ISO 27001:2022 Приложение A 5.3 — Разъяснение разделения обязанностей

Как внедрить разделение обязанностей, предусмотренное Приложением А 5.3 ISO 27001, и пройти аудит.

✅ Набор инструментов ISO 27001: https://hightable.io/product/iso-2700...

👩‍💻 Блог: https://hightable.io/iso-27001-annex-...

Конфликтующие обязанности и конфликтующие сферы ответственности должны быть разделены.

Разделение обязанностей, предусмотренное Приложением А 5.3 ISO 27001, — это механизм контроля, требующий от организации разделения и разделения конфликтующих ролей и обязанностей в области информационной безопасности.

Это пошаговое руководство расскажет вам, как внедрить его, пройти аудит, какие ошибки совершают сотрудники и на что будет обращать внимание аудитор.

Ресурсы и ссылки

► Самостоятельно внедрите ISO 27001 с помощью полного набора инструментов ISO 27001: https://hightable.io/product/iso-2700...

► Читайте блог, сопровождающий видео:

Как внедрить разделение обязанностей по ISO 27001

Этапы внедрения разделения обязанностей по ISO 27001 для сертификации #iso27001:

1. Внедрение управления доступом на основе ролей: доступ на основе ролей — один из наиболее распространённых и практичных подходов к внедрению разделения обязанностей. Уделяя время определению необходимых ролей, устранению конфликтов между ними и последующему назначению сотрудников на эти роли вместо предоставления доступа в каждом конкретном случае, вы значительно поможете вам последовательно устранять конфликты.

2. Разделение обязанностей: понимание и документирование процессов и систем позволит вам определить ключевые роли и обязанности, которые затем можно будет распределить между несколькими сотрудниками, и гарантировать, что ни один человек не будет иметь полного контроля над процессом или системой. Это часть управления доступом на основе ролей.

3. Предотвращение сговоров: структура команд, их местоположение и взаимодействие могут повлиять на возможность сговора. Сговор — это совместная работа с целью совершения мошенничества или обхода средств контроля.

4. Мониторинг и анализ: может случиться, что разделение обязанностей не работает должным образом или требует постоянного совершенствования. Регулярное ведение журнала, мониторинг и анализ позволяют выявлять и устранять неполадки, а также вносить непрерывные улучшения для обеспечения эффективности.

Главы

00:00 Введение
00:21 Определение разделения обязанностей по ISO 27001
00:46 Краткое изложение требований
01:14 Пример разделения обязанностей
01:57 Руководство по внедрению разделения обязанностей по ISO 27001
02:48 Как устранить конфликт обязанностей
03:22 Что может сделать небольшая организация
04:32 Конфликт в сфере внутреннего аудита
06:01 Менеджер по информационной безопасности и конфликт
06:47 Конфликт в стартапе
07:36 Краткое изложение внедрения разделения обязанностей по ISO 27001
08:08 Ошибки, которые совершают люди
08:55 Заключение