Deklaracja stosowania SZBI – jak ją przygotować?

System Zarządzania Bezpieczeństwem Informacji jest najpopularniejszym standardem mającym zapewnić bezpieczeństwo danych. Stosują go przede wszystkim organizacje, które muszą mieć pewność, że przechowywane przez nich informacje są bezpieczne oraz te, dla których właściwe przechowywanie danych wpływa na ich prawidłowe funkcjonowanie.

Normy ISO a SZBI

Systemy zarządzania, w tym także bezpieczeństwem informacji są regulowane przez ISO. Normy te określają wymogi organizacyjne, proceduralne, dokumentacyjne i techniczne, które maja zagwarantować stan właściwy, czyli w tym przypadku bezpieczeństwo informacji. SZBI bazuje na normach: ISO 27000 dotyczącej ogólnego przeglądu i terminologii stosowanej w normie, a także ISO 27001, ISO 27002, ISO 27003, ISO 27004, ISO 27005.

Oprócz wspomnianych norm ISO z rodziny 27000 stosuje się także inne normy regulujące kwestie bezpieczeństwa, takie jak ISO 31000, czyli standardy dotyczące zarządzania ryzykiem oraz ISO 22301 – System Zarządzania Ciągłością działania.

Norma ISO 27001

Deklaracja stosowania SZBI musi być zgodna z wymogami, jakie stawiają normy ISO 27001. Według nich bardzo ważne jest ustalenie kontekstu organizacji, który polega na zdefiniowaniu czynników zewnętrznych oraz wewnętrznych, które mają kluczowe znaczenie dla osiągnięcia optymalnych wyników. Należy także ustalić, jakie strony są istotne dla SZBI oraz jakie są ich wymogi w zakresie bezpieczeństwa informacji. Wymogiem jest także ustalenie granic oraz zakresu stosowania SZBI, co musi znaleźć się w dokumencie.

Polityka Bezpieczeństwa a SZBI

W deklaracji stosowania SZBI musi znaleźć się także zapis związany z Polityką Bezpieczeństwa oraz dotyczący przywództwa i angażowania się kierownictwa najwyższego szczebla w ustanowienie oraz weryfikowanie skuteczności. Bardzo ważne jest ustalenie celów bezpieczeństwa informacji oraz wskazanie, w jakim stopniu wspierają cele strategiczne organizacji. Wymagania SZBI muszą być zintegrowane z głównymi procesami organizacji.

Polityka Bezpieczeństwa zawierać musi również zobowiązanie do doskonalenia SZBI. Musi być opracowana przez kierownictwo, a także udokumentowana oraz dostępna dla wszystkich pracowników. Ogromnie ważne jest prawidłowe komunikowanie polityki, a także informowanie o wszelkich zmianach, jakie są do niej wprowadzane. Każdy z pracowników jest odpowiedzialny za prawidłową realizację zapisów, jakie się w niej znajdują.

Kolejnym punktem, jakie musi zostać zawarty w deklaracji jest ten dotyczący szacowania i zarządzania ryzykiem. Należy określić kryteria akceptacji ryzyka oraz jego identyfikowania. Proces analizy ryzyka musi być także odpowiednio udokumentowany. Bardzo istotne jest także opracowanie planu postępowania z ryzykiem. Jego głównym celem jest wybór odpowiednich zabezpieczeń, a także ich wdrożenie.

Wdrażane cele bezpieczeństwa informacji i polityka bezpieczeństwa muszą być kontrolowane pod kątem ich spójności. Należy ustalić, jakie działania muszą zostać podjęte oraz jakiego rodzaju środki są do tego niezbędne. Bardzo istotne jest także ustalenie, kto jest za to odpowiedzialny oraz termin, do którego zostanie zrealizowany ten cel.

Kolejnym ważnym krokiem jest określenie zasobów i kompetencji niezbędnych do ustanowienia, wdrożenia, a także doskonalenia SZBI. Niezwykle istotne jest także uświadamianie oraz komunikowanie polityki bezpieczeństwa w organizacji. Każdy z pracowników musi być świadom wkładu w skuteczność SZBI, a także tego, jakie są konsekwencje działań niezgodnych z wymogami SZBI.

Monitorowanie skuteczności SZBI

Skuteczność SZBI musi być właściwie monitorowana, a także mierzona. Należy przeprowadzać szczegółowa analizę oraz ocenę jej skuteczności. Wszystkie wyniki pomiarów muszą być właściwie udokumentowane.W tym celu przeprowadzane są audyty wewnętrzne. Wcześniej należy opracować ich program, który powinien określać częstotliwość ich przeprowadzania, a także stosowane metody.

Organizacja musi odpowiednio reagować na wskazane niezgodności i je korygować. Należy więc zweryfikować skuteczność oraz wdrażać odpowiednie zmiany w SZBI.

Wdrożenie w firmie Systemu Zarządzania Bezpieczeństwem Informacji musi być zgodne z wymogami stawianymi przez normę ISO 27001. Niezbędne jest więc właściwe uregulowanie różnych obszarów, a także zmodyfikowanie głównych procesów. Wprowadzane działania muszą być mierzone oraz właściwie analizowane pod kątem ich skuteczności. Jeśli to konieczne, to należy przeprowadzać działania naprawcze. Wszystko to musi być w odpowiedni sposób udokumentowane, aby w każdej chwili można było sprawdzić te informacje. Bardzo ważne w całym procesie jest także ustalenie ról oraz zakresu odpowiedzialności osób odpowiedzialnych za procesy SZBI.