(三) 第5.3條組織角色、責任與職權,高階管理者應該指派有關ISMS之角色、分配相關責任與職權,這些角色將會執行ISMS的相關活動如下:
• 整合建立、維護、管理、報告效能、改善。
• 風險評估及處置的建議
• 設計流程及系統
• 設置標準內的控制措施及執行
• 管理資安事件
• 審查及稽核
除了上述的活動,與資訊本身相關的角色也應該指派,以避免責任無法區分,需要指派的範例如下(參考NIST SP800-12):
風險執行長
可以是企業中的CEO、董事會成員、CIO,負責保證考量與風險相關的注意事項,並陳述總體策略目標以實現業務使命和職能。
基本職責:
• 定義一個完整的策略來解決整個企業的安全風險。
• 制定企業風險管理策略。
• 監督整個企業中與風險相關的活動。
資訊安全執行長
代表企業中的最高級別的高階管理人員,他們全權負責提供與資訊的安全性相對應的資訊安全保護,其風險和衝擊可能是由於未經授權的揭露、存取、破壞和修改而引起的。
基本職責:
• 整合資訊安全管理流程、策略以及營運計劃流程。
• 確保促進組織營運的系統和資訊已有相應的資訊安全防護措施。
• 核准受過培訓的人員在遵守相關的資訊安全策略、法規、指令、指令和準則之下執行工作。
首席資訊長
負責指定資訊安全官,制定和維護安全性的政策、程序和控制技術,監督負有重大安全責任的人員並確保人員得到適當培訓,並為高階人員提供支持組織角色的安全活動。
基本職責:
• 為支持組織的營運使命和職掌,系統性地保護及分配資源。
• 透過確認安全的規劃,來保證系統被保護並被允許運行。
• 確保有效實施組織整體的資訊安全計劃。
資訊擁有者
負責營運、管理或設定資訊的權限。
基本職責:
• 建立正確使用和保護機密性的規則。
• 向系統所有者提供有關充分保護機密資訊所需的安全控制和要求的資訊。
• 制定政策和程序,以監督資訊之產生、處理、搜集、處置和傳遞。
資訊安全官
負責作為首席資訊官和系統擁有者之間的主要聯繫人,授權人員、系統安全員及其他人員。該角色也可以稱為首席資訊安全官。
基本職責:
• 管理和實施組織整體的資訊安全計劃。
• 在需要時承擔確認安全控制評估者的責任。
授權人員
負責承擔在對企業資產和營運造成一定風險的情況下運行系統的責任。
基本職責:
• 確認安全計劃、行動計劃並確定操作環境或系統中的某些變更是否需要重新授權。
• 通過安全授權確保指定的代表執行其活動和職能。
授權人員指定代表
代表授權人員協調並進行與安全授權過程相關的基本日常活動。
基本職責:
• 承擔授權人員的責任。
• 制定相關計劃和授權流程,監控和核准行動計劃實施的決策。
• 準備授權,獲取授權經理在與授權決策相關文件上的簽名。
隱私權高級專員
對確保實施隱私保護負有全部責任,例如確保組織完全遵守與隱私相關的法律、政策和法規。
基本職責:
• 監督、促進和協調組織的隱私合規性工作。
• 審查資訊隱私程序,以確保其完整性且維持最新。
• 確保組織的承包商和員工接受有關指導資訊處理的資訊法規、政策、程序和隱私法律的適當教育和培訓計劃。
系統擁有者
負責系統的採購、開發、變更、操作、維護和處置。
基本職責:
• 解決使用者的操作。
• 保證安全性要求。
• 創建和訂定系統安全計劃。
• 確保根據制定的安全控制措施來操作和部署系統。
系統安全人員
負責確保系統中保持適當之作業安全的人員。
基本職責:
• 監督系統的日常安全作業。
• 支援安全策略和流程的開發,並保證遵守這些安全策略和流程。
系統安全工程師
負責執行系統安全工程活動的個人或團體。
基本職責:
• 設計和開發組織的系統或強化、更新舊系統。
• 與系統擁有者、資訊安全人員及系統安全人員協調面對資訊安全的活動。
安全控制評估員
負責對操作、管理和技術安全控制以及系統繼承或用於確定安全控制措施有效性評估的個人或團體。
基本職責:
• 提供評估以確定系統及其作業環境中的漏洞或弱點。
• 建議採取矯正措施以解決確定的漏洞。
• 編寫包含評估結果的安全評估報告。
系統管理員
負責組建和維護系統/系統組件的個人或團體。
基本職責:
• 安裝、配置和更新硬體和軟體。
• 建立和管理用戶帳戶。
• 監督備份和復原任務。
• 實施與安全性相關的技術控制。
使用者
有權訪問組織資料以執行其分配職責的個人/團體/組織。
主要責任:
• 遵循管理系統可接受使用的策略。
• 基於合規的目的,使用單位提供的資源
• 報告可疑或異常的系統行為。
其他輔助角色
• 稽核員—負責分析系統,以確定安全控制措施是否適當以及系統是否滿足規定的安全需求和組織策略。
• 實體安全人員—負責創建和執行相應的物理安全控制。
• 災難復原人員—負責整個組織的突發事件應變計劃,並與其他員工一起工作,以根據需要獲得支援來因應額外的突發事件。
• 品質保證人員—負責透過保證系統的完整性、機密性和可用性來提高程序品質。
• 採購辦公室工作人員—負責保證組織採購。
• 培訓辦公室人員—負責確保有效的培訓計劃。
• 人力資源人員—負責以安全為導向的人員聘僱及離職程序,例如背景調查、保密合約簽署。
• 風險管理人員—負責分析企業可能面臨的安全性方面的所有風險。
• 實體工廠員工—負責各項服務的提供,這對系統的安全性和安全操作至關重要。
• 隱私權辦公室工作人員—負責制定完整的隱私權計劃,以確保符合隱私權要求,制定和分析隱私權政策並處理隱私權風險。