System zarządzania bezpieczeństwem informacji

System zarządzania bezpieczeństwem informacji
Wpisany przez RR
Pt, 26 paź 2012
System zarządzania bezpieczeństwem informacji jest narzędziem zapewniającym systemowe i
kompleksowe podejście organizacji do kwestii bezpieczeństwa informacji. System ten opiera się
na modelu PDCA, który wymaga odpowiedniego zaplanowania rozwiązań z zakresu
bezpieczeństwa informacji, ich wdrożenia, oceny, jak również ciągłego doskonalenia:
- Planuj (ustanowienie SZBI) – ustanowienie polityki bezpieczeństwa, jej celów, zakresów
stosowania procesów i procedur odpowiednich dla zarządzania ryzykiem oraz doskonalenia
bezpieczeństwa tak, aby uzyskać wyniki zgodne z ogólną polityką i celami organizacji.
- Wykonuj (wdrożenie i stosowanie SZBI) – wdrożenie i stosowanie polityki
bezpieczeństwa, zabezpieczeń, procesów i procedur.
- Sprawdzaj (monitorowanie i przegląd SZBI) – szacowanie oraz, tam, gdzie ma
zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, celów i
praktycznych doświadczeń, a także przekazywanie kierownictwu wyników do przeglądu.
- Działaj (utrzymanie i doskonalenie SZBI) – podejmowanie działań korygujących i
zapobiegawczych na podstawie wyników audytów wewnętrznych, przeglądu realizowanego
przez kierownictwo i innych odpowiednich informacji tak, aby osiągnąć ciągłe doskonalenie
SZBI.
System Zarządzania Bezpieczeństwem Informacji jest rozumiany jako część całościowego
systemu zarządzania, opartą na podejściu wynikającym z ryzyka biznesowego, odnosząca się
do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia
bezpieczeństwa informacji.
Wymagania dla systemu zarządzania bezpieczeństwem informacji zostały określone w normie
ISO 27001 Technika informatyczna – Techniki Bezpieczeństwa – Systemy Zarządzania
1/2
System zarządzania bezpieczeństwem informacji
Wpisany przez RR
Pt, 26 paź 2012
Bezpieczeństwem Informacji – Wymagania. Norma ta ma charakter międzynarodowy i jest
stosowana w wielu krajach zarówno w Europie, jak i na świecie. Wymagania normy zostały
ukształtowane na podstawie wiedzy i doświadczeń ekspertów zajmujących się
bezpieczeństwem informacji. Pomimo że tytuł
normy może wskazywać, iż dotyczy ona aspektów informatycznych, należy jednoznacznie
stwierdzić, że norma ta zajmuje się kwestiami bezpieczeństwa systemu przetwarzania
informacji, w którym to systemie aspekty informatyczne są jednym z wielu zagadnień. Tak więc
norma ta nie dotyczy wyłącznie informatyki, jak dość często się uważa. Norma ISO 27001
składa się z dwóch podstawowych obszarów: rozwiązań systemowych i zabezpieczeń. W
zakresie rozwiązań systemowych
norma wymaga, aby organizacja m. in. przeprowadziła analizę ryzyka i zaplanowała
odpowiednie działania ograniczające to ryzyko (plan postępowania z ryzykiem), jak również
wprowadziła rozwiązania w zakresie zaangażowania kierownictwa organizacji w kwestie
bezpieczeństwa informacji, w tym określenie polityki, celów dotyczących bezpieczeństwa
informacji i dokonywania przeglądu systemu, właściwego nadzoru nad dokumentami i zapisami
oraz prowadzenia audytów wewnętrznych i realizacji działań doskonalących. Norma zawiera
szczegółowe wymagania dotyczące powyższych zagadnień, określone w następujących
rozdziałach:
1.
2.
3.
4.
5.
6.
7.
8.
Zakres normy
Powołania normatywne
Terminy i definicje
System zarządzania bezpieczeństwem informacji
Odpowiedzialność kierownictwa
Wewnętrzne audyty SZBI
Przegląd zarządzania SZBI
Doskonalenie SZBI
Źródło: Bezpieczeństwo informacji, Tadeusz Zawistowski, FRDL, Warszawa 2012
2/2