Δημιουργήσαμε ένα νέο μοντέλο ψηφιακού μετασχηματισμού, Digital ecosystem, για την εκκίνηση, αναβάθμιση & χρηματοδότηση, Μικρομεσαίων Επιχειρήσεων & Startups.

Η τελευταία επανάληψη του ISO 27001 εισήγαγε την έννοια των ιδιοκτητών κινδύνου εκτός από τους κατόχους περιουσιακών στοιχείων. Αυτό ενίσχυσε τη θέση του Προτύπου ότι οι οργανισμοί πρέπει να διορίζουν άτομα που θα λογοδοτούν για συγκεκριμένες πτυχές της ασφάλειας των πληροφοριών.

Σε αυτές τις δύσκολες στιγμές,
έχουμε κάνει τα άρθρα μας για τον μετασχηματισμό ελεύθερα περιορισμών για όλους τους αναγνώστες.
Για να λαμβάνετε όλο το περιεχόμενο του insTech στα εισερχόμενά σας,
εγγραφείτε στο ενημερωτικό δελτίο.

Αλλά τι ακριβώς είναι οι ιδιοκτήτες κινδύνου και περιουσιακών στοιχείων; Εξηγούμε και τους δύο όρους σε αυτό το ιστολόγιο και σας δείχνουμε πώς εντάσσονται στις ευρύτερες πρακτικές συμμόρφωσής σας.

Τι είναι ο ιδιοκτήτης κινδύνου;

Κάτοχος κινδύνου είναι ένα πρόσωπο ή οντότητα που είναι υπεύθυνη για τη διαχείριση απειλών και τρωτών σημείων που ενδέχεται να εκμεταλλευτούν.

Ο ιδιοκτήτης κάθε κινδύνου θα πρέπει να είναι κάποιος για τον οποίο ο κίνδυνος σχετίζεται με τη δουλειά του και που έχει την εξουσία να κάνει κάτι για αυτό.

Για παράδειγμα, ο κάτοχος των κινδύνων που σχετίζονται με την υποδομή πληροφορικής – όπως κακόβουλο λογισμικό – θα πρέπει να είναι ο επικεφαλής του τμήματος IT, επειδή έχει την καλύτερη κατανόηση του τρόπου αντιμετώπισης της απειλής και τη δύναμη να εφαρμόσει τα απαραίτητα μέτρα.

Τι είναι ιδιοκτήτης περιουσιακού στοιχείου;

Ο ιδιοκτήτης περιουσιακών στοιχείων είναι το πρόσωπο που είναι υπεύθυνο για την καθημερινή διαχείριση των περιουσιακών στοιχείων. Αυτό περιλαμβάνει όχι μόνο ηλεκτρονικές και έντυπες πληροφορίες, αλλά και υλικό, λογισμικό, υπηρεσίες, άτομα και εγκαταστάσεις.

Ένας κάτοχος περιουσιακού στοιχείου είναι γενικά χαμηλότερος στην οργανωτική ιεραρχία από τον κάτοχο κινδύνου, επειδή τυχόν ζητήματα που ανακαλύπτουν θα πρέπει να κατευθύνονται προς τα πάνω και να αντιμετωπίζονται από ένα πιο ανώτερο άτομο.

Για να συνεχίσουμε το προηγούμενο παράδειγμά μας, εάν ο κάτοχος των κινδύνων που σχετίζονται με την υποδομή πληροφορικής είναι ο επικεφαλής του τμήματος IT, τότε ο κάτοχος περιουσιακού στοιχείου για τους διακομιστές στους οποίους φυλάσσονται οι πληροφορίες κινδύνου θα είναι διαχειριστής IT.

Επιλογή ιδιοκτητών κινδύνου και περιουσιακών στοιχείων

Οι οργανισμοί πρέπει να καθορίζουν ξεχωριστούς ιδιοκτήτες κινδύνου και ιδιοκτήτες περιουσιακών στοιχείων κατά την εφαρμογή του ISO 27001. Αυτό συμβαίνει επειδή – αν και είναι παρόμοιες – οι ευθύνες τους είναι διακριτές και αρκετά εκτεταμένες ώστε να δικαιολογούν τον διαχωρισμό των εργασιών μεταξύ δύο ατόμων.

Το παράρτημα 8.2 του ISO 27001, Asset Management, περιέχει μια υπο-ρήτρα αφιερωμένη στην ιδιοκτησία περιουσιακών στοιχείων. Αναφέρει ότι οι ιδιοκτήτες περιουσιακών στοιχείων μπορεί να είναι διαφορετικοί από τους νόμιμους ιδιοκτήτες και μεμονωμένα άτομα ή ολόκληρα τμήματα.

Ωστόσο, συνιστούμε να επιλέξετε ένα συγκεκριμένο άτομο, διαφορετικά η ευθύνη θα μπορούσε να βαρύνει διάφορα άτομα, με τις εργασίες να παραμένουν ατελείς.

Εν τω μεταξύ, η ιδιοκτησία κινδύνου θα πρέπει να επιλέγεται όταν δημιουργείτε το σχέδιο θεραπείας κινδύνου. Αυτή η διαδικασία καθορίζει τη συνολική στρατηγική σας για την αντιμετώπιση των κινδύνων και είναι απλώς μια περίπτωση να αναθέσετε σε κάποιον να βεβαιωθεί ότι εκτελούνται σωστά.

by:

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.