Notiunea de „proprietar de risc” (risk owner) din ISO/IEC 27001:2013

Standardul ISO/IEC 27001:2013 a adus, printre altele, o notiune noua in procedura de gestionare a riscului , aceea de „proprietar de risc”.

Cine pot fi proprietari de riscuri intr-o organizatie?
Proprietarul unui risc informational poate fi teoretic orice persoana care este sub controlul organizatiei si care poate gestiona (controla) un risc informational prin urmarirea eficacitatii masurilor de securitate luate in scopul reducerii nivelului riscului. Standardul face o precizare: aceste persoane trebuie sa cunoasca care sunt masurile de securitate specifice reducerii/tinerii sub control al riscului respectiv pentru a-l putea gestiona si sa isi asume (sa raspunda de) acele riscuri. Pentru o responsabilizare maxima a proprietarilor de risc se cere ca acestia sa decida care sunt masurile de securitate cele mai potrivite pentru a tine riscul respectiv sub control.

De regula proprietarii de riscuri se aleg din randul angajatilor permanenti, care conduc o activitate (ex: sefii de departamente, directorii, responsabilul IT) generatoare de riscuri de securitate a informatiei si care au o anumita autoritate in a cere aplicarea masurilor de securitate stabilite. Exista cazuri cand pot fi numiti proprietari de riscuri si persoane din afara organizatiei, daca organizatia certificata ISO 27001 arata ca aceste persoane tin sub control riscurile respective (ex: consultantul care are contract de mentenanta a SMSI, reprezentantul unui furnizor de servicii IT care asigura mentenanta si securitatea retelei), desi nu recomandam aceasta practica. De regula, se recomanda ca aceste persoane sa fie alese din interiorul organizatiei, pentru un mai bun control al SMSI si al lor, de catre Responsabilul cu Securitatea Informatiei/Comisia de Securitate.

Cine raspunde atunci cand se constata ca masurile de securitate nu sunt eficace, top managementul sau proprietarul de riscuri?
Noul standard spune ca in primul rand raspund proprietarii de riscuri si ulterior managementul de varf. In versiunea anterioara a standardului ISO 27001, managementul de varf isi asuma „tot” prin Planul de tratare a riscurilor. Acum managementul de varf trebuie sa delege responsabilitatea controlarii riscurilor de securitate catre acesti proprietari de riscuri, care de regula sunt persoanele care se „lovesc” zilnic de acele riscuri si deci sunt cei mai potriviti pentru a urmari si daca masurile de securitate aplicate sunt eficace.

No Comments

Scrie un comentariu

Suna acum