Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?
Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).
Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej.Zgodnie z ustawą o ochronie danych osobowych, każda jednostka która gromadzi dane osobowe, musi wdrożyć politykę bezpieczeństwa (danych osobowych) oraz instrukcję zarządzania systemem informatycznym (służącym do przetwarzania danych osobowych). W wielu instytucjach PBDO oraz IZSI są to jedyne dokumenty składające się na SZBI.
Instytucje realizujące zadania publiczne muszą działać zgodnie z wytycznymi Krajowych Ram Operacyjności, które określają obowiązek wprowadzenia Polityki Bezpieczeństwa Informacji (PBI). Jest to dokument o szerszym zakresie niż wspomniana polityka bezpieczeństwa danych osobowych i podchodzący do zagadnienia bezpieczeństwa danych w sposób bardziej kompleksowy. Ze stworzeniem PBI wiążę się szacowanie ryzyka i jego optymalizacja. Szacowanie ryzyka jest fundamentalną czynnością, którą powinien wykonywać każdy ABI, zwłaszcza że już niedługo będzie od niego wymagana w związku z nastaniem RODO.
Dodatkowo każda instytucja może wdrożyć inne polityki bezpieczeństwa (np. informacji niejawnych, tajemnic przedsiębiorstwa, informacji poufnych) oraz instrukcje (postępowania w przypadku naruszenia bezpieczeństwa, postępowania z kluczami, postępowania w przypadku gromadzenia nowych danych, itd.).
Wracając do SZBI – zaleca się, aby był to dokument sformalizowany, który spina ramami wszystkie strategie, regulaminy i instrukcje, określający co kiedy ma zastosowanie i gdzie szukać rozwiązania. SZBI pozwala uporządkować te wszystkie procedury i zapanować nad nimi.
Jeżeli szukacie wytycznych w zakresie opracowania SZBI oraz szacowania ryzyka, polecam sięgnięcie do normy ISO 27001.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!