Polityka Bezpieczeństwa Informacji

Wraz ze wzrostem znaczenia informacji we współczesnym świecie oraz z rozwojem technik przetwarzania informacji istotnym zagadnieniem w dzisiejszym świecie jest zapewnienie bezpieczeństwa informacji. Informacje będące w posiadaniu firm i urzędów posiadają swoją realną wartość i mogą być podatne na zagrożenia takie jak kradzież, zniszczenie czy zafałszowanie. Wraz z rozwojem informatyki i internetu pojawiły się takie nowe zagrożenia jak wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe, które mogą narazić instytucję na utratę konkurencyjności, reputacji oraz na duże straty finansowe. W środkach masowego przekazu coraz częściej możemy usłyszeć o incydentach związanych z naruszeniem bezpieczeństwa informacji. W wielu instytucjach można zaobserwować szereg incydentów, które w skutek braku świadomości pracowników mogą doprowadzić do ujawnienia bądź utraty istotnych informacji. Przykładem tego są zagubienia nośników z danymi (pendrive'y, płyty optyczne, laptopy), karteczki z hasłami przyklejone do monitora, ekrany monitorów zwrócone w stronę klientów, dokumenty leżące na biurku, które mogą zostać zabrane przez osobę niepowołaną itp. Ryzyko utraty informacji rośnie wraz ze wzrostem ilości przetwarzanych przez instytucję informacji i stosowaniem coraz bardziej skomplikowanych technologii informatycznych. Często aplikacje w trakcie projektowania nie uwzględniają wymagań bezpieczeństwa, często też oprogramowanie nie jest dostatecznie sprawdzone w trakcie fazy testów, co może powodować, że jest podatne na różnego rodzaju zagrożenia, np: ujawnienie przetwarzanych informacji, możliwość podszycia się pod innego użytkownika itp.

Abstrahując od zagrożeń, do zapewnienia bezpieczeństwa przetwarzanych informacji firmy jak i urzędu są zobligowane przez ustawy takie jak m.in: Ustawa o ochronie danych osobowych, Ustawa o ochronie informacji niejawnych, Ustawa o dostępie do informacji publicznej, Ustawa o prawie autorskim i prawach pokrewnych. Obecnie w Polsce istnieje ponad dwieście aktów prawnych, które dotyczą ochrony informacji, praktycznie dla każdego rodzaju instytucji w chwili obecnej można zidentyfikować kilka lub kilkanaście przepisów prawnych, które zawierają w sobie wytyczne dot. bezpieczeństwa informacji. W każdym zawodzie stosuje się wymagania dotyczące "tajemnicy zawodowej", która to zobowiązuje do zapewnienia określonym danym odpowiedniej ochrony np: tajemnica lekarska, skarbowa, bankowa, adwokacka, handlowa itp. Każda z powyższych ustaw oraz towarzyszące rozporządzenia narzucą na instytucję określone obowiązki w zakresie bezpieczeństwa informacji - obowiązki te dotyczą zarówno zachowania poufności określonych informacji, jak i ich dostępności i integralności.

Oprócz obowiązków, ustawy i rozporządzenia określają także kary, które grożą podmiotom nie przestrzegającym przepisów. Brak spełnienia tych obowiązków może być przyczyną konsekwencji prawnych - od kar finansowych aż do kary pozbawienia wolności. Wymienione powyżej wymagania prawne powinny być przestrzegane w ramach jednego dobrze przemyślanego Systemu Zarządzania Bezpieczeństwem Informacji. Sygnały płynące z innych krajów sugerują, że rządy państw będą tworzyły coraz więcej regulacji, które będą dotyczyły zapewnienia bezpieczeństwa informacji.

Korzyści płynące z SZBI

Norma ISO/IEC 27001 jest międzynarodowym standardem w zakresie zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission) i 2005 określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania, przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji. Dzięki wdrożeniu i funkcjonowaniu Systemu Zarządzania Bezpieczeństwem Informacji wg tej normy Spółka osiągnie szereg korzyści.  Spełnione zostaną wymagania ustawowe oraz przetargowe. Wprowadzenie SZBI pozwoli precyzyjnie określić czynności dozwolone i zakazane dla pracowników, Spółka uniknie kar za naruszenie bezpieczeństwa informacji. Ścisłą ochroną będą objęte informacje znajdujące sięw obiegu w ramach Spółki, będą także  zabezpieczone na wypadek katastrof lub awarii. Niewątpliwie podniesie świadomość pracowników w zakresie bezpieczeństwa informacji a także da pewność interesantom i zainteresowanym instytucjom,  że ich dane są właściwie chronione.

Zobacz Certyfikat

Zakończenie procesu wdrażania SZBI

1 września 2008r. rozpoczęliśmy proces opracowania i wdrożenia systemu zarządzania zgodnie z wymaganiami normy PN ISO/IEC 27001:2007. Proces ten podzielony został na 3 etapy. Etap pierwszy, polegający na przeprowadzeniu analizy przedsiębiorstwa pod kątem bezpieczeństwa informacji oraz powołaniu Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji,  i  zespołu projektowego, zakończony został 30 września po przeprowadzeniu wstępnego auditu bezpieczeństwa  Spółki. Etap drugi, zakończony przed końcem 2008 roku, miał na celu inwentaryzację aktywów informacyjnych, oszacowanie ryzyka, opracowanie i zatwierdzenie planu postępowania z ryzykiem. Trzeci etap rozpoczął się w grudniu 2008 roku i ma na celu m.in. powołanie i przeszkolenie audytorów wewnętrznych SZBI oraz weryfikację skuteczności wdrożonych zabezpieczeń i opracowanie odpowiednich dokumentów niezbędnych do przeprowadzenia audytu nadającego certyfikat wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji wg ISO 27001. W wyniku pomyślnie przeprowadzonego auditu przyznano dla MPWiK Sp. z o. o. w Lubinie Certyfikat Systemu Zarządzania Bezpieczeństwem Informacji.