Bezpieczeństwo informacji jako ważny element bezpieczeństwa całej organizacji



Podobne dokumenty
Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

ISO bezpieczeństwo informacji w organizacji

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ochrona biznesu w cyfrowej transformacji

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Reforma ochrony danych osobowych RODO/GDPR

Krzysztof Świtała WPiA UKSW

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

I. O P I S S Z K O L E N I A

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Bezpieczeństwo danych w sieciach elektroenergetycznych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Maciej Byczkowski ENSI 2017 ENSI 2017

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ISO nowy standard bezpieczeństwa. CryptoCon,

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo informacji. jak i co chronimy

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Normalizacja dla bezpieczeństwa informacyjnego

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Bezpieczeńtwo informacji

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Marcin Soczko. Agenda

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

SZCZEGÓŁOWY HARMONOGRAM KURSU

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

PARTNER.

Kompleksowe Przygotowanie do Egzaminu CISMP

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Płocka

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Szkolenie otwarte 2016 r.

Zarządzanie ryzykiem w bezpieczeństwie informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

ISO w Banku Spółdzielczym - od decyzji do realizacji

POLITYKA BEZPIECZEŃSTWA

Zdrowe podejście do informacji

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Amatorski Klub Sportowy Wybiegani Polkowice

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Przedszkole Nr 30 - Śródmieście

Kryteria oceny Systemu Kontroli Zarządczej

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Bezpieczeństwo teleinformatyczne danych osobowych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Ochrona danych osobowych w biurach rachunkowych

Transkrypt:

Bezpieczeństwo informacji jako ważny element bezpieczeństwa całej organizacji System Zarządzania Bezpieczeństwem Informacji zgodny z normą PN-ISO/IEC 27001:2007 wdrażany w Centrali PKP Polskie Linie Kolejowe S.A. W ujęciu encyklopedycznym pojęcie bezpieczeństwo jest bardzo szerokie. Zazwyczaj definiowane jest jako stan bądź proces, gwarantujący istnienie podmiotu oraz możliwość jego rozwoju. W ujęciu szczegółowym bezpieczeństwo to stan, który daje poczucie pewności istnienia i gwarancje jego zachowania oraz szanse na doskonalenie. Z punktu widzenie osoby bezpieczeństwo to jedna z podstawowych potrzeb człowieka (oprócz potrzeb fizjologicznych), usytuowana bardzo nisko w modelowej piramidzie jego potrzeb. Bezpieczeństwo odznacza się zazwyczaj brakiem ryzyka utraty czegoś szczególnie cennego dla człowieka (życia, zdrowia, pracy, szacunku, uczuć, dóbr materialnych i dóbr niematerialnych) jak i instytucji (zasobów ludzkich, rzeczowych, finansowych, materialnych, informacyjnych). Statutowa działalność PKP Polskie Linie Kolejowe S.A. nierozerwalnie związana jest właśnie z pojęciem bezpieczeństwo, które w działalności Spółki odmieniane jest przez wszystkie przypadki. Informacja jest współcześnie jednym z najżywotniejszych zasobów każdej organizacji choć z reguły zasobem najsłabiej chroniony. Nie bez przyczyny określa się nas mianem społeczeństwa informacyjnego. Przez wieki ludzie i organizacje uczyli i nadal uczą się chronić siebie oraz ważne zasoby niezbędne do funkcjonowania takie jak pieniądze czy mienie. Lecz czy nauczyli się chronić informacji (o sobie, o firmie w której pracują, o rzeczach które wykonują)? Z punktu widzenia biznesowego informacje posiadają określoną wartość dla organizacji dlatego powinny być chronione w celu zapewnienia jej bezpieczeństwa i ciągłości działania. Ale co tak naprawdę oznacza pojęcie bezpieczeństwo informacji? W skrócie bezpieczeństwo informacji oznacza, że ważne z punktu widzenia prawnego i biznesowego informacje są chronione przed nieuprawnionym dostępem, zniszczeniem, modyfikacją oraz że są zawsze dostępne dla upoważnionej osoby. Dlatego błędne jest powszechnie panujące przeświadczenie, że ochrona informacji skupia się jedynie na atrybucie zachowania jej poufności. Brak dostępności, rozliczalności czy integralności informacji są również niezbędnymi atrybutami jej bezpieczeństwa. W systemie zarządzania organizacją ochrona informacji to zagadnienie zarządcze i organizacyjne, a nie tylko techniczne. Powinno ono naturalnie wpisywać się w proces zarządzania całościowym bezpieczeństwem organizacji. Potrzeba bezpieczeństwa informacji zależy od rodzaju prowadzonej przez organizację działalności, wymagań bezpieczeństwa i stopnia uzależnienia tej działalności od przetwarzania informacji, wielkości instytucji, środowiska, kultury uzasadnieniem tych potrzeb będzie specyficzny dobór zasad, celów i wymagań dotyczących przetwarzania informacji, które zostały opracowane w celu prowadzenia 1

