Usługi

Doradztwo, konsultacje, outsourcing usług

Usługi

Systemy Zarządzania

System Zarządzania Bezpieczeństwem Informacji

Potrzeba ochrony informacji w firmach wynika z wymagań zewnętrznych i wewnętrznych. Zewnętrzne wymagania stanowią wymagania prawne, kierowane do ogółu organizacji (np. UKSC, Ogólne rozporządzenie o ochronie danych osobowych – RODO, NIS2), wymagania sektorowe wskazywane przez organy kontrolne danej branży (np. rekomendacje KNF w sektorze bankowym, czy rozporządzenia MZ w sprawie dokumentacji medycznej) czy wymagania określone w umowach powierzenia lub poufności. Wewnętrzne wymagania ukierunkowane są na bezpieczeństwo informacji o charakterze biznesowym (np. wiedza technologiczna, strategia działania, wyniki finansowe).

Aby skutecznie chronić informacje , a zarazem sprostać wymaganiom zewnętrznym i wewnętrznym, należy ustalić odpowiedzialność i uprawnienia w tym zakresie oraz zdefiniować działania jakie mają być podejmowane celem bezpiecznej eksploatacji systemów informacyjnych. Skoordynowane działania w odniesieniu do ochrony informacji są podstawą Systemu Zarządzania Bezpieczeństwem Informacji – SZBI (ang. Information Security Management System – ISMS).

Międzynarodowa organizacja normalizacyjna ISO wydała standardy określające wymagania jakie ma spełniać SZBI oraz praktyczne wskazówki przy jego wdrażaniu – serię norm ISO 27000. Polski Komitet Normalizacyjny wydał normę PN-EN ISO/IEC 27001:2023-08 „Systemy zarządzania bezpieczeństwem informacji – Wymagania” stanowiącą podstawę do oceny zgodności SZBI z wymaganiami – umożliwiając certyfikację SZBI na zgodność z ww. normą.

Norma PN-EN ISO/IEC 27001:2023-08 (w aneksie A) przedstawia zbiór 93 zabezpieczeń (vs poprzednia edycja normy 114 zabezpieczeń), możliwych do wdrożenia w przedsiębiorstwie w następujących obszarach:

  • Zabezpieczenia organizacyjne – (zbiór 37 zabezpieczeń)
  • Zabezpieczenie osobowe – (zbiór 8 zabezpieczeń)
  • Zabezpieczenia fizyczne – (zbiór 34 zabezpieczeń)
  • Zabezpieczenia technologiczne – (zbiór 14 zabezpieczeń)

Wybór zabezpieczeń powinien być uzależniony od analizy kontekstu organizacji, w tym wymagań prawnych i kontraktowych, które obligują organizację do ich wdrożenia oraz od wyniku procesu szacowania ryzyka.

Zachęcamy Państwa do skontaktowania się z naszą firmą w celu poznania oferty w zakresie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji wg wymagań normy PN-EN ISO/IEC 27001:2023-08.

2StepsForward