Jednym z kluczowych czynników, dla których zdecydowano się na wdrożenie systemu zarządzania bezpieczeństwa informacji (SZBI) było zapewnienie, że firma w systematyczny i należyty sposób dba o powierzone dane i mienie swoich klientów.
Wdrożenie oraz utrzymanie systemu zarządzania bezpieczeństwem informacji jest ciągłym procesem odbywającym się zgodnie z cyklem Deminga, określanym również cyklem PDCA (z ang. Plan, Do, Check, Act).
Cykl Deminga składa sie z czterech etapów:
- Planuj
- Wykonaj
- Sprawdź
- Działaj
Kluczowym czynnikiem dla osiągnięcia sukcesu we wdrożeniu systemu zarządzania bezpieczeństwem informacji było odpowiednie zaangażowanie Zarządu oraz zbudowanie świadomości, że zarządzanie bezpieczeństwem nie jest jednorazową czynnością, która na trwałe podnosi bezpieczeństwo firmy, ale proces, który musi zachodzić ciągle i angażować pracowników firmy na każdym szczeblu.
Mimo związanego z tym wysiłku, dla kierownictwa firmy nadal kusząca była perspektywa komfortu, który da im sprawnie działający system ochrony informacji biznesowych oraz konkretna wartość wynikająca ze wzrostu zaufania klientów.
Wdrożenie systemu zarządzania bezpieczeństwem informacji, opartego o normę ISO 27001 pozwoliło na podniesienie poziomu bezpieczeństwa informacji w firmie, usystematyzowanie podejścia do zarządzania bezpieczeństwem informacji, ułatwiło utrzymanie i doskonalenie systemu poprzez wdrożenie cyklicznego procesu zarządzania oraz ułatwiło firmie zawieranie kontraktów, w których poufność i bezpieczeństwo danych i informacji ma istotne znaczenie.
Obecnie firma planuje certyfikację systemu zarządzania bezpieczeństwem informacji za zgodność z normą ISO 27001, co pozwoli na świadczenie nowych usług, bez konieczności przechodzenia dodatkowych audytów ze strony swoich klientów oraz pozyskanie zupełnie nowych klientów, dotychczas pozostających poza zasięgiem firmy.
Projekt rozpoczął się od oceny dojrzałości procesów zarządzania bezpieczeństwem w firmie, co pozwoliło określić aktualny stan bezpieczeństwa oraz lukę wobec wymagań normy ISO 27001 oraz oczekiwań Zarządu.
PLANUJ
Prace rozpoczęły się od określenia zakresu, strategii oraz polityki systemu zarządzania bezpieczeństwem informacji, wyznaczających kierunek działania w zakresie ochrony informacji.
Po akceptacji przez Zarząd dokonano analizy ryzyka, która obejmowała inwentaryzację aktywów, zidentyfikowanie zagrożeń i podatności oraz określenie skutków, jakie mogą przynieść dla firmy.
Wynikiem prac tego etapu była dokumentacja systemu zarządzania bezpieczeństwem informacji zaakceptowana przez Zarząd, zawierająca plan postępowania z ryzykiem oraz deklarację stosowania mechanizmów kontroli ryzyka.
WYKONAJ
Na tym etapie dokonano wdrożenia zabezpieczeń i procedur zapewniających sprawne działanie systemu zarządzania bezpieczeństwem informacji dotyczących m.in.:
- zarządzania ryzykiem
- zarządzania eksploatacją
- zarządzanie zasobami zasobami
- wykrywania incydentów związanych z bezpieczeństwem informacji
reagowania na incydenty
Przygotowano oraz przeprowadzono cykl szkoleń dla personelu z zakresu wdrożonych procedur jak i świadomości bezpieczeństwa informacji w firmie.
SPRAWDŹ
W ramach implementacji procedur związanych z monitoringiem i przeglądem systemu zarządzania bezpieczeństwem informacji zaprojektowano plan okresowych kontroli funkcjonalnych i przeglądów ryzyka, jak również przy zaangażowaniu audytu wewnętrznego opracowany został plan audytów.
DZIAŁAJ
Ten etap cyklu PDCA jest w całości obsługiwany przez struktury wewnętrzne firmy, powołane w celu zarządzania bezpieczeństwem informacji. Na podstawie wyników audytów, przeglądów oraz okresowych kontroli podejmują działania korygujące i usprawniają system zarządzania bezpieczeństwem informacji.
»
