Hvert er hlutverk öryggisstjóra í ISO 27001?

Það kann að skjóta skökku við en ISO 27001 staðalinn gerir ekki kröfu um fyrirtæki tilnefni öryggisstjóra (CISO-Chief Information Security Officer), eða annan tilgreindan aðila til að samhæfa aðgerðum tengdum upplýsingaöryggi. Þetta er þó skiljanlegt, ISO 27001 er settur fram á þann veg að hann á við fyrirtæki af öllum stærðum og í öllum atvinnugreinum þannig að slík skylda fyrir minni fyrirtæki væri ekki raunhæft.

Þar sem ISO 27001 gerir ekki ráð fyrir öryggisstjóra eða tilgreinir verkefni þeirrar stöðu þá er það undir stjórnendum komið að ákveða hvað henti viðkomandi fyrirtæki best. Almennt séð mundi slíkur aðili samhæfa allar aðgerðir varðandi upplýsingaöryggi hjá fyrirtækinu og hér að neðan er nokkrar hugmyndir um hverjar þær aðgerðir ættu að vera.

Hlíti:

  • Útbúa lista yfir hagsmunaaðila sem tengjast upplýsingaöryggi
  • Útbúa lista yfir kröfur hagsmunaaðila
  • Verið í sambandi við yfirvöld og sérstaka hagsmunahópa
  • Samræma allar aðgerðir sem tengjast persónuverndarvernd

Skjölun:

  • Leggja fram drög að meginskjölum upplýsingaöryggiskerfis – t.d. upplýsingaöryggisstefnu, flokkunarstefnu, aðgangsstjórnunarstefnu, viðunandi notkun eigna, áhættumat og áhættumeðferðar, yfirlýsing um gildar stýringar, áhættumatsáætlun o.fl.
  • Verið ábyrgur fyrir að rýna og uppfæra helstu skjöl

Áhættustjórnun:

  • Kenna starfsmönnum hvernig á að framkvæma áhættumat
  • Samræma allt ferlið við áhættumat
  • Leggja fram tillögur að varnaðaraðgerðum
  • Leggja til lokafresti fyrir varnaðaraðgerðir

Mannauðsstjórnun:

  • Framkvæma bakgrunnsskoðun á atvinnuumsækjendum þegar við á
  • Undirbúa þjálfunar- og vitundaráætlun um upplýsingaöryggi
  • Halda úti fræðslustarfsemi til að auka öryggisvitund starfsmanna t.d. innlegg á reglulega starfsmannafundi
  • Fræðsla um öryggismál fyrir nýja starfsmenn
  • Leggja til aga-viðurlög gagnvart þeim aðilum sem fylgja ekki öryggisreglum eða hafa gerst sekir um öryggisbrot

Tengsl við æðstu stjórnendur:

  • Upplýsa um kosti og ávinning upplýsingaöryggis
  • Leggja fram upplýsingaöryggismarkmið
  • Skýrslugjöf um niðurstöður mælinga
  • Leggja til öryggisbætur og úrbætur
  • Leggja til fjárhagsáætlun og aðrar nauðsynlegar auðlindir til að vernda upplýsingar
  • Tilkynna um mikilvægar öryggiskröfur hagsmunaaðila
  • Upplýsa stjórnendur um helstu áhættuþætti
  • Skýrsla um framkvæmd öryggisráðstafana
  • Vera stjórnendum til ráðgjafar í öllum öryggismálum

Umbætur:

  • Tryggja að allar úrbótaaðgerðir séu framkvæmdar
  • Staðfesta að úrbótaaðgerðir hafi komist fyrir grunnorsök öryggisatvika

Eignastýring:

  • Halda skrá yfir allar mikilvægar upplýsingaeignir
  • Eyða skrám sem ekki er þörf fyrir lengur
  • Farga miðlum og búnaði sem er ekki lengur í notkun, á öruggan hátt

Þriðju aðilar:

  • Framkvæma áhættumat fyrir starfsemi sem er útvistuð
  • Framkvæma bakgrunnsskoðun fyrir mögulega samstarfsaðila fyrir útvistun
  • Skilgreina öryggisákvæði sem verða að vera hluti af samningi

Samskipti:

