Systemowe Zarządzanie Bezpieczeństwem Informacji – potrzeba…konieczność…obowiązek!
Informacje, są to aktywa niezbędne dla istnienia i funkcjonowania każdej organizacji więc wymagają też określonej ochrony. Informacje są nam potrzebne do wykonywania codziennych zadań i jednocześnie są „produktem” realizacji tych zadań. Informacje wytwarzamy jak i pozyskujemy z różnych źródeł. Mogą być nam powierzane, jak też sami je powierzamy innym podmiotom, często też je udostępniamy np. urzędom państwowym wypełniając obowiązki ustawowe. Informacje, będąc zasobem organizacji takim samym jak personel, środki finansowe czy technologie mają konkretną wartość więc ich strata czy utrata ich poufności będą stanowiły konkretną stratę organizacji. Należy więc je chronić biorąc pod uwagę trzy podstawowe atrybuty informacji takie jak: poufność, integralność i dostępność.
Potrzeba ochrony informacji może wynikać z wymagań biznesowych jak też wymagań prawnych więc w praktyce do tej kwestii należy podchodzić jako do obowiązku każdej organizacji.
W przypadku podmiotów publicznych wymagania w obszarze zarządzania bezpieczeństwem informacji zostały wprost określone w §20 ust. 3 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie krajowych ram interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247). Mowa jest tu o konieczności opracowania, ustanowienia i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i należy mieć tu na uwadze, że system musi obejmować wszystkie informacje przetwarzane w podmiocie, bez ograniczania się tylko do wybranego obszaru, np. ochrony danych osobowych.
System zarządzania jest zbiorem wzajemnie powiązanych lub oddziałujących na siebie elementów organizacji powołany w celu ustanowienia polityk, celów i procesów osiągnięcia tych celów. Systemowe podejście do zarządzania bezpieczeństwem informacji ma wiele korzyści dla organizacji i wpływa nie tylko na zwiększenie poziomu bezpieczeństwa informacji przez nią przetwarzanych, ale też przekłada się na jakość jej zarządzania poprzez usprawnienie wielu obszarów, m.in. uporządkowanie zasad przetwarzania informacji, zapewnienie ciągłości działania organizacji w sytuacji kryzysowej, wykluczenie lub minimalizacja skutków incydentów związanych z naruszeniami bezpieczeństwa. Systemowe podejście do bezpieczeństwa informacji poprawia też bezpieczeństwo prawne przez nadzór i monitorowanie spełniania wymagań prawa w zakresie ochrony informacji (np. ochrona danych osobowych i wymagania wynikające z RODO).
Właściwie funkcjonujący System Zarządzania Bezpieczeństwem Informacji powinien być zbudowany i utrzymywany w zgodzie z określonym standardem, np. normą PN-ISO/IEC 27001. Stosowanie norm w naszym porządku prawnym nie jest wymagane, jednak, aby móc uznać za spełnione wymagania dotyczące bezpieczeństwa informacji w §20 ust. 3 KRI, czyli uznanie, że podmiot spełnia wymagania dotyczące zarządzania bezpieczeństwem informacji określone przepisami prawa wymagania określone w wyżej wymienionej normie PN-ISO/IEC 27001 muszą zostać spełnione i to bez żadnych wyłączeń.
Porozmawiajmy o Cyberbezpiecznym Samorządzie – zapraszam do kontaktu: https://madkom.pl/kontakt