Bilgi güvenliği rolleri ve sorumlulukları
Bilgi güvenliği sorumluluklarının tahsisi, bilgi güvenliği politikaları ile uyumlu şekilde yapılmalıdır (bk. Madde 5.1.1). Tek tek varlıkların korunması ve özel güvenlik proseslerini yürütmek için sorumluluklar açıkça belirtilmelidir. Bilgi güvenliği risk yönetimi faaliyetleri ve artık risklerin kabulü için sorumluluklar tanımlanmalıdır. Bu sorumluluklar gereken yerlerde, özel yerleşke ve bilgi işleme tesisleri için daha ayrıntılı bir kılavuz ile desteklenmelidir. Varlıkların korunması ve özel güvenlik proseslerinin yürütülmesi için yerel sorumluluklar açıkça tanımlanmalıdır.
Bilgi güvenliği sorumluluğu tahsis edilen kişiler güvenlik görevleriyle ilgili yetkilerini başkalarına devredebilirler. Ancak; hesap verme sorumlulukları devam eder ve bu kişiler tüm yetki devri yapılmış görevlerin doğru uygulandığını tespit etmelidir.
Kişilerin sorumlu oldukları alanlar belirtilmelidir. Özellikle aşağıdaki maddeler sorumluluk tanımında yer almalıdır:
a) Varlıklar ve bilgi güvenliği prosesleri tanımlanmalı ve tarif edilmelidir,
b) Her bir varlık ya da bilgi güvenliği prosesi için sorumluluk tahsis edilmeli ve bu sorumluluk detayları yazılı hale getirilmelidir (bk. Madde 8.1.2),
c) Yetkilendirme seviyeleri tanımlanmalı ve yazılı hale getirilmelidir,
d) Bilgi güvenliği alanında atanan kişiler sorumluluklarını yerine getirebilmek için alanında yetkin olmalı ve geliştirmeleri takip edebilmeler için fırsat verilmelidir,
e) Tedarikçi ilişkilerinin bilgi güvenliği hususları koordinasyonu ve izlemesi tanımlanmalı ve yazılı hale getirilmelidir.
Birçok kuruluşta, bilgi güvenliğinin geliştirilmesi ve uygulanması ile tanımlanan kontrollerin desteklenmesi için genel sorumluluk bilgi güvenliği yöneticisine verilmektedir. Ancak, kaynak bulma ve uygulama kontrollerinin sorumluluğu çoğu zaman münferit olarak yöneticilere verilmektedir. Yaygın bir uygulama, her bir varlığa gün ve gün korunmasından sorumlu olacak bir sahip atanmasıdır.