statutowej działalności, do jakiej organizacja została stworzona. Idąc dalej potrzeba ochrony informacji w organizacji wynika z wymagań ustawowych (ustawa o ochronie informacji niejawnych, ustawa o ochronie danych osobowych, ustawa o zwalczaniu nieuczciwej konkurencji, prawo telekomunikacyjne, ustawa o świadczeniu usług droga elektroniczną, prawo własności przemysłowej i inne). Wymagania prawne w sposób obligatoryjny wymuszają na organizacji zapewnienie bezpieczeństwa informacjom (danym) wymogiem ustawowym może być np. konieczność uzyskania świadectwa bezpieczeństwa przemysłowego lub spełnienie wymagań określonych w ustawie o ochronie danych osobowych. W pozostałych przypadkach zazwyczaj potrzeby ochrony informacji mogą wynikać z wymagań statutowych, wymagań wynikających z zawartych umów, kontraktów, dyrektyw, certyfikatów, zobowiązań wobec partnerów biznesowych, kontrahentów, usługodawców w tym wypadku poziom ochrony zależny jest od woli kierownictwa jednostki organizacyjnej. Wszystkie wymagania bezpieczeństwa informacji powinny być ustalane w procesie analizy ryzyka, który stanowi fundamentalną część procesu zarządzania ryzykiem obejmując analizę przewidywanych zagrożeń dla chronionych zasobów informacyjnych, analizę podatności zasobów na te zagrożenia oraz ocenę ryzyka, na jakie narażone są chronione zasoby, w przypadku zaistnienia przewidywanych zagrożeń. Jak wynika z ostatniego badania pod nazwą The Global State of Information Security Survey 2013, aż 88% pracowników firm używa tych samych telefonów komórkowych w pracy co w życiu prywatnym, podczas gdy jednocześnie zaledwie 44% przedsiębiorstw posiada jakiekolwiek procedury dotyczące bezpieczeństwa urządzeń mobilnych, a jeszcze mniej stosuje oprogramowanie zabezpieczające. The Global State of Information Security Survey 2013 to międzynarodowe badanie przygotowane przez firmę doradczą PwC, magazyn CIO oraz magazyn CSO. Zostało przeprowadzone przez internet w terminie od 1 stycznia 2012 r. do 15 kwietnia 2012 r. W badaniu wzięło udział ponad 9.300 menedżerów ze 128 krajów. Jak wynika z raportu, firmy nadal zbyt optymistycznie postrzegają swoje możliwości obrony przed cyberatakami i zbyt mało inwestują w rozwiązania chroniące przed włamaniami oraz co najważniejsze edukację swoich pracowników na temat możliwych zagrożeń. Jak pokazują wyniki, jedynie około 30% przedsiębiorstw na świecie posiada plan działania wobec zagrożeń związanych z mediami społecznościowymi oraz usługami przetwarzania informacji w chmurze. Jednocześnie, mniej niż połowa firm dysponuje strategią bezpieczeństwa obejmującą stosowanie urządzeń przenośnych, a tylko 37% posiada zabezpieczenia przed zagrożeniami związanymi z mobilnym dostępem do danych w pracy. Co ciekawe, Europa - pod względem wykorzystywanych zabezpieczeń teleinformatycznych - wypada słabiej niż średnia światowa, natomiast w naszym regionie częściej problem rozwiązuje się przez wprowadzenie zakazu stosowania urządzeń prywatnych dla celów zawodowych czy w ramach firmowej sieci. 2

