Zabezpieczenia muszą być dostosowane do potrzeb

Agnieszka Gałkiewicz
21-11-2006, 00:00

Brak odpowiedniego zabezpieczenia informacji może prowadzić do utraty konkurencyjności, płynności finansowej, naruszenia prawa i wizerunku firmy.

Podstawą kapitału intelektualnego organizacji jest informacja. Ma ona swoją wartość, którą należy rozpatrywać w dwóch wymiarach. Na pierwszy z nich wpływają głównie koszt jej uzyskania oraz oczekiwane zyski z jej wykorzystania. Drugi wymiar warunkują dwa podstawowe czynniki: cena, jaką jest w stanie zapłacić konkurent za zdobycie, zmodyfikowanie lub zniszczenie posiadanej przez nas informacji oraz strata, jaką poniesiemy z tego tytułu.

Ochrona informacji jest nie tylko koniecznością biznesową, ale także obowiązkiem zawartym w przepisach prawnych. W Polsce obowiązek ten wynika między innymi z ustaw: o rachunkowości, o ochronie danych osobowych, o ochronie informacji niejawnych, prawa bankowego, prawa telekomunikacyjnego oraz opublikowanych do nich rozporządzeń wykonawczych.

W normie

Zalecane przez normę BS 7799 zabezpieczenia muszą być dostosowane do potrzeb organizacji. Zwiększenie poziomu bezpieczeństwa wiąże się ze zmniejszeniem dostępności informacji oraz wzrostem wydatków na jej ochronę. W związku z tym bardzo istotne jest ustalenie optymalnego poziomu zrównoważenia wysokości niezbędnych nakładów do potencjalnych kosztów. Dlatego też jednym z podstawowych wymagań normy jest przeprowadzenie analizy ryzyka. Na podstawie jej wyników powinny zostać przydzielone środki na ochronę informacji, w sposób proporcjonalny do znaczenia aktywów oraz wymaganego poziomu zabezpieczeń.

Jednak norma to nie tylko zbiór wymagań. Propaguje ona system zarządzania bezpieczeństwem informacji (SZBI), do którego zastosowanie ma model PDCA (plan–do– –check–act). Zgodnie z tym modelem, aby spełnić wymogi normy, nie wystarczy wdrożenie procedur, które będą obejmowały wyłącznie bieżący poziom bezpieczeństwa. System zarządzania bezpieczeństwem informacji tworzony jest dla uzyskania efektu stałego doskonalenia. Niezbędne jest zatem korzystanie z dotychczasowych doświadczeń i posiadanej wiedzy, tak aby wyciągać wnioski na przyszłość. Kompleksowość normy oraz przyjęty model PDCA, jak też powiązanie z normami ISO 9001 i ISO 14001 sprawiają, że zarządy wielu firm i instytucji podjęły decyzję o wdrożeniu wymagań normy, a część z nich również o przystąpieniu do procesu certyfikacji.

System i certyfikat

O ile spełnienie wymagań normy przyczynia się do zwiększenia bezpieczeństwa informacji, o tyle uzyskanie certyfikatu jest świadectwem, że posiadająca go jednostka dba o zabezpieczenie aktywów informacyjnych oraz racjonalnie nimi zarządza. Nie dziwi zatem, że wśród organizacji, które uzyskały certyfikat, znajdują się m.in. banki, operatorzy telefoniczni, instytucje publiczne oraz przedstawiciele różnych innych branż. Według raportu Ernst & Young „Światowe Badania Bezpieczeństwa Informacji 2005” 25 proc. organizacji stosuje standard BS 7799/ISO 17799, a dalsze 30 proc. planuje jego stosowanie.

Do 15 listopada tego roku wydane zostały 2554 certyfikaty, z czego niemal połowa w Japonii. W Polsce przyznano 17 certyfikatów.

Agnieszka Gałkiewicz

CIA, CISA, BS 7799 LA, audytor wewnętrzny w JSFP, dyrektor ds. audytu bezpieczeństwa informacji w Mediarecovery

Okiem praktyka

Przewaga konkurencyjna

Po otrzymaniu certyfikatu ISO 9001, wdrożenie systemu zarządzania bezpieczeństwem informacji ISO 27001 było kolejnym krokiem ku optymalizacji funkcjonujących w naszej firmie procesów. Współpracując z bankami czy firmami ubezpieczeniowymi, nie możemy dopuścić do sytuacji, w której nasz zleceniodawca ma wątpliwości, czy dane o jego klientach są bezpieczne. Dzięki certyfikatowi nasza wiarygodność została potwierdzona przez niezależnego audytora. Dodatkowo, zgodność z najnowszą normą — zwłaszcza w zakresie tak istotnej wartości jaką jest informacja — podnosi wartość naszej firmy oraz znacznie zwiększa jej przewagę konkurencyjną.

Konrad Rochalski

prezes firmy Inforsys, która jako pierwsza otrzymała certyfikat ISO/IEC 27001:2005 w Polsce

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Agnieszka Gałkiewicz

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Kariera / / Zabezpieczenia muszą być dostosowane do potrzeb