新版ISO27001:2022认证职责分离相关的基本概念
发布时间: 2024-02-25 15:02 点击:
新版ISO27001:2022认证职责分离相关的基本概念
职责分离相关的基本概念
(一)职责
职责是职务上应尽的责任。在组织的管理活动中,我们提到职责,通常指的是某一项员工需要完成的工作。
(二)角色
需要完成的工作多种多样,职责也就多种多样。依照工作流程的不同,有些职责相似并关联在一起,有些职责之间却彼此独立;根据完成工作所需能力的不同,有些职责需要的能力接近,有些职责却需要具备特殊的专业能力。依据这些同异,职责得以被再次整理和分类。相似的、关联的、所需能力接近的职责被集中起来形成了一个合集,这个合集就叫做角色。
例如,GB/T 22080-2016/ISO/IEC 27001:2013标准正文条款5.1 领导和承诺中,描述了对最高管理层的领导和承诺的要求。最高管理层是一个角色,该角色就是信息安全管理体系中领导和承诺这两大种类职责的合集。
5.1 领导和承诺
a)确保建立了信息安全策略和信息安全目标,并与组织战略方向一致;
b)确保将信息安全管理体系要求整合到组织过程中;
c)确保信息安全管理体系所需资源可用;
d)沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;
e)确保信息安全管理体系达到预期结果;
f)指导并支持相关人员为信息安全管理体系的有效性做出贡献;
g)促进持续改进;
h)支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。
静态的、具象化的角色也叫做岗位,关联着固定的业务、具体的工作范围和明确的职责。例如,总经理就是一个与最高管理层对应的岗位。具象化的最高管理层角色就是总经理,抽象化的总经理岗位就是最高管理层。
动态角色与岗位互补,有着抽象化、时限性的特点,总是随着事件的出现开始,随着事件的结束而终止。例如在某个部门的审批流程中,流程开始时,部门经理会被分配审批人的角色,在流程结束后,该角色也随之消失。
(三)权限
权限是实现控制时所需的权力。这种权力可能是参与某一项活动的能力,例如只有运维人员有权力去调整内部网络或系统的配置,也可能是对某一项事务进行决策的能力,例如岗位增减的议案是由人事经理拟定的。
ISO认证咨询服务网 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
诚聘专兼职ISO审核员(全国/符合条件可免费定向培养)、专职认证管理人员、市场精英。