Per sviluppare il controllo 6 Organizzazione della sicurezza delle informazioni, devi : disegnare l’organigramma, stabilire ruoli e requisiti, creare la matrice delle responsabilità ed elaborare, la procedura che controlla l’organizzazione del personale
Prima di partire con lo sviluppo del controllo 6 dell’Annex A disegna l’organigramma del sistema di gestione per la sicurezza delle informazioni. Indica, con estrema chiarezza, i ruoli direttamente collegati alla sicurezza delle informazioni. Dopo sarà semplicissimo procedere nello sviluppo, in maniera integrata, del requisito 5.3 della ISO 27001 e del controllo dell’Annex A.
Come definire l’organigramma per la sicurezza delle informazioni
Ti invitiamo vivamente a considerare l’opportunità di inserire nell’organigramma i seguenti ruoli:
- Alta direzione
- RGSI (Responsabile del sistema di gestione per la sicurezza delle informazioni)
- IT Manager
- Responsabile del sistema informativo
- DPO (data protection officer)
- ADS (Amministratore di sistema)
Secondo la struttura dell’azienda procedi a definire la posizione anche degli altri ruoli che sono coinvolti nel sistema di gestione per la sicurezza delle informazioni quali, ad esempio, i responsabili dei processi aziendali così come abbiamo riportato nell’esempio seguente dove RPD sta per Responsabile di processo e OP sta per Operatore
Come stabilire e documentare i ruoli e i requisiti del punto 5.3 della ISO 27001:2017
Per assicurare l’efficacia del sistema di gestione per la sicurezza delle informazioni suggeriamo di creare una tabella per definire, in corrispondenza di ciascun ruolo individuato nell’organigramma, i requisiti necessari che la persona dovrà possedere per esercitare quel ruolo.
Nell’esempio che segue, in corrispondenza di ciascun ruolo individuato nell’organigramma, sono stati indicati i requisiti necessari a carattere “personale” che riguardano i titoli e i certificati, l’esperienza, il possesso di certificazioni e le referenze reputazionali.
Come creare la matrice delle responsabilità per la sicurezza delle informazioni
Attenzione. Trascuriamo per un attimo le responsabilità riferite agli obiettivi. In qualunque sistema di gestione process based, le responsabilità devono essere definite in relazione ai processi e più in particolare in riferimento a fasi ben specifiche del processo.
La matrice delle responsabilità deve assolutamente indicare, in corrispondenza di ciascuna fase del processo del sistema:
- Il processo
- La fase del processo
- Il responsabile (ruolo dell’organigramma)
- Il documento (registrazione di sistema) che comprova l’esercizio della responsabilità
Come definire la procedura che controlla l’organizzazione del personale ai sensi del controllo 6 dell’Annex A della ISO 27001:2017
Nella procedura di Organizzazione del personale dobbiamo dare “oggettiva evidenza” di aver integrato tutti i corrispondenti controlli dell’Annex A. La modalità che suggeriamo e che indichiamo nell’esempio che segue prevede un primo sviluppo della procedura di Organizzazione del personale finalizzata all’implementazione del punto 5.3 della ISO 27001 per poi passare ad un suo completamento attraverso dei paragrafi che specificano come ciascun singolo controllo è stato implementato. Nella figura in basso, i controlli dell’Annex A sono stati riportati con il carattere di colore rosso.
