SZBI jako kluczowy czynnik sukcesu organizacji

System zarządzania bezpieczeństwem informacji (SZBI) – to część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego. SZBI odnosi się do:
  • ustanawiania,
  • wdrażania,
  • eksploatacji,
  • monitorowania,
  • utrzymywania
  • i doskonalenia bezpieczeństwa informacji.
System zarządzania bezpieczeństwem informacji składa się z wielu elementów, w tym:
  • działania z planowania,
  • określenie organizacyjnych struktury,
  • obowiązków,
  • zdefiniowanie polityki bezpieczeństwa,
  • procedur,
  • ustalenie procesów i przydzielenie zasobów.
Najbardziej znaczącymi celami większości systemów zarządzania bezpieczeństwem informacji jest:
  • ochrona biznesu i wiedz kompanii od wycieku i/lub  zniszczenia oraz
  • gwarancja majątkowych praw i interesów.
Środki zapewniające bezpieczeństwo informacji nie mogą ograniczać oraz komplikować biznesowych  procesów przetwarzania informacji, ani obiegu informacji, ponieważ może to  zagrozić osiągnięciu celów biznesowych i rozwój organizacji.
System zarządzania bezpieczeństwem informacji musi zagwarantować osiągnięcia takich celów jak:
  • zapewnienie poufności,
  • uniemożliwienie niesankcjonowanego dostępu do informacji krytycznej,
  • integralność informacji i związanych z nią procesów (stworzenie, wprowadzenie,obróbki, wycofywania, niszczenia) oraz dostępności informacji itp.
Ustalone cele można osiągnąć przy udanym rozwiązaniu takich głównych zadań, jak:
wyznaczenie odpowiedzialnych za bezpieczeństwo informacji,
zdefiniowanie i zastosowanie oceny ryzyka dotyczącego bezpieczeństwa informacji,
przeprowadzenia szacowania ryzyka,
opracowanie systemu zarządzania ryzykami bezpieczeństwa informacji,
opracowanie polityk i procedur dostępu do zasobów informacyjnych (w tym metody ich oceny), nadzoru bezpieczeństwa informacji w organizacji.
Budowa SZBI pozwala wyraźnie wyznaczyć wzajemnie powiązania procesów i podsystemów bezpieczeństwa informacji, a przy tym: kto za nich odpowiada, jakie zasoby finansowe i ludzkie są konieczne dla ich efektywnego funkcjonowania, itd.
Główne funkcje systemu zarządzania bezpieczeństwem informacji:
  • wykrycie i analiza ryzyk związanych z  bezpieczeństwem informacji,
  • planowanie i praktyczna realizacja procesów, skierowanych na minimalizację ryzyk,
  • kontrola tych procesów,
  • ciągle wprowadzenie do procesów minimalizacji ryzyk (poprzez działania korygujące).
Skuteczne  zarządzanie bezpieczeństwem informacji bazuje się na zasadach:
  • podejścia kompleksowego – zarządzanie bezpieczeństwem informacji powinno ogarniać wszystkie elementy systemu informacyjnego i uwzględniać wszelkie aktualne czynniki stwarzające ryzyko, które mogą wystąpić w systemie przebiegu informacji przedsiębiorstwa (zarówno wewnątrz, jak i na zewnątrz),
  • koordynacji z zadaniami biznesowymi i strategią przedsiębiorstwa,
  • wysokiego poziom sterowności,
  • adekwatnśoci generowanej i wykorzystywanej informacji,
  • efektywności (skuteczności) – optymalnego bilansu między możliwościami, wydajnością i kosztami SZBI,
  • ciągłości działania,
  • podejścia procesowego – powiązania procesów zarządzania do zamkniętego cyklu planowania, wykonania, sprawdzenia, audytu i korygowania (PDCA) oraz utrzymania nierozerwalnego związku między etapami.
Jednym z kluczowych czynników skuteczności systemu zarządzania bezpieczeństwem informacji organizacji jest jego budowa w oparciu o normę międzynarodową ISO/IEC 27001.
Wymagania normy ISO 27001 stanowią narzędzie do:
  • opracowania,
  • wdrażania,
  • utrzymania,
  • monitoringu,
  • wsparcia
  • i doskonalenia dobrze udokumentowanego systemu zarządzania bezpieczeństwem informacji w kontekście rozpatrzenia ryzyk biznesowych.
SZBI zapewnia wybór adekwatnych i proporcjonalnych środków nadzoru i ochrony informacji, co powoduje zaufanie stron zainteresowanych.
Trzeba zwrócić też uwagę i na inne normy/ standardy w zakresie bezpieczeństwa informacji. W praktyce  światowej wykorzystują dość dużą ilość norm, standardów, metodyk, które reglamentują procesy zarządzania bezpieczeństwem informacji, na przykład:
  • ISM3,
  • COBIT,
  • ITIL / ITSM,
  • BSI-100-2,
  • ISO13335-5,
  • CRAMM,
  • ISO 15408.
Lecz warto odznaczyć, że one są kompatybilne z ISO 27001, a także podobne do niej.
Autor: Maryna Kuczyńska
Zobacz podobne  Jakie są cele cyberbezpieczeństwa?
Scroll to Top