Простой способ распределения обязанностей по ИБ

Очень часто проект по внедрению ISO 27001 является многоуровневым и многопрофильным мероприятием, и вовлеченный персонал выполняет различные роли и обязанности в ходе реализации проекта. Чтобы прояснить и контролировать участие персонала, многие проекты используют матрицу RACI в качестве простого, понятного и логичного способа распределения обязанностей для проекта внедрения ISO 27001. И в этой статье мы хотим показать пример матрицы проекта внедрения ISO 27001.

Матрица RACI - это форма представления распределения ответственности, которая названа в честь четырех наиболее распространенных обязанностей: исполнитель, ответственный, консультант и информируемый. Она разработана с учетом того, что в проекте уже участвует высшее руководство, потому что это имеет решающее значение для успеха проекта.


Мероприятия
Роли
Высшее руководство Проектная группа Руководители подразделений / Владельцы процессов / Заинтересованные стороны Сотрудники / Пользователи
Определение требований СУИБ и заинтересованных сторон A R C C
Определение базовой структуры СМИБ A R C I
Разработка методологии оценки и обработки рисков A R C I
Выполнение оценки риска и составление плана обработки A R C C
Контроль реализации A R A I
Обучение и закрепление знаний персонала I R A I
Управление работой I R A/R R
Мониторинг и измерение эффективности I R A/R R
Выполнение внутреннего аудита I A/R C C
Прохождение управленческой проверки A R C I
Устранение несоответствий, корректирующие действия и нахождение возможностей для улучшения A R R I

Где R – Исполнитель (Responsible), который выполняет поставленную задачу. На каждую задачу должно приходиться не менее одного Исполнителя. Степень ответственности распределяется Ответственным;

A – Ответственный (Accountable), назначающий ответственного за результаты деятельности, а также распределяющий работу между Исполнителями. Ему отчитываются о результатах, у него имеются полномочия на принятие и отклонение предложения. На каждом проекте должно быть не более одного Ответственного;

C – Консультант (Consulted), осуществляющий консультации и согласование принимаемых решений, двухстороннюю связь между подразделениями;

I – Информируемый (Informed), который получает итоговую информация о проделанной работе в одностороннем порядке.

Вы можете задокументировать матрицу RACI как отдельный документ, утвердить приказом или включить в план (программу) разработки и внедрения СМИБ. Что касается лица, ответственного за степень участия высшего руководства в проекте, то обычно автором плана является инициатор проекта. Также Вы должны задокументировать конкретные детали о ролях в различных документах проекта: график, бюджет, план связи и др, которые Вы разработаете в рамках реализации ISO 27001. При документировании деталей важно отметить, что когда роль обозначена как «A / R», это означает, что, помимо подотчетности, она будет иметь еще и управленческое действие для выполнения этой операции, в то время как просто «R» означает выполнение оперативного аспекта деятельности. Например, “Мониторинг и измерение эффективности”: руководитель отдела отвечает за проверку результатов измерения и выбор надлежащих действий, а сотрудники несут ответственность за выполнение измерений и действий, определенных руководителем отдела.

Потому матрица RACI - полезные и удобный инструментов при внедрении ISO/IEC 27001, ведь она помогает определить и уточнить обязанности каждого в списке необходимых действий, помогая уменьшить недопонимание и ошибки при внедрении. И независимо от методологии, которую Вы будете использовать для реализации стандарта ISO 27001, эта матрица может предоставить Вам четкий обзор обязанностей без «изобретения велосипеда». Выгоды: проект в заданные сроки и бюджет, удовлетворенность всех заинтересованных сторон.

Обратитесь к нам, и наши специалисты изучат Вашу действующую организационную структуру, фактическое распределение ролей в организации и ролей в части обеспечения информационной безопасности и дадут рекомендации по максимально эффективному распределению обязанностей за все аспекты стандарта ISO 27001 с учетом методологии RACI.