Na straży informacji
- Andrzej Maciejewski,
- 02.06.2009
W Fortis Bank Polska wdrożenie normy ISO 27001 zmieniło sposób patrzenia na bezpieczeństwo.
Instytucje finansowe - a banki w szczególności - wdrażając certyfikat Systemu Zarządzania Bezpieczeństwem Informacji według normy ISO/IEC 27001:2005 stoją na uprzywilejowanej pozycji względem innych branż. Uzyskanie licencji bankowej oznacza bowiem spełnienie wielu wymogów narzucanych przez prawo z zakresu bezpieczeństwa osób, pieniędzy i procedur. Jak każde przedsiębiorstwo, bank musi dbać także o ochronę danych osobowych.
Kompletna ochrona
"Standardy bezpieczeństwa ewoluują. Dziś najważniejszym zasobem stała się informacja, tzn. to, co ma wartość dla przedsiębiorstwa. Właściwa jej ochrona wymaga nowego modelu mentalnego w organizacji" - mówi Beata Neumann, dyrektor Departamentu Transferu Ryzyka i Bezpieczeństwa Informacji w Fortis Banku. "Konieczna jest zmiana sposobu myślenia. Nie patrzymy już wyłącznie na bezpieczeństwo gotówki, systemów informatycznych czy instalacji alarmowych" - dodaje. Zatem ochronie podlega każdy pojedynczy wydruk umowy, majątek klientów oraz majątek i zasoby firmy służące przetwarzaniu informacji.
Decyzja o wdrożeniu standardów bezpieczeństwa informacji opartych o normę ISO/IEC 27001:2005 zapadła na szczeblu zarządu Grupy Fortis. Fortis Bank Polska poszedł o krok dalej. Zarząd podjął decyzję o pełnym wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji potwierdzonego stosownym certyfikacji. "Dziś już wiemy, że inne spółki Fortis Banku na świecie pójdą w nasze ślady" - mówi Beata Neumann. Norma ISO 27001 obejmuje takie obszary, jak informatyka, bezpieczeństwo osobowe, fizyczne, zgodności z przepisami prawa oraz zapewnienie ciągłości biznesowej. Istnieje możliwość certyfikacji różnych zakresów działania instytucji, np. jeden proces lub jedną placówkę. "Fortis Bank Polska jako pierwszy uzyskał normę obejmującą wszystkie obszary organizacji, w tym także procesowanie produktu - od powstania jego koncepcji, po sprzedaż" - mówi Beata Neumann.
Początki wdrożenia
Beata Neumann, dyrektor Departamentu Transferu Ryzyka i Bezpieczeństwa Informacji w Fortis Banku
Wśród brakujących elementów znalazła się klasyfikacja informacji. Dzięki niej bank dziś wie, jakimi informacjami dysponuje i potrafi je grupować zgodnie z przyjętą metodologią stworzoną przez zespół powołany do wdrożenia systemu. "Dla informacji określono atrybuty rzetelności, poufności i dostępności. Wiemy, które informacje są jawne, wewnętrzne, poufne i tajne" - mówi Beata Neumann. Klasyfikacja obejmuje także zasady postępowania z informacją w kontekście przetwarzania, udostępniania, niszczenia. Ten szeroki katalog daje gwarancję, że odpowiednio sklasyfikowana informacja zostaje odpowiednio zabezpieczona.