System zarządzania bezpieczeństwem informacji obejmuje wszystkie komórki organizacyjne przedsiębiorstwa. Informacja jest na tyle bezpieczna, na ile jest to zapewnione przez najsłabszy element systemu. Niestety „słabym ogniwem” systemu zawsze może być pracownik. Dlatego oprócz szkoleń i szerzenia świadomości, szczególnie istotnym elementem jest ustalenie oraz przekazanie odpowiednich zakresów odpowiedzialności wszystkim pracownikom. Zakresy odpowiedzialności pracowników, będących na niższych poziomach w strukturze organizacyjnej obejmują m.in.:
dla właścicieli aktywów:
- bezpieczeństwo informacji w zakresie, nad którym sprawują nadzór,
- przeciwdziałanie dostępowi do informacji chronionych osób niepowołanych,
- podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie,
dla Kierowników komórek organizacyjnych:
- przestrzeganie zasad ochrony informacji przez nich samych jak i przez podległych im pracowników,
- identyfikowanie zagrożeń zachowania bezpieczeństwa informacji.
Wszyscy pracownicy ponoszą odpowiedzialność za bezpieczeństwo informacji w zakresach zgodnych z posiadanymi zakresami obowiązków. Każdy pracownik zobowiązany jest dbać o bezpieczeństwo powierzonych mu do przetwarzania, archiwizowania lub przechowywania informacji zgodnie z obowiązującymi przepisami wewnętrznymi.
Formalne regulacje zostały wprowadzone, ale skąd wiemy, że rzeczywiście się tak dzieje? Oczywiście jedną z metod mogą być „nocne naloty” przeprowadzane przez Pełnomocnika ds. bezpieczeństwa informacji, ale nie jest to jedyna metoda.
Audyt wewnętrzny jest tym narzędziem, które właściwie wykorzystane dostarcza informacji na temat spełniania przez pracowników postawionych im wymagań, skuteczności tych działań, potrzeby zmian w niedoskonałych rozwiązaniach, identyfikacji nowych zagrożeń itd. Audytorzy rozmawiają z wszystkimi pracownikami, na ich stanowiskach pracy, m.in. o stosowanych narzędziach, metodach pracy, występujących problemach czy też zaobserwowanych przez pracownika możliwościach wprowadzenia usprawnień.
Analizując potrzebę przeprowadzania auditów należy pamiętać, iż kierownictwo organizacji nie ma lepszego źródła na uzyskanie potrzebnych do zarządzania bezpieczeństwem informacji niż informacje z audytu wewnętrznego!
Dlatego warto zastanowić się nad tym, czy osoby, które mają zbierać tak istotne informacje potrafią to robić. Poniżej przedstawiam obszary wiedzy, które powinni posiadać audytorzy wewnętrzny. Proszę ocenić, na ile audytorzy w Państwa organizacji znają:
- Metodykę analizy ryzyka (wg ISO 27005)
- Pomiar skuteczności zabezpieczeń (wg ISO 27004)
- Deklarację Stosowania
- Zasady funkcjonowania systemu zarządzania w organizacji
- Zasady systemu zarządzania – Podejście procesowe
- Wymagania normy ISO 27001
- System zarządzania i zabezpieczenia z Załącznika A (ISO 27002)
- Klasyfikację informacji
- Rodzaje dokumentów w systemie zarządzania. – zasady nadzorowania dokumentacji
oraz - Zadania audytora wewnętrznego i procesu audytowania
- Przygotowanie do auditu – Zasady układania pytań.
- Metody zbierania informacji podczas auditu
- Raportowanie auditu.
