Instytucje finansowe - a banki w szczególności - wdrażając certyfikat Systemu Zarządzania Bezpieczeństwem Informacji według normy ISO/IEC 27001:2005 stoją na uprzywilejowanej pozycji względem innych branż. Uzyskanie licencji bankowej oznacza bowiem spełnienie wielu wymogów narzucanych przez prawo z zakresu bezpieczeństwa osób, pieniędzy i procedur. Jak każde przedsiębiorstwo, bank musi dbać także o ochronę danych osobowych.

Kompletna ochrona

"Standardy bezpieczeństwa ewoluują. Dziś najważniejszym zasobem stała się informacja, tzn. to, co ma wartość dla przedsiębiorstwa. Właściwa jej ochrona wymaga nowego modelu mentalnego w organizacji" - mówi Beata Neumann, dyrektor Departamentu Transferu Ryzyka i Bezpieczeństwa Informacji w Fortis Banku. "Konieczna jest zmiana sposobu myślenia. Nie patrzymy już wyłącznie na bezpieczeństwo gotówki, systemów informatycznych czy instalacji alarmowych" - dodaje. Zatem ochronie podlega każdy pojedynczy wydruk umowy, majątek klientów oraz majątek i zasoby firmy służące przetwarzaniu informacji.

Decyzja o wdrożeniu standardów bezpieczeństwa informacji opartych o normę ISO/IEC 27001:2005 zapadła na szczeblu zarządu Grupy Fortis. Fortis Bank Polska poszedł o krok dalej. Zarząd podjął decyzję o pełnym wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji potwierdzonego stosownym certyfikacji. "Dziś już wiemy, że inne spółki Fortis Banku na świecie pójdą w nasze ślady" - mówi Beata Neumann. Norma ISO 27001 obejmuje takie obszary, jak informatyka, bezpieczeństwo osobowe, fizyczne, zgodności z przepisami prawa oraz zapewnienie ciągłości biznesowej. Istnieje możliwość certyfikacji różnych zakresów działania instytucji, np. jeden proces lub jedną placówkę. "Fortis Bank Polska jako pierwszy uzyskał normę obejmującą wszystkie obszary organizacji, w tym także procesowanie produktu - od powstania jego koncepcji, po sprzedaż" - mówi Beata Neumann.

Początki wdrożenia

Pierwszym etapem wdrożenia ISO 27001 było zdiagnozowanie luk i elementów, które należy poprawić zgodnie z normą. Przeprowadzony został w tym celu tzw. audyt zerowy. Wystartował on w lipcu 2007 r. Od stycznia do grudnia 2008 r. trwał właściwy projekt, który zakończył się audytem przeprowadzonym przez BSI Management System. Standardy Zarządzania Bezpieczeństwem Informacji Fortis Banku zostaną wdrożone również w jednostkach Dominet Banku.

Wśród brakujących elementów znalazła się klasyfikacja informacji. Dzięki niej bank dziś wie, jakimi informacjami dysponuje i potrafi je grupować zgodnie z przyjętą metodologią stworzoną przez zespół powołany do wdrożenia systemu. "Dla informacji określono atrybuty rzetelności, poufności i dostępności. Wiemy, które informacje są jawne, wewnętrzne, poufne i tajne" - mówi Beata Neumann. Klasyfikacja obejmuje także zasady postępowania z informacją w kontekście przetwarzania, udostępniania, niszczenia. Ten szeroki katalog daje gwarancję, że odpowiednio sklasyfikowana informacja zostaje odpowiednio zabezpieczona.