Skip to main content

5.4 Odpowiedzialność zarządu

Cel

Zapewnienie, że najwyższe kierownictwo organizacji aktywnie wspiera, zatwierdza i nadzoruje wdrażanie polityki bezpieczeństwa informacji oraz angażuje się w procesy zarządzania ryzykiem.

Wymagania

Zarząd powinien:

  • Określić strategię i politykę w zakresie bezpieczeństwa informacji, dostosowaną do celów biznesowych organizacji.
  • Zapewnić odpowiednie zasoby (techniczne, finansowe, ludzkie) na potrzeby wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji (ISMS).
  • Ustanowić mechanizmy monitorowania skuteczności środków bezpieczeństwa i reagowania na zagrożenia.
  • Regularnie oceniać ryzyka związane z bezpieczeństwem informacji i zatwierdzać podejmowane działania w celu ich minimalizacji.
  • Promować kulturę bezpieczeństwa informacji na wszystkich poziomach organizacji.

Wdrożenie

  • Zarząd powinien formalnie zatwierdzać politykę bezpieczeństwa informacji i regularnie przeglądać jej zgodność z wymaganiami organizacji oraz zmianami w otoczeniu prawnym i technologicznym.
  • Powinien uczestniczyć w przeglądach systemu zarządzania bezpieczeństwem informacji oraz analizować wyniki audytów i incydentów bezpieczeństwa.
  • Powinien określić odpowiedzialność poszczególnych osób i działów za wdrażanie środków bezpieczeństwa oraz ustanowić raportowanie kluczowych wskaźników bezpieczeństwa.

Przegląd i aktualizacja

  • Odpowiedzialność zarządu za bezpieczeństwo informacji powinna być okresowo przeglądana i aktualizowana w odpowiedzi na zmieniające się zagrożenia oraz wymagania regulacyjne.
  • Decyzje zarządu w zakresie bezpieczeństwa informacji powinny być dokumentowane i komunikowane w całej organizacji.

Zaangażowanie zarządu jest kluczowe dla skutecznego zarządzania bezpieczeństwem informacji i budowania świadomości bezpieczeństwa w organizacji.