start: / Rozwiązania / Polityka Bezpieczeństwa i Zgodność / Wdrożenie Polityki Bezpieczeństwa Informacji

Wdrożenie Polityki Bezpieczeństwa Informacji

Informacje stanowią jedne z najistotniejszych aktywów, które, podobnie jak inne ważne składniki majątku, mają strategiczną wartość dla organizacji. Często decydują one o prawidłowym funkcjonowaniu firmy, jej pozycji na rynku, bezpieczeństwie finansowym oraz przewadze nad konkurencją.

Dlatego też, podobnie jak aktywa materialne należące do firmy, informacja musi podlegać odpowiedniej ochronie, poprzez zastosowanie środków adekwatnych do jej wagi oraz ryzyka jej utraty czy ujawnienia nieuprawnionym podmiotom.

W ujęciu systemowym, bezpieczeństwo informacji rozumiane jest jako zachowanie jej poufności, integralności i dostępności, gdzie:

1.       poufność oznacza, że informacja nie jest ujawniana nieupoważnionym osobom, podmiotom lub procesom,

2.       integralność oznacza, że informacja jest dokładna i kompletna,

3.       dostępność oznacza, że informacja jest dostępna na żądanie upoważnionego podmiotu.

Punktem wyjściowym ochrony informacji w przedsiębiorstwie jest inwentaryzacja i klasyfikacja aktywów informacyjnych oraz oszacowanie ryzyka utraty jednego z wyżej opisanych atrybutów bezpieczeństwa dla każdego z posiadanych aktywów.

Analiza ryzyka stanowi następnie podstawę do opracowania Polityki Bezpieczeństwa Informacji (ang. information security policy), definiującej tzw. środki ochrony informacji (mechanizmy, za pomocą których organizacja będzie zabezpieczać swoje zasoby informacyjne). Dokument ten jest zbiorem spójnych, precyzyjnych reguł i procedur, według których dana organizacja buduje, zarządza, chroni oraz udostępnia aktywa informacyjne oraz przetwarzające je systemy.

PN standard pomaga organizacjom w osiągnięciu założonego stopnia ochrony, zapewniając przy tym zgodność z wymaganiami przepisów krajowych dot. ochrony informacji, m.in.:

·         Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.);

·         Ustawą z dnia 05 sierpnia 2010 r. o ochronie informacji niejawnych;

·         Rozporządzeniami krajowymi dot. powyższych;

 a także gwarantując spełnienie wymagań w zakresie bezpieczeństwa informacji, niezbędnych dla uzyskania różnego rodzaju świadectw i certyfikatów, jak np.:

·         Certyfikatu zgodności z ISO/IEC 27001:2005;

·         Świadectwa AEO (upoważnionego przedsiębiorcy) w ramach Wspólnotowego Kodeksu Celnego;

·         i innych.

Powyższe działania prowadzone są w oparciu o sprawdzone metodyki ujęte w normie ISO/IEC 27001:2005 - standardzie definiującym wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji w organizacji (skr. ang. ISMS) - i obejmują odpowiednio:

1.       wykonanie inwentaryzacji i klasyfikacji aktywów informacyjnych;

2.       przeprowadzenie analizy ryzyka;

3.       opracowanie i wdrożenie Polityki Bezpieczeństwa obejmującej następujące obszary:

a.       organizacja bezpieczeństwa informacji;

b.      zarządzanie aktywami;

c.       bezpieczeństwo zasobów ludzkich;

d.      bezpieczeństwo fizyczne i środowiskowe;

e.      zarządzanie systemami i sieciami;

f.        kontrola dostępu;

g.       zarządzanie ciągłością działania;

h.      pozyskiwanie, rozwój i utrzymanie systemów informatycznych;

i.        zarządzanie incydentami związanymi z bezpieczeństwem informacji;

j.        zgodność z wymaganiami prawnymi i własnymi standardami;

4.       wsparcie powdrożeniowe umożliwiające nadzór i utrzymanie wprowadzonego poziomu ochrony informacji.

Więcej informacji na temat normy ISO/IEC 27001:2005 można znaleźć na stronie BSI.

Rozwiązania


Skontaktuj się z nami

PN standard
P.Nazarewski, M.Raszkowski sp. j.

ul. Leszno 14
01-192 Warszawa
Email: office@pns.com.pl
Tel.: (+4822) 20 72 215
Fax: (+4822) 20 72 869
 

© 2010 PN standard Wszystkie prawa zastrzeżone tworzenie stron www: Visualteam