的安全性方面的所有风险。
    • 实体工厂员工—负责各项服务的提供,这对系统的安全性和安全操作至关重要。
    • 隐私权办公室工作人员—负责制定完整的隐私权计划,以确保符合隐私权要求,制定和分析隐私权政策并处理隐私权风险。


<<:  学pchome截图-用html2canvas转成canvas,再下载

>>:  关於补数与二进位运算

Day 29 测试 React 元件:测试 React Hook

我们的范例是一个自己做的 hook 叫做 useCounter ,要来验证它的 increment ...

Day 12:Router 绕去哪-active-class & exact-active-class

上篇我们为 Navbar 设定好路由之後,接下来的需求则是希望能够让选取效果更为明显,优化使用者体验...

Day16 - 汇出 excel-应用篇

前言 不论是产各式报表,都与 Excel 脱离不了关系,产 Excel 属於必备技能之一,以下示范如...

JavaScript - 让你的浏览器公威罗!

本篇要介绍的是让浏览器说话的功能,其实要让它说话很简单,浏览器本身就有内建方法可以使用,接下来让我们...

Day01 初探 iOS

前言 目前担任Android/Flutter Developer,从Android 开发出生,这一年...