System zarządzania bezpieczeństwem informacji
Transkrypt
System zarządzania bezpieczeństwem informacji
System zarządzania bezpieczeństwem informacji Wpisany przez RR Pt, 26 paź 2012 System zarządzania bezpieczeństwem informacji jest narzędziem zapewniającym systemowe i kompleksowe podejście organizacji do kwestii bezpieczeństwa informacji. System ten opiera się na modelu PDCA, który wymaga odpowiedniego zaplanowania rozwiązań z zakresu bezpieczeństwa informacji, ich wdrożenia, oceny, jak również ciągłego doskonalenia: - Planuj (ustanowienie SZBI) – ustanowienie polityki bezpieczeństwa, jej celów, zakresów stosowania procesów i procedur odpowiednich dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa tak, aby uzyskać wyniki zgodne z ogólną polityką i celami organizacji. - Wykonuj (wdrożenie i stosowanie SZBI) – wdrożenie i stosowanie polityki bezpieczeństwa, zabezpieczeń, procesów i procedur. - Sprawdzaj (monitorowanie i przegląd SZBI) – szacowanie oraz, tam, gdzie ma zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, celów i praktycznych doświadczeń, a także przekazywanie kierownictwu wyników do przeglądu. - Działaj (utrzymanie i doskonalenie SZBI) – podejmowanie działań korygujących i zapobiegawczych na podstawie wyników audytów wewnętrznych, przeglądu realizowanego przez kierownictwo i innych odpowiednich informacji tak, aby osiągnąć ciągłe doskonalenie SZBI. System Zarządzania Bezpieczeństwem Informacji jest rozumiany jako część całościowego systemu zarządzania, opartą na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Wymagania dla systemu zarządzania bezpieczeństwem informacji zostały określone w normie ISO 27001 Technika informatyczna – Techniki Bezpieczeństwa – Systemy Zarządzania 1/2 System zarządzania bezpieczeństwem informacji Wpisany przez RR Pt, 26 paź 2012 Bezpieczeństwem Informacji – Wymagania. Norma ta ma charakter międzynarodowy i jest stosowana w wielu krajach zarówno w Europie, jak i na świecie. Wymagania normy zostały ukształtowane na podstawie wiedzy i doświadczeń ekspertów zajmujących się bezpieczeństwem informacji. Pomimo że tytuł normy może wskazywać, iż dotyczy ona aspektów informatycznych, należy jednoznacznie stwierdzić, że norma ta zajmuje się kwestiami bezpieczeństwa systemu przetwarzania informacji, w którym to systemie aspekty informatyczne są jednym z wielu zagadnień. Tak więc norma ta nie dotyczy wyłącznie informatyki, jak dość często się uważa. Norma ISO 27001 składa się z dwóch podstawowych obszarów: rozwiązań systemowych i zabezpieczeń. W zakresie rozwiązań systemowych norma wymaga, aby organizacja m. in. przeprowadziła analizę ryzyka i zaplanowała odpowiednie działania ograniczające to ryzyko (plan postępowania z ryzykiem), jak również wprowadziła rozwiązania w zakresie zaangażowania kierownictwa organizacji w kwestie bezpieczeństwa informacji, w tym określenie polityki, celów dotyczących bezpieczeństwa informacji i dokonywania przeglądu systemu, właściwego nadzoru nad dokumentami i zapisami oraz prowadzenia audytów wewnętrznych i realizacji działań doskonalących. Norma zawiera szczegółowe wymagania dotyczące powyższych zagadnień, określone w następujących rozdziałach: 1. 2. 3. 4. 5. 6. 7. 8. Zakres normy Powołania normatywne Terminy i definicje System zarządzania bezpieczeństwem informacji Odpowiedzialność kierownictwa Wewnętrzne audyty SZBI Przegląd zarządzania SZBI Doskonalenie SZBI Źródło: Bezpieczeństwo informacji, Tadeusz Zawistowski, FRDL, Warszawa 2012 2/2