Тук, за разлика от политическите страсти, въпросът си има чисто практически смисъл.
ISO/IEC 27001, а вече и не само той, насочват изискванията си към "организацията".
Ето как възниква въпрос - "А кой тук е организацията?" Отговорът е различен и не е един ...
Нека да бъдем по-точни. Стандартът насочва изрично изискванията само към:
- "организацията" - за точките 4.1, 4.2, 4.3, 4.4, 6.1.1, 6.1.2, 6.1.3, 6.2, 7.1, 7.2, 7.4, 7.5.1, 7.5.2, 7.5.3, 8.1, 8.2, 8.3, 9.1, 9.2, 10.1 и 10.2;
- "висшето ръководство" - за точките 5.1, 5.2, 5.3 и 9.3;
- "лица под контрола на организацията" - за точка 7.3.
Няма други, освен тези по-горе. Явно се налага да дешифрираме кой е "организацията",
че дори може да се наложи да уточним и кой/кои са "висше ръководство".
че дори може да се наложи да уточним и кой/кои са "висше ръководство".
В малките и много малките фирми въпросът се решава лесно - най-често само един-двама поемат голяма част от изискванията за "организацията."
Затова, нека си представим една средна по големина организация.
В нея отговорностите може да бъдат разпределени между следните лица ...
A.
Висше ръководство (само „първият“ ли или той и негови заместници ?)
B. Представител на висшето ръководство
C. Лице, което управлява програмата за одити (както препоръчва ISO 19011)
D. Вътрешни одитори
E. Мениджър на системата
F. Ръководители на звена
G. Сисадмин (или отговорник за IT)
H. Отговорник обучения
I. Отговорник за доставчици
J. Съвет по сигурността или Работна група по сигурността на информацията
K. Всеки от персонала
L. Хора, работещи под контрола на организацията
M. PR (хайде, нека има и черешка ...)
B. Представител на висшето ръководство
C. Лице, което управлява програмата за одити (както препоръчва ISO 19011)
D. Вътрешни одитори
E. Мениджър на системата
F. Ръководители на звена
G. Сисадмин (или отговорник за IT)
H. Отговорник обучения
I. Отговорник за доставчици
J. Съвет по сигурността или Работна група по сигурността на информацията
K. Всеки от персонала
L. Хора, работещи под контрола на организацията
M. PR (хайде, нека има и черешка ...)
Една възможна схема за разпределение може да изглежда така ...
Ако тя е такава за "средна" организация, лесно е да се окастри, за да стане за малка.
Тази табличка е едно възможно решение и 100% може да има и по-сполучливи решения.
Но тук има нещо, което е толкова очевидно, че дори не прави впечатление - то е, че нито едно изискване не е насочено към външни лица, освен по т. 7.3 и някои контроли от Анекс А, които се отнасят до клиенти, доставчици и др. - т.е. до лица, от които наистина зависи сигурността!
По важното е да отбележим, че нито едно от изискванията не е насочено към външните лица "консултант" или "одитор", които, при изграждане и проверка на една система, се оказват в епицентъра на събитията, претендират за компетентност, очаква се, а и те искат, да се месят в системата (затова им плащат, нали?). Такава намеса реално е неизбежна. Има обаче нещо, което може да се нарече "граница, определена от морала", където намесата трябва да спре и да се даде предимство за решения и поемане на отговорности от хора от организацията.
Не е морално консултант или одитор да седне и да почне да определя кои са рисковете за една организация или да критикува (а не да съветва!) вече определени от организацията рискове.
Може да се направи дълъг списък за неща, в които външните лица обичат да си пъхат гагата и да се произнасят строго от свое име за неща, касаещи хора от организацията. Но няма смисъл. По-добре е да се отговори на въпроса "Къде е границата?". А границата сама си показва къде е при условие, че "външния" демонстрира искрено уважение към клиента си и не го смята за ... (... вместо неподходящата дума)
Има поговорка "В чужд манастир със свой устав не ходи!". Така трябва да бъде!
Няма коментари:
Публикуване на коментар