安全的重要性，并且通常愿意支持适当规模和经过深思熟虑的安全计划。 如果您负责实施安全计划，那么您的工作就是传达安全计划背后的“原因”和“内容”。如果您希望符合 I 标准，您还需要定义并传达角色和职责以实现认证。 I 和信息安全的五个基本角色和职责 虽然组织结构图上的具体名称和位置可能有所不同，但所有安全计划都至少有五种“角色类型”。这些类型的角色是任何安全计划的最低要求，也是满足I第 4-10条中概述的要求的要求： 安全领导或安全专员 安全风险经理 内部安全审核员 控制所有者 公司全体员工 I 第 82 条信息图表角色 1) 安全负责人或安全专员 它是信息安全管理系统 (ISMS)的明确领导者，其功能和配置文件可能会根据组织的形状和规模而有所不同。 在一些小型组织中，安全领导可能与其他部门的成员共享，例如信息技术、工程或法律部门。

在较大的组织中安全领导者可能是

首席信息安全官 或通常称为安全专员、副总裁或总监级安全专业人员。 无论哪种情况，此人都必须拥有信息安全计划（包括正式的责任和权限）。 您的典型职责包括： 定义安全计划的背景，包括使计划与公司目标保持一致，并确保考虑到适当的利益相关者。 制定战略目标，设计安全方案路线图和项目，分配预算、人员和工作计划。 制定、跟踪安全 KPI 并向相关利益相关者报告。 2) 信息风险委员会和安全风险经理 安全风险管理通常由一个或多个委员会组成，这些委员会通常称为信息风险委员会 保加利亚 电话号码 安全风险委员会 (SRC) 或简称为风险小组，由安全风险经理担任主席。 这些小组负责与信息安全相关的一般风险管理活动，包括监督、策略定义和风险管理活动。 这些小组本质上也是跨职能的，不是与信息安全或技术专业人员隔离，而是共同工作和协调。 通常，财务、人力资源、销售、法律和其他部门的负责人都是这些委员会的代表，这种情况是可取的，因为跨职能的代表有助于推动组织变革和公司安全举措的社会化。

以及多因素风险管理，因为这些风险

通常来自组织内的各个来源。 基本任务包括： 参加季度风险管理会议（季度会议通常是一个很好的节奏，对于会员来说并不过分）。 定义风险管理流程，包括风险分析、风险测量和风险处理。 监督年度风险评估，包括定期审查风险登记册。 在整个组织内审查、批准、交流  哥伦比亚电话号码列表  和执行政策决策。 审查安全评估和其他安全相关活动的结果。 负责安全事件管理和安全事件响应（可以是风险管理职能下的单独小组委员会或团队）。 研究销售结果的业务团队 3）内部安全审计员 ISO 27001 的一个关键哲学原则是综合管理部门对持续改进的承诺。这就是为什么管理层必须推动内部安全审计的执行，将其作为监督和促进安全计划持续改进的关键部分。由于内部审计必须合格且独立于 ISMS，因此许多组织选择利用第三方（例如专业咨询公司）来执行安全评估或培训有能力且忠诚的人员来执行安全评估。 基本任务是： 具备成为内部审核员并执行安全评估的资格，例如1 首席审核员或类似人员。 保持独立于 ISMS，无利益冲突，例如还拥有运营控制或管理 控制。