Audyt bezpieczeństwa informacji

Subskrybuj RSS A A A
10 marca 2009
Radosław Kaczorek

Proces zarządzania bezpieczeństwem informacji jest relacją trójstronną, w której występować powinni przedstawiciele biznesu, informatyki i niezależny audytor.

O tym, że bezpieczeństwo informacji to ciągły proces, a nie stan, powinni wiedzieć już wszyscy. Problem w tym, że każdy inaczej rozumie ten proces i realizuje go w różny sposób. Wiele firm w ramach zapewnienia bezpieczeństwa informacji ogranicza się do przeprowadzenia okresowych testów penetracyjnych i wdrożenia usprawnień wynikających z takich testów. Jeszcze inne popełniają grzech pierworodny i obdarzają administratora systemów IT bezgranicznym zaufaniem, pozostawiając temat bezpieczeństwa informacji w jego wyłącznej gestii. Nadal niewiele firm podchodzi do tematu bezpieczeństwa informacji w sposób właściwy i kompletny. Jednocześnie technologie wykorzystywane w biznesie są coraz bardziej skomplikowane, a liczba zagrożeń rośnie z roku na rok.

Norma bezpieczeństwa

Podejście procesowe do zarządzania bezpieczeństwem informacji jest powszechnie obowiązującym standardem. Znajduje on odzwierciedlenie w normie z zakresu zarządzania bezpieczeństwem informacji tj. PN-ISO/IEC 27001 - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania (ramka). W normie tej stosuje się model PDCA, zwany cyklem Deminga. Model ten określa podejście procesowe w celu ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji (ISMS) w organizacji. Model PDCA zakłada, iż na początku planujemy działanie (Plan), następnie po jego wdrożeniu (Do) weryfikujemy, czy przynosi ono oczekiwane rezultaty (Check) i na koniec wprowadzamy korekty do działania (Act) w celu jego usprawnienia.

Ogromna część zadań określonych w procesie zarządzania bezpieczeństwem informacji leży po stronie osób na co dzień zajmujących się administracją systemami IT. Nie wszystkie jednak zadania powinny być wykonywane przez te osoby. Niestety w trakcie wielu przeprowadzonych przeze mnie audytów przekonałem się, że często nawet etap planowania (ustanowienie ISMS) pozostawia się działom informatyki. Podobnie ma się sprawa z etapem sprawdzania (monitorowanie i przegląd ISMS). Przypisywanie tych odpowiedzialności działom informatyki jest powszechnym błędem, który często prowadzi do braku wsparcia procesu zarządzania bezpieczeństwem przez przedstawicieli biznesu i istotnego ograniczenia jego skuteczności i efektywności. Paradoksalnie cały ten proces ma na celu ochronę informacji... biznesowej.

Wymagania normy PN-ISO/IEC 27001
Planuj (ustanowienie ISMS) Ustanowienie polityki ISMS, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
Wykonuj (wdrożenie i eksploatacja ISMS) Wdrożenie i eksploatacja polityki ISMS, zabezpieczeń, procesów i procedur.
Sprawdzaj (monitorowanie i przegląd ISMS) Szacowanie i pomiar wydajności procesów w odniesieniu do polityki ISMS, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu.
Działaj (utrzymanie i doskonalenie ISMS) Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu ISMS i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia ISMS.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 3.2 liczba ocen: 3
1  2  3  4  dalej »
Podziel się |

Komentarze (3)

+Dodaj komentarz

audytor

01-04-2009 12:06
odpowiedz zmoderuj

Bicie piany? Tylko jak przychodzi co do czego to później tacy jak giejot nie rozumieją roli audytora w procesie zarządzania i bronią swoich racji jak paska od spodni. A i tak na końcu spodnie w dół i goła D ;-)

giejot

25-03-2009 21:13
odpowiedz zmoderuj

bicie piany

phi

13-03-2009 11:50
odpowiedz zmoderuj

Bardzo dobry tekst. Dawno nie mieliście tak pożytecznego opracowania tematu w Waszym serwisie. Tak trzymać - to się przydaje. Informacje o Windows 7 mogę znaleźć nawet na onecie.

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88