ISO 27001 Приложение A 5.4. Простое объяснение обязанностей руководства | Подкаст ведущего аудитора

В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают пункт 5.4 «Обязанности руководства» приложения A стандарта ISO 27001. В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия требованиям.

✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki...

Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001.

Читайте полную статью: Полное руководство по пункту 5.4 «Обязанности руководства» приложения A стандарта ISO 27001 - https://hightable.io/iso-27001-annex-...

Это правило полностью сосредоточено на обязанностях руководства. Таким образом, стандарт говорит о том, что безопасность не ограничивается ИТ-отделом. Она начинается в зале заседаний совета директоров.

Почему лидерство важно

Во многих компаниях технологии хороши, но структура управления слаба. Цель здесь — понять, почему безопасность должна обеспечиваться сверху вниз.

Это не просто формальность. Речь идёт о создании системы, в которой каждый знает свою роль в обеспечении безопасности данных.

Мы можем свести это к трём основным моментам:

Лидерство должно руководить. Это требование, а не намёк.

Обучение обязательно. Необходимо отслеживать навыки для каждой должности.

Доказательства имеют ключевое значение. Необходимо документальное подтверждение соблюдения правил.

Основное требование: Приложение A 5.4

Проще говоря, A 5.4 требует от руководства обеспечить соблюдение всеми сотрудниками правил безопасности. Это не только задача сотрудника службы безопасности. Высшее руководство должно взять на себя ответственность за это.

Это выводит безопасность из ИТ-отдела в основную бизнес-стратегию. Если сотрудники не соблюдают правила, стандарт указывает на вышестоящее руководство.


Список дел генерального директора
Генеральный директор играет стратегическую роль, состоящую из трех частей:

Определение направления. Создание культуры, соответствующей целям бизнеса.

Предоставление ресурсов. Согласование необходимого времени и средств.

Одобрение рисков. Это крайне важно. Генеральный директор должен подписать «план управления рисками».

Подписывая этот план, генеральный директор признает, что знает о существовании рисков и принимает способы их управления. Это и есть истинная ответственность.

Как это построить: 5 столпов

Если вам нужно создать систему 5.4 с нуля, это потребует времени и усилий. Это не просто работа в сфере ИТ. Источники перечисляют пять ключевых столпов, которые вам необходимо создать.

1. Документы и инструктаж
Вы должны точно указать, за что отвечает каждая роль. Затем вы должны сообщить людям об этих обязанностях, прежде чем предоставить им доступ к данным. Инструктаж — на первом месте; доступ — на втором.

2. Управление навыками
Вам нужна система для отслеживания навыков. Ее часто называют матрицей компетенций.

Если кто-то управляет вашим брандмауэром, вам нужны доказательства того, что он умеет это делать. Эта матрица отслеживает опыт и обучение. Для аудитора это мгновенное доказательство. И помните, это относится ко всем — HR, финансам и маркетингу — а не только к ИТ.

3. Интеграция с HR
Правила безопасности должны быть включены в ваши трудовые договоры. Аудитор должен убедиться, что безопасность является неотъемлемой частью работы, а не просто рекомендацией в руководстве.

4. Коммуникация и обучение
Вам необходимо обучение, соответствующее каждой должности. Общие советы полезны для всех, но некоторым командам необходимы специфические навыки. Вам также нужен план, который показывает, кому вы сообщаете, что вы сообщаете и когда.

5. Информирование о нарушениях
Руководство должно создать безопасный способ для сотрудников сообщать о проблемах. Люди должны иметь возможность указывать на риски, не опасаясь неприятностей.

Прохождение аудита
Соблюдение требований — это не просто наличие папки на полке. Это доказательство того, что правила используются. Если аудитор войдет, вот что он проверит:

Контракты: Упоминается ли безопасность во всех трудовых договорах сотрудников? Если какой-либо из них отсутствует или истек срок его действия, вы провалите проверку.

Учет обучения: Прошли ли сотрудники обучение? Подписали ли они документы, подтверждающие ознакомление с политикой?

Информирование о нарушениях: Задокументирована ли процедура и доведена ли она до сведения всех сотрудников?

Три основные ошибки

Где компании допускают ошибки?

Отсутствие контрактов: Если контракты старые или в них отсутствует пункт о безопасности, они не учитываются.

Отсутствие сотрудников: Часто новые сотрудники или временные работники забывают подписать политику. Если отсутствует хотя бы один человек, руководство допустило ошибку.

Некачественные документы: Аудиторы проверяют наличие неаккуратных файлов. Если в документе все еще есть «комментарии» на полях, он выглядит как черновик. Это доказывает, что руководство не утвердило его официально.

Краткий путь к знаниям
Создание всего этого с нуля ...