MADE
Strona Główna » Doskonalenie zarządzania » ISO 27001:2005

 

System Zarządzania Bezpieczeństwem Informacji ISMS ISO 27001:2005


Informacje w organizacji znajdują się na różnych nośnikach. Mogą być zapisane i przechowywane w wersji papierowej, na nośnikach magnetycznych, płytach CD, przenośnych pamięciach. Cenne informacje przesyłamy, przekazujemy w postaci prezentacji, zdjęć i przekazujemy ustnie. Szacuje się, że ok. 30 % informacji organizacji przechowywanych jest na nośnikach papierowych, 30-40% pozostaje w umysłach pracowników, ok. 30-40% na nośnikach elektronicznych. Wiele z tych danych jest bardzo istotnych, a konsekwencje ich utraty są bardzo groźne dla Organizacji. Należy je chronić przed różnymi zagrożeniami, w taki sposób by zapewnić ciągłość prowadzenia działalności, zminimalizować straty, maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym.

 

System zarządzania bezpieczeństwem informacji (ISMS) ma za zadanie zapewnić dostęp informacji, jednak tym osobom, które mają uprawnienia w zakresie zgodnym z potrzebami, ma również chronić przed utratą informacji lub dostępem do niej przez niepowołane osoby oraz ma wprowadzać porządek i opisywać działania operacyjne firmy, by utrwalić dobre praktyki wśród pracowników. ISMS to również sposób na utrzymanie integralności informacji. Oznacza to, że mają być one dokładne, wiarygodne i kompletne poprzez zapobieganie celowemu lub przypadkowemu zniszczeniu lub tak zafałszowaniu informacji. ISMS jest wdrażany i certyfikowany w oparciu o najnowszą normę ISO 27001:2005, która weszła w życie 15 października 2005 r. System może zostać wdrożony w każdej organizacji, niezależnie od branży. Nie ogranicza się jedynie do informacji przetwarzanych w systemach komputerowych, ale odnosi się do bezpieczeństwa wszystkich informacji, niezależnie od formy ich przechowywania. ISMS ISO 27001:2005 zapewnia, że są one zawsze odpowiednio chronione.

 

Bezpieczeństwo informacji może być scharakteryzowane jako ochrona:

  • Poufności, czyli zapewnienia, że dostęp do informacji mają osoby upoważnione;
  • Integralności, czyli dokładności i kompletności danej informacji, przy uwzględnieniu metody jej przetwarzania;
  • Dostępności, czyli zapewnienia, że upoważnione osoby mają dostęp do potrzebnej im informacji.

 

Organizacja, która zamierza wdrożyć system i certyfikować SZBI musi przejść etapy związanie z określeniem zakresu samego systemu, oszacować wartości występujące w firmie, określić politykę bezpieczeństwa i systematycznego podejścia do szacowania ryzyk. Analiza ryzyka powinna hierarchizować, które informacje są najważniejsze dla ciągłości działania firmy i to gdzie się znajdują (na których nośnikach) i co im zagraża ale także na bieżąco monitorować, jak zmienia się ich bezpieczeństwo. Wdrażanie systemu bezpieczeństwa informacji często uświadamia organizacji jakie mogą być skutki utraty pewnych ważnych informacji, dlatego należy określić straty biznesowe i skutki naruszenia ich bezpieczeństwa, a następnie określić warianty postępowania z zagrożeniami. Organizacja powinna przystąpić do opracowania dokumentacji systemowej w tym i instrukcji dla pracowników, które pomagają wyrobić nawyki i utrwalić zasady postępowania np.: z systemem informatycznym przy przetwarzaniu danych osobowych. W celu zapewnienia działania systemu po wdrożeniu niezbędny jest monitoring i przeglądy oraz ciągle doskonalenie.

 

Ponieważ większość organizacji obecnie jest skomputeryzowana i działa w sieci, a na serwerach przechowuje właśnie cenne dane, wiele organizacji przy SZBI skupia się na zabezpieczeniach sieci i systemów, które i tak są z reguły bardzo dobrze utrzymane, natomiast bardzo istotne są również:

  • Bezpieczeństwo fizyczne, które oznacza wyznaczenie granic obszarów bezpiecznych, zabezpieczenie wejścia do ważnych pomieszczeń, ochronę przed zagrożeniami zewnętrznymi  i środowiskowymi oraz określenie zasad postępowania w obszarach bezpiecznych i dostępu publicznego np. przy dostawach i załadunkach.
  • Zabezpieczenia sprzętu tj.: Rozmieszczenie sprzętu i jego ochrona, zasilanie, bezpieczeństwo okablowania, konserwacja sprzętu, zabezpieczenie sprzętu poza siedzibą firmy, bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia, wynoszenie mienia.
  • Bezpieczeństwo logiczne czyli zarządzania dostarczeniem usług przez strony trzecie: system obejmuje dostarczanie usług, wprowadza monitorowanie i przegląd usług które organizacja zleca do wykonania podwykonawcom i również zarządza zmianami w usługach stron trzecich.

 

Skupiając się na bezpieczeństwie systemu informatycznego należy mieć na uwadze zagadnienia dotyczące:
• Bezpieczeństwa logiczne przy planowaniu i odbiorze systemu,
• Ochronie przed szkodliwym oprogramowaniem i kodem mobilnym,
• Dotyczących kopii zapasowych informacji,
• Zabezpieczeń sieci i usług sieciowych,
• Postępowania z nośnikami,
• Wymiany informacji, usług i handlu poprzez internet
• Monitorowania użycia systemu.
• Kontroli dostępu wg zakresu odpowiedzialności użytkowników
• Kontroli dostępu do sieci
• Kontroli dostępu do systemów operacyjnych
• Kontroli dostępu do aplikacji i informacji
• Kontroli dostępu przy pracy na odległość
• Doboru i utrzymania sprzętu i oprogramowania

 

Bardzo istotnym elementem ISMS jest zarządzanie incydentami związanymi z bezpieczeństwem informacji. Organizacja powinna uczyć się wychwytywać i raportować zdarzenia i słabe punkty mające wpływ na bezpieczeństwo informacji. Należy określać odpowiedzialność i procedury postępowanie w razie ich wystąpienia.

 

 

zadaj pytanie
zadaj pytanie
zgłaszanie się do bazy trenerów

Zapisz się do naszego newslettera

Login: Hasło:
Login: Hasło:
Projekt i wykonanie WEBs.com.pl