Budowa i rozwój systemu bezpieczeństwa informacji

Bezpieczeństwo informacji
(SZBI - ISO/IEC 27001)

Współcześnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Mają one kluczowy aspekt biznesowy, w związku z czym należy zadbać o ich właściwe zabezpieczenie. Najefektywniejsze jest zawsze podejście systemowe, w ramach którego organizacja może kompleksowo zarządzać posiadanymi aktywami informacyjnymi, infrastrukturą, przeznaczoną do ich przetwarzania oraz ryzykiem związanym z ich bezpieczeństwem.

Schemat systemu zarządzania bezpieczeństwem informacji (SZBI - ISO/IEC 27001)

Zamów ofertę

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Polska Norma PN-ISO/IEC 27001:2014-12 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Norma w poprzedniej wersji była jedną z najczęściej wdrażanych Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Norma stosowana jest na całym świecie jako kanon bezpieczeństwa informacji.

Z naszych usług w tym zakresie skorzystali m. in.:

Dla każdego rodzaju organizacji można zidentyfikować co najmniej kilka przepisów prawnych, które zawierają wymagania związane z bezpieczeństwa informacji, np.:

ustawa o ochronie danych osobowych,
ustawa o zwalczaniu nieuczciwej konkurencji,
ustawa o ochronie informacji niejawnych,
ustawa o dostępie do informacji publicznej,
ustawa o prawie autorskim i prawach pokrewnych,
ustawa o Krajowych Ramach Interoperacyjności.

Obszary zabezpieczeń objęte w SZBI:

polityka bezpieczeństwa informacji,
organizacja bezpieczeństwa informacji,
bezpieczeństwo zasobów ludzkich,
zarządzanie aktywami,
kontrola dostępu,
kryptografia,
bezpieczeństwo fizyczne i środowiskowe,
bezpieczna eksploatacja,
bezpieczeństwo komunikacji,
pozyskiwanie, rozwój i utrzymanie systemów,
relacje z dostawcami,
zarządzanie incydentami związanymi z bezpieczeństwem informacji,
aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
zgodność.

W ramach wdrożenia opracowane zostaną m.in.:

polityka bezpieczeństwa informacji,
metodyka szacowania i postępowania z ryzykiem,
deklaracja stosowania,
polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
polityka klasyfikacji informacji,
polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
polityka zarządzania kopiami zapasowymi,
procedura zarządzania incydentami,
plan zachowania ciągłości działania,
procedura audytu wewnętrznego.

Etapy wdrożenia:

audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
analiza ryzyka – zespół ODO 24 wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz postępowanie w sytuacji naruszenia normy,
szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez zespół ODO 24 wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
stałe udoskonalanie systemu zabezpieczeń informacji,
zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
może pomóc w uzyskaniu statusu preferowanego kontrahenta.

wstecz

Blog ODO 24

Naruszenie ochrony danych osobowych na Facebooku – od prewencji aż po kary

Miliony użytkowników portali społecznościowych, w szczególności najpopularniejszego z nich, czyli Facebooka,... więcej

Outsourcing IOD-a – konieczność czy zbyteczność?

RODO jest stosowane od 25 maja 2018 roku. Tymczasem najnowsze statystyki mówią o tym, że aż połowa polskich... więcej

Analiza ryzyka dla zasobów przetwarzających dane osobowe

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej... więcej

Konsekwencje nieprzestrzegania procedur ochrony danych osobowych

Dla wielu RODO to przede wszystkim astronomiczne kary pieniężne. Ciężko się dziwić, w końcu 20 milionów euro... więcej

Identyfikatory a RODO - jakie dane mogą zawierać?

Wśród pracodawców pojawiają się wątpliwości czy noszenie przez pracowników identyfikatorów ze zdjęciem jest... więcej

IOD "własny" czy z outsourcingu - plusy i minusy

Jeśli mamy obowiązek powołać IOD-a w swojej organizacji (lub planujemy go wyznaczyć z innych powodów),... więcej

Ustawa o ochronie danych osobowych - najważniejsze różnice w stosunku do projektu

Po wielu przeprowadzonych konsultacjach społecznych i wynikających z nich zmianach w samym projekcie,... więcej

Ocena skutków dla ochrony danych (DPIA) udostępniamy formularz

Odpowiadamy, czym jest DPIA, kiedy i jak jej dokonywać, a także udostępniamy przykładowy formularz, za pomocą... więcej

Kontrolowanie podmiotu przetwarzającego jako uprawnienie administratora danych osobowych

Uregulowanie relacji pomiędzy administratorem, a podmiotem przetwarzającym dane (popularnym procesorem)... więcej

IOD zamiast ABI – jak powiadomić PUODO

Administrator bezpieczeństwa informacji (ABI) został „zastąpiony” 25 maja tego roku przez inspektora ochrony... więcej