Informacje w organizacji są zapisane i przechowywane w wersji papierowej, na nośnikach magnetycznych, płytach CD, przenośnych pamięciach. Cenne informacje przesyłamy, przekazujemy w postaci prezentacji, zdjęć i przekazujemy ustnie. Szacuje się, że ok. 30 % informacji organizacji przechowywanych jest na nośnikach papierowych, 30-40% pozostaje w umysłach pracowników, ok. 30-40% na nośnikach elektronicznych..
Wiele z tych danych to dane bardzo istotne, które masz szansę stracić bezpowrotnie !!!
System zarządzania bezpieczeństwem informacji:
- ma za zadanie zapewnić dostęp informacji, tylko tym osobom, które mają uprawnienia w zakresie zgodnym z potrzebami,
- ma chronić przed utratą informacji lub dostępem do niej przez niepowołane osoby,
- ma wprowadzać porządek i opisywać działania operacyjne firmy, by utrwalić dobre praktyki wśród pracowników.
System zarządzania bezpieczeństwem informacji to również sposób na utrzymanie informacji dokładnych, wiarygodnych i kompletnych poprzez zapobieganie celowemu lub przypadkowemu zniszczeniu lub ich zafałszowaniu.
Normą zawierającą wytyczne dotyczące systemu zarządzania jest ISO 27001 – systemy zarządzania bezpieczeństwem informacji-część 2: specyfikacja i wytyczne stosowania. Mówi ona o tym jak należy zaprojektować system zarządzania bezpieczeństwem informacji i jak go utrzymać aby stale odpowiadał szybko zmiennym warunkom otoczenia. W tej normie określono wymagania dotyczące ustanawiania wdrażania, eksploatacji, śledzenia (monitorowania), przeglądów oraz utrzymywania i doskonalenia udokumentowanego SZBI. Na zgodność z tą normą organizacja może certyfikować swój system zarządzania bezpieczeństwem informacji.
Przedsiębiorstwa, które zamierzają wdrożyć i certyfikować SZBI muszą przejść etapy związanie z określeniem zakresu samego systemu, oszacować wartości występujące w firmie, określić politykę bezpieczeństwa i systematycznego podejścia do szacowania ryzyk.
Analiza ryzyka powinna hierarchizować, które informacje są najważniejsze dla ciągłości działania firmy, gdzie się znajdują (na których nośnikach) i co im zagraża ale także na bieżąco monitorować, jak zmienia się ich bezpieczeństwo. Wdrażanie systemu bezpieczeństwa informacji często uświadamia organizacji jakie mogą być skutki utraty pewnych ważnych informacji, dlatego należy określić straty biznesowe i skutki naruszenia ich bezpieczeństwa a następnie określić warianty postępowania z zagrożeniami. Analiza ryzyka powinna być przeprowadzona przy jak największym udziale pracowników organizacji. Ponieważ jest to ogrom pracy zachęcamy do wsparcia prac specjalistycznym oprogramowaniem do analizy ryzyka certus@centrum-doskonalenia.pl
Częstym błędem przy budowie systemu zarządzania bezpieczeństwem informacji jest skupianie się na zabezpieczeniach sieci i systemów, które i tak są z reguły bardzo dobrze utrzymane.
Należy zdać sobie sprawę, iż dla organizacji bardzo istotne są również:
- Bezpieczeństwo fizyczne, które oznacza wyznaczenie granic obszarów bezpiecznych, zabezpieczenie wejścia do ważnych pomieszczeń, ochronę przed zagrożeniami zewnętrznymi i środowiskowymi oraz określenie zasad postępowania w obszarach bezpiecznych i dostępu publicznego np. przy dostawach i załadunkach.
- Zabezpieczenia sprzętu tj.: rozmieszczenie sprzętu i jego ochrona, zasilanie, bezpieczeństwo okablowania, konserwacja sprzętu, zabezpieczenie sprzętu poza siedzibą firmy, bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia, wynoszenie mienia.
- Bezpieczeństwo logiczne czyli zarządzania dostarczeniem usług przez strony trzecie: system obejmuje dostarczanie usług, wprowadza monitorowanie i przegląd usług które organizacja zleca do wykonania podwykonawcom i również zarządza zmianami w usługach stron trzecich.