Skalę potrzebnych zmian w przedsiębiorstwach najlepiej obrazuje fakt, że jedynie 1/3 ankietowanych menedżerów ma pewność, że w ciągu ostatnich 12 miesięcy nie padła ofiarą ataku w cyberprzestrzeni. Wśród firm, które doświadczyły naruszenia bezpieczeństwa, około 30% poniosło poważne straty finansowe, po ok. 20% straty związane z własnością intelektualną, utratą reputacji i stratą klientów. Wśród czynników uwzględnianych przez przedsiębiorstwa przy ocenie skutków naruszeń, największe znaczenie wydaje się mieć ryzyko utraty klientów, lecz nadal rozważa je tylko 52% respondentów. Pozostałe zagrożenia, w tym utrata reputacji, pozostają również niezauważane przez większość firm (rozważa je jedynie 27% ankietowanych), podczas gdy z badań wynika, że aż 61% klientów zrezygnowałoby z usług firmy w przypadku informacji o włamaniu do jej systemu informatycznego. Od dłuższego czasu maleje wykorzystanie narzędzi wykorzystywanych przez firmy w celu zagwarantowania bezpieczeństwa. Jakąkolwiek ochronę przed zagrożeniami typu spyware i adware posiada obecnie 71% przedsiębiorstw, a odsetek ten spadł z poziomu 83% w roku ubiegłym. Podobny trend można zaobserwować w przypadku innych podstawowych systemów bezpieczeństwa - już prawie dwie trzecie firm przyznaje, że nie wykorzystuje narzędzi do zarządzania incydentami i korelacji zdarzeń (SIEM). Dodatkowo, ochronę utrudnia brak wiedzy firm o tym, gdzie dokładnie przetrzymywane są dane pracowników i klientów. Miejsce przechowywania wrażliwych informacji potrafiło wskazać zaledwie 40% menedżerów, a jedynie 1/3 interesuje się jak zabezpieczone są dane osobowe pracowników i klientów przekazywane podwykonawcom. Według ankietowanych przez PwC najpoważniejszą barierą na drodze do poprawy bezpieczeństwa jest brak zrozumienia po stronie kierownictwa firmy wymieniany częściej niż środki finansowe czy potrzeba wykwalifikowanych pracowników. W firmach spadła także liczba i częstotliwość szkoleń oraz liczba zatrudnionych specjalistów, odpowiedzialnych za ich prowadzenie1. Jak wynika z powyższych statystyk wraz ze wzrostem znaczenia informacji we współczesnym świecie oraz z rozwojem technik przetwarzania informacji istotnym zagadnieniem w dzisiejszym świecie jest zapewnienie bezpieczeństwa informacji przetwarzanych pod każda postacią (tradycyjnie i elektronicznie). Informacje będące w posiadaniu organizacji posiadają swoją realną wartość i mogą być podatne na zagrożenia takie jak, np.: kradzież, zniszczenie czy zafałszowanie. Wraz z rozwojem teleinformatyki pojawiły i nadal pojawiają się nowe zagrożenia jak wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe, które mogą narazić instytucję na straty finansowe. Do problematyki zapewnienia bezpieczeństwa informacji w organizacji można podejść na wiele sposobów, określając i przyjmują różne modele ochrony. Model tzw. zerowy to brak jakichkolwiek zabezpieczeń tzn. w organizacji nie są stosowane żadne środki ochrony informacji. Z reguły obserwowany jest w tych organizacjach, w których kierownictwo uznało, że poziom ryzyka zagrożenia jest niewspółmiernie małe w porównaniu do kosztów wdrożenia polityki bezpieczeństwa oraz w instytucjach, których władze zaniedbały aspekt bezpieczeństwa. W sytuacji gdy pojawi się zagrożenie i spowoduje poważne konsekwencje władze organizacji wydają duże środki na zabezpieczanie instytucji i często wielokrotnie większe na likwidację skutków. 1 http://www.pwc.pl/pl/biuro-prasowe/giss-2013.jhtml z dnia 21 listopada 2012 r. 3

