20 Lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej.Zgodnie z ustawą o ochronie danych osobowych, każda jednostka która gromadzi dane osobowe, musi wdrożyć politykę bezpieczeństwa (danych osobowych) oraz instrukcję zarządzania systemem informatycznym (służącym do przetwarzania danych osobowych). W wielu instytucjach PBDO oraz IZSI są to jedyne dokumenty składające się na SZBI.

Instytucje realizujące zadania publiczne muszą działać zgodnie z wytycznymi Krajowych Ram Operacyjności, które określają obowiązek wprowadzenia Polityki Bezpieczeństwa Informacji (PBI).  Jest to dokument o szerszym zakresie niż wspomniana polityka bezpieczeństwa danych osobowych i podchodzący do zagadnienia bezpieczeństwa danych w sposób bardziej kompleksowy. Ze stworzeniem PBI wiążę się szacowanie ryzyka i jego optymalizacja. Szacowanie ryzyka jest fundamentalną czynnością, którą powinien wykonywać każdy ABI, zwłaszcza że już niedługo będzie od niego wymagana w związku z nastaniem RODO.

Dodatkowo każda instytucja może wdrożyć inne polityki bezpieczeństwa (np. informacji niejawnych, tajemnic przedsiębiorstwa, informacji poufnych) oraz instrukcje (postępowania w przypadku naruszenia bezpieczeństwa, postępowania z kluczami, postępowania w przypadku gromadzenia nowych danych, itd.).

Wracając do SZBI – zaleca się, aby był  to dokument sformalizowany, który spina ramami wszystkie strategie, regulaminy i instrukcje, określający co kiedy ma zastosowanie i gdzie szukać rozwiązania. SZBI pozwala uporządkować te wszystkie procedury i zapanować nad nimi.

Jeżeli szukacie wytycznych w zakresie opracowania SZBI oraz szacowania ryzyka, polecam sięgnięcie do normy ISO 27001.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie