MALON GROUP
Chętnie udzielimy odpowiedzi na Państwa pytania
Wyślij

System Zarządzania Bezpieczeństwem Informacji zgodny z ISO/ IEC 27001

Information Security Management System (ISMS)
 

Niemal każdy właściciel firmy, czy menadżer w swojej karierze zawodowej wielokrotnie odczuł skutki braku, czy niewłaściwej ochrony informacji. Nieudane lub złe kontrakty i umowy, własne pomysły realizowane przez konkurencję, problemy z nowo uruchamianymi usługami, produkcja na wyrost, albo brak wyrobów w magazynie, odejście Klienta do konkurencji, niższy od zakładanego poziom sprzedaży, problemy natury prawnej i roszczenia odszkodowawcze to tylko niektóre z nich. Na pewno większość z czytelników dziwi się, że powyższe problemy związane są z niewłaściwą ochroną informacji, lub jej brakiem. Przecież składają się na nie zagadnienia z wielu dziedzin i obszarów, co jest oczywiście prawdą. Ale wbrew pozorom każdy z przytoczonych powyżej przykładów może być związany bezpośrednio z naruszeniem bezpieczeństwa informacji. Aby to zrozumieć należy najpierw zdefiniować i określić, co to jest informacja i na czym polega bezpieczeństwo informacji.
 

Informacja to dane przetworzone (poukładane, przefiltrowane, pogrupowane itd.) w taki sposób, że na ich podstawie można wyciągać wnioski, podejmować decyzje biznesowe. Informacja jest składnikiem aktywów (wartości), które, podobnie jak inne ważne aktywa biznesowe, ma zasadnicze znaczenie dla organizacji, przedsiębiorstw, a tym samym musi być odpowiednio zabezpieczona. Informacja może istnieć w wielu postaciach. Może być wydrukowana lub zapisana na papierze, przechowywana w formie elektronicznej, przesyłana pocztą lub za pomocą środków elektronicznych, pokazana na filmach, zdjęciach, albo przekazywana słownie w rozmowie. Niezależnie od formy informacji oraz sposobów za pomocą, których jest ona przetwarzana, przesyłana, lub przechowywana, powinna być zawsze odpowiednio zabezpieczona.
 

Bezpieczeństwo informacji jest to ochrona informacji przed szeroką gamą zagrożeń w celu zapewnienia ciągłości biznesu, minimalizowania ryzyka biznesowego i maksymalizacji zwrotu z inwestycji, oraz możliwości biznesowych. Bezpieczeństwo informacji jest realizowane poprzez wdrażanie odpowiedniego systemu zabezpieczeń, w tym polityki, procesów, procedur, struktury organizacyjnej, funkcji oprogramowania i sprzętu. Zabezpieczenia te muszą zostać ustanowione, wdrożone, monitorowane, sprawdzone i udoskonalone, w razie potrzeby, w celu zapewnienia, że bezpieczeństwo i cele biznesowe organizacji są spełnione. Powinno to, co jest niezwykle istotne, odbywać się w powiązaniu z innymi procesami zarządzania przedsiębiorstwem. W praktyce bezpieczna informacja oznacza, że muszą być spełnione trzy zasadnicze atrybuty ochrony:

  • Poufność – czyli zapewnienie, że informacje są dostępne tylko dla osób uprawnionych do ich dostępu;

  • Integralność – czyli zagwarantowanie dokładności i kompletności informacji, oraz metod ich przetwarzania;

  • Dostępność – czyli zapewnienie upoważnionym użytkownikom dostępu do informacji i związanych z nimi zasobów, zgodnie z określonymi potrzebami.

Informacje będące w posiadaniu organizacji mają swoją realną wartość i mogą być podatne na zagrożenia takie, jak np.: kradzież, zniszczenie czy zafałszowanie. Wraz z rozwojem informatyki i internetu pojawiły się takie nowe zagrożenia jak wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe, które mogą narazić instytucję na utratę konkurencyjności, reputacji, oraz duże straty finansowe. Coraz częściej możemy usłyszeć o incydentach związanych z naruszeniem bezpieczeństwa informacji. W wielu instytucjach można zaobserwować wiele zdarzeń, które w skutek braku świadomości pracowników mogą doprowadzić do przekłamania, ujawnienia bądź utraty istotnych informacji. Przykładem tego są źle przetworzone lub obrobione dane (np. księgowe, finansowe, czy projektowe) zagubienia nośników z danymi (laptopy pendrive’, płyty CD, karty pamięci flesh), karteczki z hasłami przyklejone do monitora, ekrany monitorów zwrócone w stronę Klientów, dokumenty leżące na biurku, które mogą zostać zabrane przez osobę niepowołaną, dokumenty zawierające istotne informacje wyrzucone na śmietnik itp.
 

