Az információtechnológiai biztonságért való központi felelôsséget célszerû egy személyre (informatikai biztonsági meghatalmazott) ruházni. Elsô lépésként - ha még nem történt meg -, célszerû az egész információ-feldolgozás biztonságát a szervezet területén megvizsgáltatni (állapotfelvétel) és egy informatikai biztonsági koncepciót kidolgoztatni. Ehhez a vezetônek projektet kell létrehoznia és ahhoz megszabni a szükséges személyi-, költségvetési- és idôfeltételeket.
Az informatikai biztonsági koncepció integráns részét kell hogy képezze a szervezet összbiztonsági koncepciójának, amelyben a biztonság általános irányelveit fektetik le. A biztonsági koncepciónak összhangban kell állnia az informatikai fejlesztési, bevezetési koncepcióval, s mindkettônek a szervezet céljaiból és feladataiból kell kiindulnia.
A vezetônek tájékozottnak kell lennie a helyzetfelmérés eredményeirôl és az egész folyamat során felelôsen részt kell vennie a fontos döntésekben. Ide tartoznak olyan dolgok, mint az alkalmazások és az információk értékének felmérése, a döntés a még elviselhetô maradványkockázat mértékérôl és mindazok a határozatok, amelyek az intézkedések gazdaságosságát érintik. Ebben az összefüggésben kell részt vennie abban a döntési folyamatban is, amelynek során meghatározzák, hogy a biztonsági intézkedések milyen mértékben vannak hatással a szervezet mûködésére, milyen változtatásokat igényelnek a szervezeten belül. A szervezeti egység vezetôje és a biztonsági meghatalmazott felelôs az informatikai biztonsági koncepció megvalósításáért. A munkahelyi vezetô csak akkor tudja megfelelôen motiválni munkatársait, ha önmaga már meggyôzôdött az informatikai biztonság jelentôségérôl. A munkatársak beiskolázása, oktatása és információkkal való ellátása szükséges elôfeltétele a biztonsági intézkedések elfogadásának. A vezetônek a bevezetett intézkedések betartását, hatékonyságát és gazdaságosságát rendszeresen kell ellenôriznie, a káreseményeket pedig jegyzôkönyvben célszerû rögzíttetni.
A vezetôi feladatok közé tartozik a kockázatok ismételt átvizsgálásának és az informatikai biztonsági koncepció átdolgozása idôpontjának kitûzése. Ennek során az új mûszaki lehetôségekrôl, a megváltozott követelményekrôl és a biztonsági szempontból jelentôs eseményekrôl szóló információkat kell figyelembe venni.
Az informatikai biztonsággal kapcsolatos vezetôi feladatkör részleteiben az alábbi teendôket öleli fel:
Az informatikai stratégiában megfogalmazott követelményekkel és fejlesztési célokkal összhangban meg kell határozni az informatikai biztonság megteremtésének, illetve megerôsítésének az adott idôszakban elérendô céljait. A cél kitûzése az informatikai biztonsági projekt indítása.
A feladat behatárolása
A cél meghatározásával egyidôben rögzíteni kell a feladat kereteit. Ezen belül tisztázni kell:
A feladat nagyságától függôen az érintett felhasználók, informatikai szakemberek, specialisták (pl. biztonsági, ügykezelési, elektromágneses kisugárzási, építészeti stb.) körének kijelölése. Amennyiben a szükséges szakemberek a szervezeten belül fellelhetôk, gondoskodni kell más munkák alóli felmentésükrôl a szükséges idôpontokban. Amennyiben a szakemberek biztosítása más szervezeti egységet is érint vagy külsô szakértô bevonása válik szükségessé, meg kell keresni az alkalmas személyeket és biztosítani kell részvételüket a projektben. Kisebb volumenû projekt esetén elegendô az informatikai vezetô irányításával mûködô ad hoc bizottság, de nagyobb projekt esetén célszerû a projekt menedzselésére külön teamet alakítani. Az érintett szakemberek helyettesítésén túl ilyen esetben gondolni kell a külsô szakértôk idejében történô meghívására és díjazásukra is.
A sikeres feladatmegoldásnak alapvetô feltétele a komplexitás érvényesítése, ezért a résztvevôk kijelölése a biztonsági probléma teljes körû elôzetes átgondolását kívánja meg. Külön figyelmet érdemel a teamvezetô kiválasztása. A biztonsági kérdéskör fontosságának megfelelôen kellô tájékozottságú, tekintélyes, energikus és a csoportmunka irányításában jártas személyt kell a projekt vezetésével megbízni.
A résztvevôk motiválása
Az informatikai biztonság tervezése és az intézkedések végrehajtása sokoldalú és felelôsségteljes feladat. Mint minden biztonsági vonatkozású kérdésben, itt is döntô szerepe van az érintett személyek magatartásának. Ennek szempontjait már a résztvevôk kiválasztásakor is figyelembe kell venni, majd személyes meggyôzéssel, megfelelô munkarend és környezet kialakításával erôsíteni kell bennük a feladat fontosságának, bizalmasságának tudatát.
Külön figyelmet érdemel a projekt tervezésében részt nem vevô, de a projekt által érintett munkatársak elôzetes tájékoztatása, megnyugtatása, esetleges javaslataik megkérdezése, valamint annak megerôsítése, hogy a tervezett projekt az ô érdekeiket is szolgálja.
Feltételek biztosítása
Az érintett informatikai rendszer tulajdonságaitól és a biztonsági projekt célkitûzéseitôl függôen a projekt tetemes szellemi, anyagi, technikai ráfordítást igényelhet. A ráfordításokat tervezni szükséges, a szervezet terveibe be kell építeni, majd a feladat végrehajtása során ellenôrizni kell az eszközök felhasználását.
A feladat indítása
Írásbeli vezetôi utasítás alapján indulhat a tervezési tevékenység. A feladat indításakor rögzíteni szükséges a feladat célját, a résztvevôk körét, a feladatban betartandó határidôket, a felelôsségeket és jogosultságokat. Tehát a feladat indításának feltétele az elôzô pontokban ismertetett tevékenységek eredményének írásos rögzítése, valamint a projekt tervének elkészítése a projektvezetés által.
Ellenôrzés
A megbízás és a projekt-terv alapján a csoport tevékenységét folyamatosan ellenôrizni kell. Az ellenôrzés formája lehet személyes jelenlét a munkacsoport egyes megbeszélésein, de ha erre nincs mód, a munkacsoport vezetôjét rendszeresen be kell számoltatni a feladatmegoldás pillanatnyi állásáról, a tervhez képest megvalósított feladatokról, az anyagi, személyi stb. erôforrások felhasználásáról, valamint rendelkezésre állásáról.
Alternatívák között döntés
A biztonsági feladatok végrehajtása és azok eredménye az informatikai tevékenységben közvetlenül érintetteken túl többnyire az egész szervezetre kihat, így a tervezés során felmerült alternatívák közti döntés is vezetôi feladat.
Jóváhagyás
Az informatikai biztonsági projekt az adott szervezet alapvetô érdekeit érinti. A feladat megoldásának eredményeként szervezeti kérdéseket, munkafolyamatokat, beruházásokat stb. érintô tervek születnek. Átfogó biztonsági intézkedéseknek az informatikán messze túlmutató kihatásai lehetnek, így ezek végrehajtása csak vezetôi jóváhagyással kezdôdhet meg.
Az intézkedések átvezetése a többi rendszerelemen
Gyûrûzôdô rendszerhatásai miatt gondoskodni kell a jóváhagyott biztonsági intézkedéseknek megfelelô állapotok létrehozásáról az összes rendszerelemben. Az informatikai biztonsági intézkedések feleslegessé tehetnek bizonyos elôzô megoldásokat, rendszabályokat, ugyanakkor új eljárásokat követelhetnek meg a már régebben kialakult munkafolyamatokban is. Az indukált változások érinthetik a belsô szabályzatokat (tûzvédelem, beléptetési rend stb.), beosztásokat és munkafolyamatokat. Ezek szabályozási vonzatainak szintén meg kell jelenniük a szervezeti és mûködési szabályzatokban.