Convém que a atribuição das responsabilidades pela segurança da informação seja feita em conformidade com a política de segurança da informação. É importante definir claramente as responsabilidades pela proteção de cada ativo e o cumprimento dos processos de segurança da informação.
Itens a serem cumpridos:
- Os ativos e os processos de segurança da informação associados com cada sistema sejam identificados e claramente definidos;
- Gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições definidas e os detalhes dessa responsabilidade sejam documentados;
- Os níveis de autorização sejam claramente definidos e documentados
Em muitas organizações um gestor de segurança da informação pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementação da segurança da informação e para apoiar a identificação de controles. Entretanto, a responsabilidade pela obtenção dos recursos e implementação dos controles permanece sempre com os gestores. Uma prática comum é indicar um responsável por cada ativo, tornando-o assim responsável por sua proteção no dia a dia.
Nenhum comentário:
Postar um comentário