Ryzyko utraty informacji rośnie wraz ze zwiększeniem ilości przetwarzanych informacji i stosowaniem coraz bardziej skomplikowanych technologii. Często w trakcie projektowania systemów informatycznych nie uwzględnia się wymagań bezpieczeństwa, jak również oprogramowanie nie jest dostatecznie sprawdzone w trakcie testów, co może powodować, że jest podatne na różnego rodzaju zagrożenia, jak np. ujawnienie przetwarzanych informacji, czy możliwość podszycia się pod innego użytkownika.
 

Dla każdego rodzaju organizacji można zidentyfikować kilka lub kilkanaście przepisów prawnych, które zawierają w sobie wymagania związane z bezpieczeństwa informacji np.:

  • Ustawa o ochronie danych osobowych;

  • Ustawa o zwalczaniu nieuczciwej konkurencji;

  • Ustawa o ochronie informacji niejawnych;

  • Ustawa o dostępie do informacji publicznej;

  • Ustawa o prawie autorskim i prawach pokrewnych.

określających obowiązki i kary, które grożą organizacji nie przestrzegającej przepisów.
 

W Polsce istnieje ponad dwieście aktów prawnych, które dotyczą ochrony informacji. Dla wielu grup zawodowych istnieją wymagania dotyczące „tajemnicy zawodowej”, która nakazuje zapewnienie określonym informacjom odpowiedniej ochrony (np. tajemnica: lekarska, skarbowa, bankowa, adwokacka, handlowa itp.). Brak spełnienia tych obowiązków może być przyczyną konsekwencji prawnych – od kar finansowych aż do kary pozbawienia wolności.
 

Organizacja, która chce należycie zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach, którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Obecnie najlepszym rozwiązaniem jest standard System Zarządzania Bezpieczeństwem Informacji (SZBI lub ISMS Information Security Management System) zgodny z ISO/ IEC 27001 o międzynarodowym zasięgu. System ten określa wymagania, oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w następujących obszarach zarządzania bezpieczeństwem informacji:

  • polityka bezpieczeństwa informacji;
  • organizacja bezpieczeństwa informacji;
  • zarządzanie aktywami;
  • bezpieczeństwo osobowego;
  • bezpieczeństwo fizyczne i środowiskowe;
  • zarządzanie systemami i sieciami;
  • kontrola dostępu;
  • uzyskiwanie, rozwój i utrzymanie systemów informacyjnych;
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji;
  • zarządzanie ciągłością działania;
  • zgodność.

Rodzina norm z serii ISO/ IEC 27000 „Technika informatyczna. Techniki bezpieczeństwa … (Information technology – Security techniques …) obejmuje:

  • ISO/ IEC 27001 (PN-ISO/ IEC 27001) Systemy zarządzania bezpieczeństwem informacji. Wymagania.
    Information security management systems. Requirements

    Jest to jedyna norma która stanowi podstawę do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji;

  •  

  • ISO/ IEC 27003 Przewodnik wdrażania SZBI
    Information security management system implementation guidance;

  •  

  • ISO/ IEC 27004 Pomiary
    Information security management – Measurement;

  •  

  • ISO/ IEC 27005 (PN-ISO/ IEC 27005) Zarządzanie ryzykiem w bezpieczeństwie informacji
    Information security risk management;

  •  

  • ISO/ IEC 27006 (PN-ISO/ IEC 27006) Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji
    Requirements for bodies providing audit and certification of information security management systems.

Zapraszamy do zapoznania się z:

  • przebiegiem procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI/ ISMS) [szczegóły]

  • informacjami o organizowanych szkoleniach z zakresu ISO/ IEC 27001 [szczegóły]

  • z naszą ofertą w zakresie ISO 27001 [kontakt]

Back to Top
Zamknij

Chcesz być informowany o naszych szkoleniach oraz otrzymywać informacje związane z normami ISO?

Zapisz się do naszego newslettera -
nie umkną Ci żadne terminy i tematyka.