Model 1 to bezpieczeństwo dzięki brakowi zainteresowania ze strony otoczenia. Opiera się na fakcie, że system informacyjny organizacji jest tak mało istotny dla konkurencji i tak mało ciekawy dla włamywaczy że bezpieczeństwo można oprzeć na dużym prawdopodobieństwie braku prób ataku. Model ten bywa zawodny zwłaszcza w odniesieniu do ataków włamywaczy sportowców i wandali. Z kolei model 2 to ochrona na poziomie poszczególnych urządzeń biorących udział w procesie przetwarzania informacji. Model ten jest powszechnie najczęściej stosowaną metodą ochrony, co nie oznacza, że poprawnie zrealizowany jest jak najbardziej właściwy. Natomiast dla całego systemu informacyjnego organizacji ma wadę - jest trudno skalowalny (różne platformy sprzętowe, różne urządzenia, różne systemy operacyjne). Ponadto, pielęgnacja mechanizmów ochrony jest złożona, kosztowna i nieefektywna, wymagając fizycznego dostępu do każdego urządzenia przetwarzającego informacje. Modelem wzorcowym jest model 3 czyli ochrona informacji w skali całego systemu informacyjnego. Model ten zapewnia lepszą ochronę, niż na poziomie pojedynczych urządzeń, a opiera się na kontrolowaniu wszystkich dostępów do urządzeń przetwarzających informacje. Narzędziami wykorzystywanymi w tym modelu są np. silne procedury uwierzytelniania, architektury separujące czy szyfrowanie. Jak opisano powyżej działania w zakresie zabezpieczenia zasobów informacyjnych mogą być wyrywkowe, nieskoordynowane i intuicyjne. Firma, która chce należycie zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Dla podmiotu, który chce świadomie chronić swoje aktywa informacyjne na uwagę zasługuję System Zarządzania Bezpieczeństwem Informacji wg normy PN-ISO/IEC 27001:2007. Jest to norma będąca zbiorem wytycznych pozwalających na wdrożenie efektywnego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI, ISMS). Jest ona przeznaczona dla wszystkich rodzajów instytucji, zarówno dla podmiotów biznesowych jak i podmiotów administracji publicznej. W tym celu w PKP Polskie Linie Kolejowe S.A., z inicjatywy Biura Ochrony Informacji Centrali, uruchomiono projekt pn. Wdrożenie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji w PKP Polskie Linie Kolejowe S.A. zgodnie z normą PN-ISO/IEC 27001:2007(SZBI) Etap I: Centrala Spółki. Podstawowym celem projektu jest opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z wymaganiami normy PN-ISO/IEC 27001:2007 stanowiącego efektywny i kompleksowy mechanizm wspierający realizację zadań statutowych Spółki, natomiast w dalszej kolejności certyfikacja tego systemu przeprowadzona przez akredytowaną jednostkę certyfikującą oraz rozszerzenie systemu na pozostałe jednostki organizacyjne. 4

