KontaktKontakt Strona głównaStrona główna

Bezpieczeństwo informacji

Co chcemy chronić? Jak się zabezpieczyć?

Potrzeba ochrony informacji

Skuteczne zarządzanie przedsiębiorstwem wymaga podejmowania racjonalnych decyzji w oparciu rzetelne i sprawdzone informacje. Informacje mogą być przekazywane w różnej formie, począwszy od przekazu werbalnego, dokumentacji papierowej, a skończywszy na dokumentach przechowywanych elektronicznie (w zależności od systemu przetwarzania informacji). Ze względu na swą wartość dla przedsiębiorstwa, informacje są kluczem do uzyskania przewagi konkurencyjnej i powinny być należycie chronione.


Przetwarzanie informacji odbywa się w chwili obecnej głównie w systemach teleinformatycznych, a co za tym idzie na ich bezpieczeństwo zwraca się największą uwagę. Należy jednak pamiętać, że bezpieczeństwo, jakie można osiągnąć za pomocą środków technicznych jest ograniczone i powinno być wspierane przez odpowiednie zarządzanie.


Holistyczne spojrzenie na bezpieczeństwo informacji wymaga stworzenia Systemu Zarządzania Bezpieczeństwem Informacji, określającego cele w zakresie bezpieczeństwa, role i odpowiedzialności w systemie, podejście organizacji do zarządzania ryzykiem i środki bezpieczeństwa adekwatne do oszacowanych ryzyk.

Powrót do góry

System Zarządzania Bezpieczeństwem Informacji (ISMS)

Aby skutecznie chronić informacje , a zarazem sprostać wymaganiom prawnym (np. ustawa o ochronie danych osobowych),kontraktowym i wewnętrznym, należy ustalić odpowiedzialność i uprawnienia w tym zakresie oraz zdefiniować działania jakie mają być podejmowane celem bezpiecznej eksploatacji systemów informacyjnych. Skoordynowane działania w odniesieniu do ochrony informacji są podstawą Systemu Zarządzania Bezpieczeństwem Informacji (Information Security Management System – ISMS).


Międzynarodowa organizacja normalizacyjna ISO wydała standardy określające wymagania jakie ma spełniać ISMS oraz praktyczne wskazówki przy jego wdrażaniu – serię norm ISO 27000. Polski Komitet Normalizacyjny wydał normę PN-ISO/IEC 27001:2007 „Systemy zarządzania bezpieczeństwem informacji – Wymagania” stanowiącą podstawę do oceny zgodności ISMS z wymaganiami.

Norma PN-ISO/IEC 27001:2007 (w aneksie A) przedstawia zbiór 159 zabezpieczeń, możliwych do wdrożenia w przedsiębiorstwie w następujących obszarach:

  • Polityka bezpieczeństwa,
  • Organizacja bezpieczeństwa,
  • Klasyfikacja i kontrola aktywów,
  • Bezpieczeństwo osobowe,
  • Bezpieczeństwo fizyczne i środowiskowe,
  • Zarządzanie systemami i sieciami,
  • Kontrola dostępu do systemu,
  • Rozwój i utrzymanie systemu,
  • Zarządzanie ciągłością działania,
  • Zgodność z wymaganiami.

Wybór zabezpieczeń powinien być uzależniony od wymagań prawnych i kontraktowych, które obligują przedsiębiorstwo do ich wdrożenia oraz od wyniku procesu szacowania ryzyka.

Powrót do góry

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (ISMS)

Proponujemy Państwu kompleksowe podejście do wdrożenia ISMS w postaci połączonych usług:

  • Audyt wstępny – Przeprowadzamy audyt wstępny, który ma na celu poznanie struktury organizacyjnej przedsiębiorstwa, zakresów odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem, sposobu przestrzegania procedur i ogólnie przyjętych praktyk w zakresie eksploatacji systemów informatycznych. Wynikiem audytu wstępnego jest szczegółowa koncepcja opracowania i wdrożenia ISMS.
  • Klasyfikacja informacji – Na podstawie wyników audytu wstępnego i konsultacji prowadzonych z przedstawicielami organizacji identyfikujemy wymagania zewnętrzne i wewnętrzne w zakresie ochrony informacji, sugerujemy podział na grupy informacji i oraz określamy odpowiedzialności w zakresie dostępu do informacji. W wyniku konsultacji opracowywane są polityki bezpieczeństwa informacji.
  • Opracowanie dokumentacji systemowej oraz procedur eksploatacyjnych – Dostarczamy propozycję dokumentacji systemowej, wymaganej normą PN-ISO/IEC 27001:2007 oraz w drodze konsultacji opracowujemy procedury eksploatacyjne dot. zarządzania infrastrukturą teleinformatyczną (w oparciu o koncepcję wypracowaną w wyniku audytu wstępnego.
  • Analiza ryzyka - Kluczowy etap wdrożenia ISMS rozpoczynamy od szkolenia Zespołu ds. Analizy Ryzyka. Szkolenie składa się z części teoretycznej i warsztatowej. Podczas części praktycznej przeprowadzamy analizę ryzyka wybranego obszaru bezpieczeństwa lub procesu biznesowego. Po szkoleniu w drodze konsultacji wykonywana jest analiza ryzyka dla całej organizacji (w zakresie ISMS). Proces analizy ryzyka wspieramy systemem RAW (Risk Analysis for Workgroup). W wyniku tego etapu powstaje Raport z Analizy Ryzyka, Plan Postępowania z Ryzykiem i Deklaracja Stosowania.
  • Wdrożenie Planu Postępowania z Ryzykiem – Wspieramy organizację we wdrożeniu PPR, sugerujemy możliwe rozwiązania organizacyjne i techniczne.
  • Szkolenia wewnętrzne - Przeprowadzamy szkolenia wewnętrzne w ramach wdrożenia ISMS dla pracowników organizacji oraz szkolenia dla Audytorów Wewnętrznych ISMS.
  • Audyt wewnętrzny i działania poaudytowe – Wspólnie z Państwem przygotowujemy (opracowanie programu i planu audytu ISMS) i przeprowadzamy audyty wewnętrzne. Dysponujemy doświadczonymi Audytorami Wiodącymi ISMS, którzy wspierać będą Państwa Audytorów Wewnętrznych podczas audytu.
  • Działania poaudytowe – Wspieramy Państwa przy identyfikacji i wdrożeniu działań korygujących i zapobiegawczych oraz przygotowujemy do przeprowadzenia przeglądu ISMS i audytu certyfikacyjnego. Wspomagamy Państwa podczas audytu certyfikacyjnego – nasi konsultanci za zgodą Państwa i jednostki certyfikacyjnej uczestniczą jako obserwatorzy w audycie.

Jeśli jesteście Państwo zainteresowani ofertą w zakresie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji, zapraszamy do skontaktowania się z nami, dzięki czemu będziemy mogli przedstawić naszą koncepcję i ofertę na realizacji usługi.

Powrót do góry