SZBI jako kluczowy czynnik sukcesu organizacji

System zarządzania bezpieczeństwem informacji (SZBI) – to część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego. SZBI odnosi się do:

  • ustanawiania,
  • wdrażania,
  • eksploatacji,
  • monitorowania,
  • utrzymywania
  • i doskonalenia bezpieczeństwa informacji.

System zarządzania bezpieczeństwem informacji składa się z wielu elementów, w tym:

  • działania z planowania,
  • określenie organizacyjnych struktury,
  • obowiązków,
  • zdefiniowanie polityki bezpieczeństwa,
  • procedur,
  • ustalenie procesów i przydzielenie zasobów.

Najbardziej znaczącymi celami większości systemów zarządzania bezpieczeństwem informacji jest:

  • ochrona biznesu i wiedz kompanii od wycieku i/lub  zniszczenia oraz
  • gwarancja majątkowych praw i interesów.

Środki zapewniające bezpieczeństwo informacji nie mogą ograniczać oraz komplikować biznesowych  procesów przetwarzania informacji, ani obiegu informacji, ponieważ może to  zagrozić osiągnięciu celów biznesowych i rozwój organizacji.

System zarządzania bezpieczeństwem informacji musi zagwarantować osiągnięcia takich celów jak:

  • zapewnienie poufności,
  • uniemożliwienie niesankcjonowanego dostępu do informacji krytycznej,
  • integralność informacji i związanych z nią procesów (stworzenie, wprowadzenie,obróbki, wycofywania, niszczenia) oraz dostępności informacji itp.

Ustalone cele można osiągnąć przy udanym rozwiązaniu takich głównych zadań, jak:

  • wyznaczenie osób odpowiedzialnych za bezpieczeństwo informacji,
  • zdefiniowanie i zastosowanie oceny ryzyka dotyczącego bezpieczeństwa informacji,
  • przeprowadzenia szacowania ryzyka,
  • opracowanie systemu zarządzania ryzykami bezpieczeństwa informacji,
  • opracowanie polityk i procedur dostępu do zasobów informacyjnych (w tym metody ich oceny), nadzoru bezpieczeństwa informacji w organizacji.

Budowa SZBI pozwala wyraźnie wyznaczyć wzajemnie powiązania procesów i podsystemów bezpieczeństwa informacji, a przy tym: kto za nich odpowiada, jakie zasoby finansowe i ludzkie są konieczne dla ich efektywnego funkcjonowania, itd.

Zobacz podobne  Jak zapewnić bezpieczeństwo w sektorze medycznym?

Główne funkcje systemu zarządzania bezpieczeństwem informacji:

  • wykrycie i analiza ryzyk związanych z  bezpieczeństwem informacji,
  • planowanie i praktyczna realizacja procesów, skierowanych na minimalizację ryzyk,
  • kontrola tych procesów,
  • ciągle wprowadzenie do procesów minimalizacji ryzyk (poprzez działania korygujące).

Skuteczne  zarządzanie bezpieczeństwem informacji bazuje się na zasadach:

  • podejścia kompleksowego – zarządzanie bezpieczeństwem informacji powinno ogarniać wszystkie elementy systemu informacyjnego i uwzględniać wszelkie aktualne czynniki stwarzające ryzyko, które mogą wystąpić w systemie przebiegu informacji przedsiębiorstwa (zarówno wewnątrz, jak i na zewnątrz),
  • koordynacji z zadaniami biznesowymi i strategią przedsiębiorstwa,
  • wysokiego poziom sterowności,
  • adekwatnśoci generowanej i wykorzystywanej informacji,
  • efektywności (skuteczności) – optymalnego bilansu między możliwościami, wydajnością i kosztami SZBI,
  • ciągłości działania,
  • podejścia procesowego – powiązania procesów zarządzania do zamkniętego cyklu planowania, wykonania, sprawdzenia, audytu i korygowania (PDCA) oraz utrzymania nierozerwalnego związku między etapami.

Jednym z kluczowych czynników skuteczności systemu zarządzania bezpieczeństwem informacji organizacji jest jego budowa w oparciu o normę międzynarodową ISO/IEC 27001.

  • opracowania,
  • wdrażania,
  • utrzymania,
  • monitoringu,
  • wsparcia
  • i doskonalenia dobrze udokumentowanego systemu zarządzania bezpieczeństwem informacji w kontekście rozpatrzenia ryzyk biznesowych.

SZBI zapewnia wybór adekwatnych i proporcjonalnych środków nadzoru i ochrony informacji, co powoduje zaufanie stron zainteresowanych.

Zobacz podobne  NIS vs NIS2

Trzeba zwrócić też uwagę i na inne normy/ standardy w zakresie bezpieczeństwa informacji. W praktyce  światowej wykorzystują dość dużą ilość norm, standardów, metodyk, które reglamentują procesy zarządzania bezpieczeństwem informacji i są w pełni kompatybilne z ISO 27001, na przykład:

  • ISM3,
  • COBIT,
  • ITIL / ITSM,
  • BSI-100-2,
  • ISO13335-5,
  • CRAMM,
  • ISO 15408.
Przewijanie do góry