Audyt bezpieczeństwa informacji

Proces zarządzania bezpieczeństwem informacji jest relacją trójstronną, w której występować powinni przedstawiciele biznesu, informatyki i niezależny audytor.

O tym, że bezpieczeństwo informacji to ciągły proces, a nie stan, powinni wiedzieć już wszyscy. Problem w tym, że każdy inaczej rozumie ten proces i realizuje go w różny sposób. Wiele firm w ramach zapewnienia bezpieczeństwa informacji ogranicza się do przeprowadzenia okresowych testów penetracyjnych i wdrożenia usprawnień wynikających z takich testów. Jeszcze inne popełniają grzech pierworodny i obdarzają administratora systemów IT bezgranicznym zaufaniem, pozostawiając temat bezpieczeństwa informacji w jego wyłącznej gestii. Nadal niewiele firm podchodzi do tematu bezpieczeństwa informacji w sposób właściwy i kompletny. Jednocześnie technologie wykorzystywane w biznesie są coraz bardziej skomplikowane, a liczba zagrożeń rośnie z roku na rok.

Norma bezpieczeństwa

Podejście procesowe do zarządzania bezpieczeństwem informacji jest powszechnie obowiązującym standardem. Znajduje on odzwierciedlenie w normie z zakresu zarządzania bezpieczeństwem informacji tj. PN-ISO/IEC 27001 - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania (ramka). W normie tej stosuje się model PDCA, zwany cyklem Deminga. Model ten określa podejście procesowe w celu ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji (ISMS) w organizacji. Model PDCA zakłada, iż na początku planujemy działanie (Plan), następnie po jego wdrożeniu (Do) weryfikujemy, czy przynosi ono oczekiwane rezultaty (Check) i na koniec wprowadzamy korekty do działania (Act) w celu jego usprawnienia.

Ogromna część zadań określonych w procesie zarządzania bezpieczeństwem informacji leży po stronie osób na co dzień zajmujących się administracją systemami IT. Nie wszystkie jednak zadania powinny być wykonywane przez te osoby. Niestety w trakcie wielu przeprowadzonych przeze mnie audytów przekonałem się, że często nawet etap planowania (ustanowienie ISMS) pozostawia się działom informatyki. Podobnie ma się sprawa z etapem sprawdzania (monitorowanie i przegląd ISMS). Przypisywanie tych odpowiedzialności działom informatyki jest powszechnym błędem, który często prowadzi do braku wsparcia procesu zarządzania bezpieczeństwem przez przedstawicieli biznesu i istotnego ograniczenia jego skuteczności i efektywności. Paradoksalnie cały ten proces ma na celu ochronę informacji... biznesowej.

Wymagania normy PN-ISO/IEC 27001
Planuj (ustanowienie ISMS) Ustanowienie polityki ISMS, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
Wykonuj (wdrożenie i eksploatacja ISMS) Wdrożenie i eksploatacja polityki ISMS, zabezpieczeń, procesów i procedur.
Sprawdzaj (monitorowanie i przegląd ISMS) Szacowanie i pomiar wydajności procesów w odniesieniu do polityki ISMS, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu.
Działaj (utrzymanie i doskonalenie ISMS) Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu ISMS i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia ISMS.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200