עבור לתוכן
ISMS.online

ISO 27001 דרישה 5.3 - תפקידים ואחריות ארגוניים

סעיף זה עוסק כולו בהנהלה העליונה כדי להבטיח שהתפקידים, האחריות והסמכויות ברורות עבור מערכת ניהול אבטחת המידע. זה לא אומר שהארגון צריך ללכת ולמנות כמה צוותים חדשים או להנדס את המשאבים המעורבים - זו ציפייה לא מובנת לעתים קרובות שדוחה ארגונים קטנים יותר מלהשיג את התקן.

מְחַבֵּר
דיוויד הולוואי
עודכן בספטמבר 15, 2025
4/5 כוכבים

להלן תמצאו את הדרישות המרכזיות של תקן ISO 27001:2013. אם אתם מחפשים את העדכון
דרישות הליבה של ISO 27001:2022 אנא לחצו על הכפתור למטה.

ראה דרישות ISO 27001:2022 המתוקנות

מה כולל סעיף 5.3?

פשוט ISO 27001 מחפש בהירות והתמקדות בחלקי המפתח של ה-ISMS - מי אחראי באופן כללי, מי אחראי על חלקים מסוימים, כל שיטות עסקיות טובות והגיוניות. אתה צריך להוכיח שתפקידים מסוימים (לאו דווקא אנשים) קיימים, מונו על ידי ההנהלה הבכירה והם מועברים לגורמים המעוניינים הרלוונטיים ומתועדים בצורה ברורה כך שאין אי בהירות. הדרישה כאן היא ברמה די גבוהה והיא קלה לתיעוד, והיא מתאימה גם לחלקים אחרים של מערכת ניהול אבטחת המידע כגון בעלי סיכוני אבטחה ב-6.1, בעלי אובייקטיביות של info sec ב-6.2 וכו'.

אז אדם אחד יכול לעשות יותר מתפקיד אחד ואתה יכול לאחד את העבודה, למשל על ידי ניהול מועצת המנהלים שיפקח על הכל כדי לעזור להדגים ביקורות ניהול בהתאם ל-9.3 ולהצטרף לחלוטין למערכת ניהול אבטחת המידע. רק תבהיר מי אחראי למה. חשבו על התפקידים עם מתעניינים כמו גם על ביצוע מעשי. לדוגמה, התפקיד של CISO (Chief Information Security Officer) יכול לרמוז ללקוחות שלך שאתה מתייחס לאבטחת מידע ברצינות וזה יכול להיעשות על ידי מנהל בכיר בנוסף לעבודת היום שלהם, או אם בארגון גדול יותר זה עשוי להיות מלא -תפקיד זמן בפני עצמו.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


אתה יכול גם לבחור לקבל TISO (קצין אבטחת מידע טכני), או שווה ערך, שיהיה טכני יותר ומסוגל להתמקד בהיבטים אלה של ה-ISMS אם התפקידים האחרים יסופקו על ידי אנשים מסחריים/אסטרטגיים יותר. ראה נספח א' 6.1.1 (על ארגון אבטחת מידע) והקפד ליישר את הדרישה הזו עם אותה בקרת נספח א'.

ISO 27001 מחפש באופן ספציפי בהירות בתפקידים ואחריות עבור:

  • לוודא שמערכת ניהול אבטחת המידע תואמת את הדרישות של ארגון התקינה הבינלאומי
  • דיווח הביצועים של ה-ISMS (שזה הרבה יותר קל כשהכל במקום אחד)

ייתכן בהחלט שמנהל בכיר אחראי על מערכת ה-ISMS כחלק ממחויבות ההנהגה לאבטחת מידע (5.1), אך הוא יכול כמובן להאציל את הפעלתה לאחרים בארגון, או להוציא אותה למיקור חוץ לגורמים מומחים כמו מנהל המידע הווירטואלי (CISO), שרבים משותפי ISMS.online מציעים שירותים סביבו. רק זכרו לתעד זאת!

הפוך את זה לפשוט יותר עם ISMS.online

פלטפורמת ISMS.online מקלה על ההנהלה הבכירה לקבוע מדיניות אבטחת מידע התואמת את המטרה וההקשר של הארגון.

ה-ISMS שלך יכלול מדיניות אבטחת מידע בנויה מראש שניתן להתאים בקלות לארגון שלך. מדיניות זו משמשת מסגרת לבחינת יעדים וכוללת התחייבויות לעמוד בכל הדרישות הרלוונטיות ולשיפור מתמיד של מערכת הניהול. ניתן לשתף מדיניות זו בקלות עם בעלי עניין ולהגיש למכרזים או לתקשורת חיצונית אחרת.

דיוויד הולוואי

סמנכ"ל שיווק

דיוויד הולוואי הוא מנהל השיווק הראשי ב-ISMS.online, עם למעלה מארבע שנות ניסיון בתחום תאימות ואבטחת מידע. כחלק מצוות ההנהגה, דיוויד מתמקד בהעצמת ארגונים לנווט בנופים רגולטוריים מורכבים בביטחון, תוך קידום אסטרטגיות שמתאימות יעדים עסקיים לפתרונות בעלי השפעה. הוא גם מנחה שותף של הפודקאסט Phishing For Trouble, שם הוא מתעמק באירועי אבטחת סייבר מתוקשרים וחולק לקחים חשובים שיעזרו לעסקים לחזק את נוהלי האבטחה והתאימות שלהם.

לינקדין

דרישות ISO 27001:2013

ISO 27001:2013 נספח A בקרות

לגבי ISO 27001