Quali sono i ruoli e le responsabilità per la sicurezza delle informazioni in un sistema ISO 27001?

I ruoli strategici nei processi di sicurezza delle informazioni sono solitamente ricoperti da figure apicali aziendali quali l’Alta Direzione, il Risposabile del SGSI (sistema di gestione per la sicurezza delle informazioni), il DPO (Data Protection Officer), l’Amministratore di sistema ed il IT Manager.

Tutti i ruoli, individuati nell’ambito del punto 5 della Norma ISO 27001:2017, sono investiti di responsabilità relative a processi di:

  • Business o processi primari (sono i processi produttivi nei quali sono trattate le informazioni critiche di livello A
  • Supporto (si tratta dei processi amministrativi o dei processi del sistema di gestione per la sicurezza delle informazioni che non riguardano le attività operative ma processi quali audit, riesami, miglioramento ecc. nei quali sono trattate informazioni critiche di livello B)
  • Sicurezza che contemplano tutte le attività di applicazione dei controlli di sicurezza quali, backup, antivirus, log management, autenticazione etc.,
Banner ISO 27001-winple

Nell’organizzare il sistema di gestione per la sicurezza delle informazioni i passi iniziali che vanno fatti sono essenzialmente tre:

  • Determinazione dell’organigramma
  • Determinazione dei requisiti e dei ruoli
  • Determinazione di mansioni e responsabilità

Mediante atto documentato l’organizzazione affida i poteri e i compiti alle funzioni interessate.

Le persone che rivestono i ruoli che hanno un’importanza cruciale nel sistema di gestione della sicurezza delle informazioni, soprattutto in relazione alla competenza e all’affidabilità, vengono accuratamente selezionate, formate e sensibilizzate in merito ai rischi e alle loro corrispondenti responsabilità.

Nel sistema di gestione per la sicurezza delle informazioni, i ruoli impiegati nei processi di sicurezza sono di solito:

  • Alta direzione
  • RGSI (Responsabile del sistema di gestione per la sicurezza delle informazioni)
  • IT Manager (Responsabile del sistema informativo)
  • DPO (Data Protection Officer)
  • ADS (Amministratore di sistema)

Questi sono gli attori principali di tutti i controlli previsti per il perimetro di sicurezza fisica e logica posto a a protezione delle informazioni secondo la loro classificazione.

Tali ruoli, data la loro specificità, coincidono con profili professionali già ampiamente conosciuti sul mercato della consulenza alle cui denominazioni (ad es: IT Manager) sono associate precise competenze derivanti da corsi di laurea e di specializzazione che garantiscono la preparazione adeguata alle responsabilità da assumere

Esempio: ITC Manager, Esperto in cyber security, Responsabile sistemi informativi, Progettista di rete, etc.,

Il profilo del candidato ideale a ricoprire un determinato ruolo nel sistema di gestione per la sicurezza delle informazioni sicuramente impegna l’alta direzione nella valutazione di determinati requisiti personali.

Essi, quando necessario, sono “raggruppabili” in:

  • Requisiti di tipo generale (comprendenti titoli di studio, corsi professionali, abilitazioni specifiche, etc.,)
  • Requisiti di tipo esperienziale (comprendenti il set delle esperienze da acquisire per poter accedere alla posizione)
  • Requisiti di affidabilità (assenza di fatti pregiudizievoli che lasciano dubbi in merito all’affidabilità della persona in merito al corretto trattamento delle informazioni)
Inventario Asset ISO/IEC 27001

Anche il personale impegnato nei processi di business e nei processi amministrativi deve essere investito di un suo “ruolo” nell’ambito del sistema. Non possiamo ad esempio escludere i responsabili dei processi RDP:

Tra questi ruoli troviamo soprattutto:

  • RDP | Marketing
  • RDP | Produzione
  • RDP | Progettazione
  • RDP | Risorse umane
  • RDP | Amministrazione
  • RDP | Assistenza
  • RDP | Acquisti

Gli asset manager

I responsabili di processo talora ricoprono il ruolo di asset manager. Ciascun asset, presente nell’inventario degli asset, ha un suo responsabile denominato “asset manager”. Con l’etichetta “asset manager” pertanto sono indicati quei ruoli ai quali è stata affidata la responsabilità di uno o più asset.

Con la scritta RDP (marketing) “asset manager” stabiliamo che il responsabile del processo di marketing è uno dei responsabili degli asset della sicurezza, nel senso che a lui sono state affidate risorse impiegate nel processo di sicurezza delle informazioni.

Scarica elenco dei contenuti del Kit Procedure ISO 27001 | Edizione 2020 | in formato .PDF

Il prodotto è in promozione a 287€!

Kit Sistemi di gestione ISO 27001

Pacchetto completo di strumenti e modulistica comprendente manualeprocedure di businesssupportosicurezza delle informazioni e modulistica completamente modificabili e personalizzabili che consentono di implementare un sistema di gestione per la sicurezza delle informazioni partendo da una base di contenuti già pronti (stimata all’85%).

Acquista ora in promo a 287€