System Zarządzania Bezpieczeństwem Informacji dopasowany do organizacji
SZBI pozwala uporządkować bezpieczeństwo informacji: aktywa, ryzyka, odpowiedzialność, dostępy, incydenty, dostawców, kopie zapasowe i ciągłość działania.
Aktywa, ryzyka, dostępy, incydenty i ciągłość działania.
Praktyczne uporządkowanie zasad ochrony informacji.
Polityki, rejestry i procedury dopasowane do organizacji.
Co powinien obejmować SZBI?
- identyfikację aktywów informacyjnych i technicznych,
- analizę ryzyka dla poufności, integralności i dostępności informacji,
- zasady nadawania i odbierania dostępów,
- procedury incydentów oraz naruszeń bezpieczeństwa,
- nadzór nad dostawcami i usługami zewnętrznymi,
- kopie zapasowe, odtwarzanie i ciągłość działania,
- przeglądy okresowe i działania doskonalące.
Analiza ryzyka
Analiza ryzyka jest podstawą świadomych decyzji. Pozwala wskazać, które procesy i zasoby są najważniejsze, jakie zagrożenia mogą wystąpić, jakie skutki mogą wywołać oraz które zabezpieczenia są potrzebne.
Dokumentacja SZBI
- polityka bezpieczeństwa informacji,
- rejestr aktywów,
- analiza ryzyka i plan postępowania z ryzykiem,
- procedura zarządzania incydentami,
- zasady kontroli dostępu,
- procedury kopii zapasowych i ciągłości działania,
- zasady współpracy z dostawcami.
SZBI w praktyce
Dobry SZBI nie kończy się na dokumentach. Musi być zrozumiały dla osób odpowiedzialnych, możliwy do utrzymania i oparty na dowodach: przeglądach, decyzjach, szkoleniach, zapisach i realnej kontroli procesów.
Uporządkuj bezpieczeństwo informacji
Możemy rozpocząć od analizy aktywów i ryzyk albo od przeglądu istniejącej dokumentacji bezpieczeństwa.