iT邦幫忙

0

ISO 27001 資訊安全管理系統 【解析】(十六)

  • 分享至 

  • xImage
  •  

前述人員並非是資訊安全方面的角色與職掌完整列表,而是可以考慮及參考的基本角色,組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權限,用來組成ISMS人員的架構,以協助執行整個管理工作。在整個組織面對資訊安全風險管理的角色與職掌的分配方面,RASCI的模型可以運用在組織成員對於歸責性或稱當責(Accountability)能更加瞭解,並使應該負責的人確實了解並完成自己的責任。當然在目前國內企業或組織的生態下,對於分層負責這件事,可能尚難落實。RASCI模型為R:Responsible,實際完成具體事務者,應具備執行該項工作之專業,可以為多人。A:Accountable,負起最終責任的人,應為經理人,具有決定權,每個項目應僅有一位A。S:Supportive,對事務提供支援,輔助各項任務的完成。 C:Consulted,事先諮詢者,在A有所決定前必須諮詢的人,可能是上司或是外部人員,提供A必須的資訊。I:Informed,事後告知者,在決策或行動之後必須告知的對象,因為這些決策會影響這些人員。這個模型的重點在當責(Accountability),運用在資訊安全管理系統上,可以在諸多條文及控制項中配合前面所敘述的人員找出當責的人,能讓整體管理系統運作更加順暢,例如:資訊安全政策訂定及審查這個要求A是資訊安全長、R是資訊安全官、S是系統擁有者、系統管理員、C是風險執行長、I是所有必須要遵守資訊安全政策的人。按照這個模型運作資訊安全管理系統,可以讓應該發揮功能的人發揮,應該當責的人勇於決策並達成目標。
https://ithelp.ithome.com.tw/upload/images/20220319/201457630DfTJrzghW.png


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言