  • Skilgreindu hvaða tegund samskiptaleiða eru ásættanlegar og hverjar eru það ekki
  • Undirbúa samskiptabúnað sem notaður er í neyðartilvikum / hamförum

Atvikastjórnun:

  • Taka við tilkynningum um öryggisatvik
  • Samræma viðbrögð við öryggisatvikum
  • Undirbúa sönnunargögn um málarekstur eftir öryggisatvik ef með þarf
  • Greina atvik til að koma í veg fyrir endurtekningu þeirra

Samfelldur rekstur/hamfaraáætlanagerð:

  • Samhæfa greiningu í áætlun um samfelldan rekstur og gerð viðbragðsáætlana
  • Samræma æfingar og prófun
  • Framkvæma rýni eftir prófanir  viðbragðsáætlana

Tæknilegar:

  • Samþykkja viðeigandi aðferðir til verndar farsímum, tölvukerfum og öðrum samskiptastöðvum
  • Leggja fram auðkenningaraðferðir, lykilorðsstefnu, dulkóðunaraðferðir o.s.frv..
  • Leggja fram reglur um örugga fjarvinnu
  • Skilgreina öryggisaðgerðir á internetþjónustu
  • Skilgreina reglur um örugga þróun upplýsingakerfa
  • Skoða skrár yfir notendavirkni til að greina grunsamlega hegðun

Hvernig á að skjalfesta ábyrgð öryggisstjóra

Eins og sjá má er ábyrgð öryggisstjóra margþætt þannig að þessi einstaklingur lætur til sín taka í nær öllum deildum fyrirtækisins.

Því stærra fyrirtæki, því erfiðara verður að muna alla þessa ábyrgðarþætti. Það væri því góð hugmynd sérstaklega í stærri fyrirtækjum, að setja fram eitt eða fleiri skjöl þar sem þessum ábyrgðarþáttum er lýst.  Sum fyrirtæki hafa tilhneigingu til að skrá alla ábyrgð öryggistjóra í einu skjali, sem mér persónulega finnst ekki mjög gagnlegt – það er vegna þess að erfitt er að skilja hlutverk einhvers án þess að sjá ferlið sem hann eða hún, er hluti af.

Þess vegna held ég að það sé betra að lýsa þeim skyldum í nokkrum skjölum sem lýsa þeim ferlum – til dæmis ætti að skilgreina ábyrgð öryggisstjóra sem tengist stjórnun mannauðs í mannauðsstjórnun, ábyrgðar vegna frábrigðastjórnunar o.fl.

Hver ætti að vera öryggisstjóri?

Í smærri fyrirtækjum ætti hlutverk öryggisstjóra að vera framkvæmt af völdum starfsmanni ásamt öðrum starfsskyldum sínum. T.d. ef fyrirtæki er með 10 starfsmenn, þá gætu öryggismálin verið í  umsjón UT kerfisstjóra.  Ef fyrirtæki er með 100 starfsmenn gæti öryggisstjóri verið framkvæmdastjóri eða tilgreindur kerfisstjóri.  Hins vegar, ef fyrirtækið  er með nokkur þúsund starfsmenn, ætti það að hafa öryggisstjóra í fullu starfi.

Þegar fyrirtækið velur öryggisstjóra, þá ættu aðalviðmiðin ekki einungis að vera hve tæknilega fróður viðkomandi er um upplýsingatækni.  Ég tel að það sé enn mikilvægara að öryggisstjóri þekki rekstur fyrirtækisins og hafi góða samskiptahæfileika.

Af hverju er þetta? Vegna þess að aðalstarf öryggisstjóra er að þróa öryggismenningu hjá viðkomandi fyrirtæki, menningu sem byggir á áhættugreiningu fyrir upplýsingaöryggi. Rétt eins og ein af meginreglunum í öllum fyrirtækjum er að allar aðgerðirnar séu arðbærar, ætti öryggisstjóri að þróa svipað innbyggt hugarfar varðandi öryggi, að allur atvinnurekstur skapi ákveðna öryggisáhættu og að slíkri áhættu sé stjórnað með viðeigandi öryggisráðstöfunum,  þannig að fyrirtæki hafi gagn af.

WP2FB Auto Publish Powered By : XYZScripts.com