APGINTI.🇱🇹

GV.RR-01 GV.RR-02 GV.RR-03 GV.RR-04

Vaidmenys, pareigos ir įgaliojimai (RR)

Kibernetinio saugumo vaidmenys, atsakomybė ir įgaliojimai, skatinantys atskaitomybę, veiklos vertinimą ir nuolatinį tobulėjimą yra nustatyti ir apie juos pranešama

GV.RR-01

Organizacijos vadovybė yra atsakinga ir atskaitinga už kibernetinio saugumo riziką ir puoselėja kultūrą, kurioje atsižvelgiama į riziką, laikomasi etikos ir nuolat tobulėjama

  1. Vadovai (pvz., direktoriai) susitaria dėl savo vaidmenų ir atsakomybės kuriant, įgyvendinant ir vertinant organizacijos kibernetinio saugumo strategiją;
  2. Dalinkitės vadovų lūkesčiais, susijusiais su saugia ir etiška kultūra, ypač kai aktualūs įvykiai suteikia galimybę atkreipti dėmesį į teigiamus ar neigiamus kibernetinio saugumo rizikos valdymo pavyzdžius;
  3. Vadovai nurodo CISO palaikyti išsamią kibernetinio saugumo rizikos strategiją, ją peržiūrėti ir atnaujinti bent kartą per metus ir po svarbių įvykių;
  4. Atlikite peržiūras, kad užtikrintumėte už kibernetinio saugumo rizikos valdymą atsakingų asmenų tinkamus įgaliojimus ir koordinaciją.
Nuoroda į originalą

GV.RR-02

Nustatomi su kibernetinio saugumo rizikos valdymu susiję vaidmenys, pareigos ir įgaliojimai, apie juos pranešama, jie suprantami ir įgyvendinami

  1. Rizikos valdymo vaidmenis ir pareigas dokumentuoti taisyklėse;
  2. Dokumentuokite, kas yra atsakingas ir atskaitingas už kibernetinio saugumo rizikos valdymo veiklas ir kaip tos komandos bei asmenys turi būti konsultuojami ir informuojami;
  3. Įtraukite kibernetinio saugumo atsakomybes ir veiklos reikalavimus į personalo aprašymus;
  4. Dokumentuokite veiklos tikslus personalui, atsakingam už kibernetinio saugumo rizikos valdymą, ir periodiškai vertinkite veiklą, siekiant nustatyti tobulintinas sritis;
  5. Aiškiai apibrėžkite kibernetinio saugumo atsakomybes operacijų, rizikos valdymo ir vidaus audito funkcijose.
Nuoroda į originalą

GV.RR-03

Skiriami pakankami ištekliai, atitinkantys kibernetinio saugumo rizikos strategiją, vaidmenis, atsakomybę ir politiką

  1. Periodiškai vykdykite vadovybės peržiūras, siekdami užtikrinti, kad asmenys, atsakingi už kibernetinio saugumo rizikos valdymą, turėtų reikiamus įgaliojimus;
  2. Nustatykite išteklių paskirstymą ir investicijas, atsižvelgiant į rizikos toleranciją ir atsaką;
  3. Užtikrinkite pakankamus ir tinkamus žmogiškuosius, procesinius ir techninius išteklius, kad būtų palaikoma kibernetinio saugumo strategija.
Nuoroda į originalą

GV.RR-04

Kibernetinis saugumas įtrauktas į žmogiškųjų išteklių praktiką

  1. Įtraukite kibernetinio saugumo rizikos valdymo aspektus į žmogiškųjų išteklių procesus (pvz., personalo patikra, įvedimas į darbą, pokyčių pranešimas, atleidimas);
  2. Laikykite kibernetinio saugumo žinias teigiamu veiksniu priimant sprendimus dėl samdymo, mokymo ir darbuotojų išlaikymo;
  3. Prieš priimant naujus darbuotojus į jautrias pareigas, atlikite jų patikrinimą, o esantiems tokiose pareigose periodiškai kartokite patikrinimus;
  4. Apibrėžkite ir užtikrinkite, kad darbuotojai žinotų, laikytųsi ir vykdytų saugumo politiką, susijusią su jų funkcijomis.
Nuoroda į originalą
VALDYTI

4 elementai šiame aplanke.

NIST CSF 2.0 Funkcijos

Grafiko Vaizdas