Skip to main content

5.3 Segregacja obowiązków

Cel

Zapewnienie, że kluczowe funkcje w organizacji są odpowiednio rozdzielone, aby zmniejszyć ryzyko błędów, oszustw i nadużyć poprzez ograniczenie możliwości jednej osoby do wykonania wszystkich krytycznych działań w procesie.

Wymagania

Organizacja powinna:

  • Zidentyfikować obszary działalności, w których segregacja obowiązków jest kluczowa dla bezpieczeństwa informacji.
  • Rozdzielić zadania w krytycznych procesach tak, aby żadna pojedyncza osoba nie miała pełnej kontroli nad całym procesem (np. w procesach finansowych, IT i zarządzania dostępem).
  • Zapewnić, że decyzje i zatwierdzenia są dokonywane przez różne osoby, aby uniknąć konfliktu interesów.

Wdrożenie

  • Wdrażanie segregacji obowiązków powinno obejmować:
    • Rozdział ról w procesach zarządzania dostępem (np. jedna osoba przyznaje dostęp, druga zatwierdza).
    • Oddzielenie obowiązków związanych z programowaniem, testowaniem i wdrażaniem systemów IT.
    • Stosowanie podziału obowiązków w procesach finansowych, audytowych i administracyjnych.
  • Regularnie przeglądać i dostosowywać przydzielone obowiązki w odpowiedzi na zmiany organizacyjne i technologiczne.

Przegląd i aktualizacja

  • Organizacja powinna regularnie weryfikować skuteczność segregacji obowiązków poprzez audyty wewnętrzne i niezależne przeglądy.
  • Wszelkie wykryte niezgodności lub potencjalne konflikty interesów powinny być analizowane i korygowane.

Segregacja obowiązków jest kluczowym elementem systemu kontroli wewnętrznej, który minimalizuje ryzyko błędów i nadużyć oraz wspiera zgodność z regulacjami dotyczącymi bezpieczeństwa informacji.