การกำหนดบทบาทหน้าที่เป็นสิ่งเริ่มต้นสำหรับระบบการจัดการ เป็นเรื่องของการจัดองค์กรเพื่อให้บรรลุเป้าหมาย ทุกองค์กรมีระบบนี้อยู่แล้ว ในที่นี่้เพียงแต่ให้เห็นในมุมของความมั่นคงปลอดภัย
หลักการ / มาตรการ
บทบาทและหน้าที่ความรับผิดชอบของพนักงานที่ทำงานเกี่ยวข้องกับความมั่นคงปลอดภัยควรมีการกำหนดไว้อย่างเป็นลายลักษณ์อักษรโดยให้สอดคล้องกับนโยบายความมั่นคงปลอดภัยที่ได้กำหนดไว้
ระบบระเบียบและแนวทางปฏิบัติ
(ก) องค์กรควรกำหนดบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยของบุคลากรขององค์กรอย่างเป็นลายลักษณ์อักษร
(ข) องค์กรควรกำหนดบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยให้สอดคล้องกับนโยบายความมั่นคงปลอดภัยขององค์กร
(ค) บทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยที่กำหนดไว้ควรกำหนดให้บุคลากรขององค์กรเช่น
1) การประพฤติและปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยเคร่งครัด
2) การปฏิบัติตามกิจกรรมหรือกระบวนการด้านความมั่นคงปลอดภัยที่ได้กำหนดไว้
3) การไม่เข้าถึง เปิดเผย เปลี่ยนแปลง แก้ไข ทำลาย หรือทำให้เสียหายต่อทรัพย์สินรวมถึงทรัพย์สินสารสนเทศขององค์กรโดยไม่ได้รับอนุญาต
4) ไม่รบกวนหรือแทรกแซงการสื่อสารของผู้อื่นจนทำให้ไม่สามารถดำเนินต่อไปได้
5) รายงานเหตุการณ์ความเสี่ยง จุดอ่อน หรือเหตุการณ์ความมั่นคงปลอดภัยที่พบไปยังหน่วยรับแจ้ง
6) ปฏิบัติงานตามหน้าที่ความรับผิดชอบของตนเองที่ได้กำหนดไว้
7) ในกรณีที่พบว่ามีการละเลยต่อหน้าที่หรือนโยบายที่ได้กำหนดไว้ จะมีการสอบสวนและดำเนินการทั้งทางวินัยและกฎหมายตามความเหมาะสม
(ง) กำหนดบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยของบุคลากรที่มาจากหน่วยงานภายนอกที่จำเป็นต้องเข้ามาปฏิบัติงานกับองค์กรอย่างต่อเนื่อง เช่น ในฐานะเป็นผู้ดูแลระบบ ผู้ดูแลเครือข่าย ผู้ตรวจสอบภายนอก เจ้าหน้าที่เทคนิคภายนอก เป็นต้น
(จ) องค์กรควรแจ้งบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยให้ผู้สมัครงานหรือผู้รับจ้างได้รับทราบ
หลักการ /มาตรการ
ผู้บริหารควรกำหนดให้พนักงานต้องปฏิบัติตามมาตรการความมั่นคงปลอดภัยให้สอดคล้องกับนโยบายและขั้นตอนปฏิบัติขององค์กรที่ได้กำหนดไว้
ระบบระเบียบและแนวทางปฏิบัติ
(ก) กำกับดูแลให้มีการจัดทำเอกสารซึ่งระบุถึงบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยของพนักงานและผู้ที่ได้รับการว่าจ้าง
(ข) กำกับดูแลให้พนักงานและผู้รับว่าจ้างต้องทำความเข้าใจในบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัย ก่อนที่จะอนุญาตให้เริ่มต้นปฏิบัติงานกับองค์กร
(ค) กำกับดูแลให้หัวหน้างานหรือผู้บังคับบัญชาควรมีหน้าที่ความรับผิดชอบในการ
1) สร้างแรงจูงใจให้ผู้รับการว่าจ้างปฏิบัติตามนโยบายความมั่นคงปลอดภัยขององค์กรอย่างเคร่งครัด
2) สร้างความตระหนักให้พนักงานและผู้รับว่าจ้างเห็นความสำคัญในบทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยของตนเอง
3) สอดส่องดูแลการปฏิบัติตามนโยบายความมั่นคงปลอดภัยของผู้รับว่าจ้าง
4) กำกับดูแล สร้างเสริมทักษะ ความรู้ และความสามารถของผู้รับว่าจ้างในด้านการรักษาความมั่นคงปลอดภัยอย่างต่อเนื่อง
-end-