Zakresem projektu objęto: wszystkie komórki organizacyjne Centrali wszystkie lokalizacje komórek organizacyjnych Centrali wszystkie procesy realizowane przez Centralę Spółki wszystkie aktywa zarządzane przez Centralę wszystkie informacje przetwarzane w Centrali Spółki Celem standardu PN-ISO/IEC 27001:2007 jest określenie wymagań dla opartego na analizie ryzyka systemu zarządzania bezpieczeństwem informacji. Podobnie jak w przypadku innych standardów zarządzania, takich jak ISO 9001, podstawowym celem normy PN-ISO/IEC 27001:2007 nie jest automatyczne osiągniecie określonego poziomu bezpieczeństwa, ale sukcesywne wdrożenie mechanizmów zarządzania, które zapewnią, że bezpieczeństwo informacji będzie nadzorowanie i stanie się istotnym elementem zarządzania całościowym bezpieczeństwem całej organizacji i prowadzonej przez nią działalności. Zalety wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO/IEC 27001:2007 to: wsparcie zarządzania obszarem ochrony informacji poprawa funkcjonalna zarządzania wdrożenie sprawdzonych, międzynarodowych standardów w zakresie ochrony informacji, zapewnienia prawidłowego bezpieczeństwa przetwarzanych przez firmę informacji i danych usystematyzowanie i usprawnienie czynności związanych z zapewnieniem ochrony informacji wykrycie możliwych zagrożeń i zapobieganie im stworzenie prawidłowych procedur i instrukcji działania racjonalizacja wydatków w obszarze bezpieczeństwa informacji możliwość uzyskania niezależnego potwierdzenia wysokiego standardu ochrony informacji (certyfikat akredytowany) W chwili obecnej w Spółce funkcjonuje system zarządzania bezpieczeństwem informacji spełniający wiele wymogów stawianych przez normę. Uzyskanie pełnej zgodności stanowi więc naturalną drogę rozwoju tego systemu. Zakres prowadzonego projektu objął m.in.: wstępne szkolenie dla zespołu projektowego z metodyki prowadzenia projektu wdrożenia SZBI szkolenie dla audytorów wewnętrznych przez akredytowaną jednostkę certyfikującą przegląd i ocenę istniejących procedur w obszarze bezpieczeństwa informacji wraz z przeprowadzeniem audytu wstępnego 5

wypracowanie listy procesów objętych SZBI identyfikację aktywów objętych SZBI wypracowanie listy procedur do wytworzenia i wdrożenia w ramach SZBI wypracowanie organizacji zarządzania SZBI wypracowanie opisu procesu zarządzania i utrzymania SZBI opracowanie metodyki zarządzania ryzykiem szkolenia z zakresu opracowanej metodyki zarządzania ryzykiem przeprowadzenia analizy ryzyka opracowanie materiałów szkoleniowych z SZBI szkolenie kadry kierowniczej z SZBI opracowanie specyfikacji wymagań funkcjonalnych dla systemów informatycznych wspomagających proces audytu wewnętrznego SZBI i wspomagającego proces zarządzania ryzykiem w obszarze SZBI Norma PN-ISO/IEC 27001:2007 wprowadza system, który określa wymagania, oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w następujących obszarach zarządzania bezpieczeństwem informacji: polityka bezpieczeństwa informacji organizacja bezpieczeństwa informacji zarządzanie aktywami bezpieczeństwo osobowe bezpieczeństwo fizyczne i środowiskowe zarządzanie systemami i sieciami kontrola dostępu uzyskiwanie, rozwój i utrzymanie systemów informacyjnych zarządzanie incydentami związanymi z bezpieczeństwem informacji zarządzanie ciągłością działania Decyzje związane utrzymaniem i rozwojem obszaru bezpieczeństwa informacji w oparciu o uznany standard świadczą o dużym zaangażowaniu Zarządu Spółki w problematykę zapewnienia odpowiedniego poziomu ochrony aktywów informacyjnych Spółki. Grzegorz Kuta 6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres