§38 BSIG管理层职责
法定义务
§38第1款 -- 批准与监督
管理层承担个人义务:
| 义务 | 描述 | 证明 |
|---|---|---|
| 批准 | 正式批准§30规定的所有风险管理措施 | 已签署的批准文件 |
| 监督 | 持续监控措施的正确实施 | 定期安全报告、KPI审查 |
§38第2款 -- 个人责任
- 管理层对因违反第1款义务所造成的损害承担个人责任
- 免责协议无效
- 关于赔偿请求的和解无效
- 机构对管理层的损害赔偿请求不得被排除
§38第3款 -- 培训义务
- 管理层必须定期参加培训
- 目的:获得足够的知识以识别和评估风险
- 内容:风险管理实践及其对机构服务的影响
BAUER GROUP的实施
批准流程
| 步骤 | 描述 | 文档 |
|---|---|---|
| 1. ISB制定措施方案 | 基于风险分析和§30要求 | 措施计划 |
| 2. 向管理层报告 | 说明风险和建议措施 | 演示材料 |
| 3. 讨论和调整 | 管理层可要求修改 | 会议纪要 |
| 4. 正式批准 | 管理层签字 | 含日期和签名的批准文件 |
| 5. 执行授权 | 资源释放和责任分配 | 书面授权 |
监督机制
| 机制 | 频率 | 形式 |
|---|---|---|
| KPI仪表板 | 每月 | 数字报告 |
| 季度管理报告 | 每季度 | 演示 + 讨论 |
| 年度安全报告 | 每年 | 书面报告含行动计划 |
| 事件驱动升级 | 高/关键级别时 | 即时通知 |
培训证明
| 方面 | 实施方式 |
|---|---|
| 频率 | 至少每年一次 |
| 形式 | 面授培训或合格的在线研讨会 |
| 讲师 | ISB或外部网络安全专家 |
| 证明 | 参与确认含日期、内容、时长 |
| 存档 | 至少3年 |
责任风险最小化
为最小化管理层个人责任风险,建议采取以下措施:
| 措施 | 描述 |
|---|---|
| 书面批准记录 | 每项措施均书面批准并存档 |
| 定期报告 | 通过知悉和讨论报告来证明监督 |
| 可证明的培训 | 保留参与证明 |
| 充足资源 | 为信息安全提供预算和人员 |
| 及时响应 | 风险一旦被识别即及时采取措施 |