6.1 內部組織

6.1 內部組織

6.1.1信息安全的角色和責任

控制
所有的信息安全責任宜予以定義和分配。
實現指南
信息安全責任的分配宜與信息安全策略（見5.1.1）相一致。各個資產的保護責任和執行特定安全過程的責任宜被清晰地標識。宜定義信息安全風險管理活動的責任，特別是接受殘余風險的責任。必要時，宜針對特定的地點和信息處理設施的責任補充更詳細的指南。宜定義本地資產保護和執行特定安全過程的責任。
被分配了信息安全責任的個體可以將安全任務委托給其他人員。盡管如此，他們仍然負有責任，并且他們宜確定任何被委托的任務是否已被正確地執行。
宜指明個體負責的領域。特別是，宜進行下列工作：
a) 識別和定義資產和信息安全過程；
b) 指定每一資產或安全過程的責任實體，并且該責任的細節要形成文件（見8.1.2）；
c) 定義授權級別并形成文件；
d) 被任命的個體宜具備信息安全領域的能力且被給予機會以跟進相關發展，使其能夠履行信息安全領域責任；
e) 宜對供應商關系中信息安全方面的監督和協調予以識別，并形成文件。
其他信息
在許多組織中，將任命一名信息安全管理人員全面負責安全的開發實現，并支持控制的識別。

6.1.2職責分離

控制
宜分離沖突的職責及其責任范圍，以減少未授權或無意的修改或者不當使用組織資產的機會。
實現指南
宜注意，任何人都不能在非授權或不被監視的情況下訪問、修改和使用資產。宜把一活動的啟動與其授權相分離。在設計該控制時，宜考慮勾結的可能性。
小型組織可能感到難以實現這種職責分離，但只要具有可能性和可行性，宜盡量應用該原則。如果難以分離，宜考慮其他控制，例如對活動的監視、審核蹤跡和管理監督等。
其他信息

6.1.3 與職能機構的聯系

控制
宜維護與相關職能機構的適當聯系。
實現指南
組織宜有規程指明什么時候與哪個職能機構（例如，執法部門、法規部門、監管部門）進行聯系，以及如何及時報告已識別的信息安全事件（例如，已識別的信息安全事件可能很觸犯了法律）。
其他信息
受到來自互聯網的攻擊組織可能需要職能機構對攻擊源采取行動。

6.1.4與特定相關方的聯系

控制
宜維護與特定相關方、其他專業安全論壇和專業協會的適當聯系。
實現指南
宜考慮把特定的相關方或論壇中的成員關系作為一種手段，來：
a) 增進最佳實踐的知識，掌握最新相關安全信息；
b) 確保了解的信息安全環境是最新的和全面的；
c) 獲取以前的有關攻擊和脆弱性的預警、公告和補丁；
d) 獲得信息安全專家的建議；
e) 共享和交換關于新的技術、產品、威脅或脆弱性的信息；
f) 當處置信息安全事件時，提供適當的聯絡點（第16章）。
其他信息

6.1.5項目管理中的信息安全

控制
宜關注項目管理中的信息安全問題，無論何種類型的項目。
實現指南
宜把信息安全整合到組織的項目管理方法中，作為項目的一部份，以確保識別并強調了信息安全風險。這通常可應用于所有項目，無論其特征是什么，例如核心業務過程、IT、設施管理和其他支持過程等方面的項目。使用的項目管理方法宜要求：
a) 信息安全目標被納入項目目標；
b) 為識別必要的控制，在項目的早期階段宜進行信息安全風險評估；
c) 信息安全作為所采用的項目管理方法各個階段的一部分。