Potrzeba ochrony informacji
Skuteczne zarządzanie przedsiębiorstwem wymaga podejmowania racjonalnych decyzji w oparciu rzetelne i sprawdzone informacje. Informacje mogą być przekazywane w różnej formie, począwszy od przekazu werbalnego, dokumentacji papierowej, a skończywszy na dokumentach przechowywanych elektronicznie (w zależności od systemu przetwarzania informacji). Ze względu na swą wartość dla przedsiębiorstwa, informacje są kluczem do uzyskania przewagi konkurencyjnej i powinny być należycie chronione.
Przetwarzanie informacji odbywa się w chwili obecnej głównie w systemach teleinformatycznych, a co za tym idzie na ich bezpieczeństwo zwraca się największą uwagę. Należy jednak pamiętać, że bezpieczeństwo, jakie można osiągnąć za pomocą środków technicznych jest ograniczone i powinno być wspierane przez odpowiednie zarządzanie.
Holistyczne spojrzenie na bezpieczeństwo informacji wymaga stworzenia Systemu Zarządzania Bezpieczeństwem Informacji, określającego cele w zakresie bezpieczeństwa, role i odpowiedzialności w systemie, podejście organizacji do zarządzania ryzykiem i środki bezpieczeństwa adekwatne do oszacowanych ryzyk.
Powrót do góry
System Zarządzania Bezpieczeństwem Informacji (ISMS)
Aby skutecznie chronić informacje , a zarazem sprostać wymaganiom prawnym (np. ustawa o ochronie danych osobowych),kontraktowym i wewnętrznym, należy ustalić odpowiedzialność i uprawnienia w tym zakresie oraz zdefiniować działania jakie mają być podejmowane celem bezpiecznej eksploatacji systemów informacyjnych. Skoordynowane działania w odniesieniu do ochrony informacji są podstawą Systemu Zarządzania Bezpieczeństwem Informacji (Information Security Management System – ISMS).
Międzynarodowa organizacja normalizacyjna ISO wydała standardy określające wymagania jakie ma spełniać ISMS oraz praktyczne wskazówki przy jego wdrażaniu – serię norm ISO 27000. Polski Komitet Normalizacyjny wydał normę PN-ISO/IEC 27001:2007 „Systemy zarządzania bezpieczeństwem informacji – Wymagania” stanowiącą podstawę do oceny zgodności ISMS z wymaganiami.
Norma PN-ISO/IEC 27001:2007 (w aneksie A) przedstawia zbiór 159 zabezpieczeń, możliwych do wdrożenia w przedsiębiorstwie w następujących obszarach:
- Polityka bezpieczeństwa,
- Organizacja bezpieczeństwa,
- Klasyfikacja i kontrola aktywów,
- Bezpieczeństwo osobowe,
- Bezpieczeństwo fizyczne i środowiskowe,
- Zarządzanie systemami i sieciami,
- Kontrola dostępu do systemu,
- Rozwój i utrzymanie systemu,
- Zarządzanie ciągłością działania,
- Zgodność z wymaganiami.
Wybór zabezpieczeń powinien być uzależniony od wymagań prawnych i kontraktowych, które obligują przedsiębiorstwo do ich wdrożenia oraz od wyniku procesu szacowania ryzyka.
Powrót do góry
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (ISMS)
Proponujemy Państwu kompleksowe podejście do wdrożenia ISMS w postaci połączonych usług:
- Audyt wstępny – Przeprowadzamy audyt wstępny, który ma na celu poznanie struktury organizacyjnej przedsiębiorstwa, zakresów odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem, sposobu przestrzegania procedur i ogólnie przyjętych praktyk w zakresie eksploatacji systemów informatycznych. Wynikiem audytu wstępnego jest szczegółowa koncepcja opracowania i wdrożenia ISMS.
- Klasyfikacja informacji – Na podstawie wyników audytu wstępnego i konsultacji prowadzonych z przedstawicielami organizacji identyfikujemy wymagania zewnętrzne i wewnętrzne w zakresie ochrony informacji, sugerujemy podział na grupy informacji i oraz określamy odpowiedzialności w zakresie dostępu do informacji. W wyniku konsultacji opracowywane są polityki bezpieczeństwa informacji.
- Opracowanie dokumentacji systemowej oraz procedur eksploatacyjnych – Dostarczamy propozycję dokumentacji systemowej, wymaganej normą PN-ISO/IEC 27001:2007 oraz w drodze konsultacji opracowujemy procedury eksploatacyjne dot. zarządzania infrastrukturą teleinformatyczną (w oparciu o koncepcję wypracowaną w wyniku audytu wstępnego.
- Analiza ryzyka - Kluczowy etap wdrożenia ISMS rozpoczynamy od szkolenia Zespołu ds. Analizy Ryzyka. Szkolenie składa się z części teoretycznej i warsztatowej. Podczas części praktycznej przeprowadzamy analizę ryzyka wybranego obszaru bezpieczeństwa lub procesu biznesowego. Po szkoleniu w drodze konsultacji wykonywana jest analiza ryzyka dla całej organizacji (w zakresie ISMS). Proces analizy ryzyka wspieramy systemem RAW (Risk Analysis for Workgroup). W wyniku tego etapu powstaje Raport z Analizy Ryzyka, Plan Postępowania z Ryzykiem i Deklaracja Stosowania.
- Wdrożenie Planu Postępowania z Ryzykiem – Wspieramy organizację we wdrożeniu PPR, sugerujemy możliwe rozwiązania organizacyjne i techniczne.
- Szkolenia wewnętrzne - Przeprowadzamy szkolenia wewnętrzne w ramach wdrożenia ISMS dla pracowników organizacji oraz szkolenia dla Audytorów Wewnętrznych ISMS.
- Audyt wewnętrzny i działania poaudytowe – Wspólnie z Państwem przygotowujemy (opracowanie programu i planu audytu ISMS) i przeprowadzamy audyty wewnętrzne. Dysponujemy doświadczonymi Audytorami Wiodącymi ISMS, którzy wspierać będą Państwa Audytorów Wewnętrznych podczas audytu.
- Działania poaudytowe – Wspieramy Państwa przy identyfikacji i wdrożeniu działań korygujących i zapobiegawczych oraz przygotowujemy do przeprowadzenia przeglądu ISMS i audytu certyfikacyjnego. Wspomagamy Państwa podczas audytu certyfikacyjnego – nasi konsultanci za zgodą Państwa i jednostki certyfikacyjnej uczestniczą jako obserwatorzy w audycie.
Jeśli jesteście Państwo zainteresowani ofertą w zakresie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji, zapraszamy do skontaktowania się z nami, dzięki czemu będziemy mogli przedstawić naszą koncepcję i ofertę na realizacji usługi.
Powrót do góry