ISO 27001 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI.
Ewelina Snopek
Koło Naukowe Zarządzania Jakością
Uniwersytet Ekonomiczny w Krakowie
ISO 27001 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI.
Szanse i zagrożenia, słabe i mocne strony dla wdrożeń w firmach MŚP.
W dobie globalizacji informacja jest najcenniejszą wartością, mającą znaczenie strategiczne dla danego przedsiębiorstwa. Od dostępności i jakości informacji zależy szybkość oraz trafność podejmowanych decyzji. Większość procesów biznesowych jest wspieranych przez systemy informatyczne, zapewniające łatwy dostęp do wiarygodnych informacji. Każda informacja wymaga prawidłowego zabezpieczenia, zarówno w postaci elektronicznej, nadrukowanej na papierze czy przekazanej ustnie, ponieważ każda informacja, gdy przedostanie się na zewnątrz, może przysporzyć problemów finansowych lub społecznych. Zabezpieczenie powinno zapobiec utracie informacji związanej z kradzieżą, usunięciem lub przypadkowym wprowadzeniem nieautoryzowanych zmian, przez niekompetentnych pracowników. Zagrożenia osłabiające bezpieczeństwo informacji mogą występować z przyczyn zależnych od ludzi (pracowników firmy, osób z zewnątrz) oraz przyczyn niezależnych np. środowiskowych (pożar, kataklizm), bądź technicznych (awaria sprzętu). Bezpieczna informacja jest chroniona przed zagrożeniami z zapewnieniem ciągłości prowadzenia działalności, minimalizacji strat i maksymalizacji zwrotów nakładów inwestycyjnych oraz charakteryzuje się zachowaniem:
• poufności (confidentiality) - jest dostępna tylko dla upoważnionych pracowników, nikt niepowołany nie ma możliwości dostępu ani użytku informacji do własnych celów,
• dostępności (availability) - jest dostępna dla upoważnionych pracowników zawsze, gdy jest im potrzebna,
• integralności (integrity) - jest wiarygodna, dokładna i kompletna, a jej struktura nie została zmieniona – nikt niepowołany nie uszkodził jej, nie usunął i nie dodał żadnych informacji. [2, 8]
ISO/IEC 27001:2005, której polskim odpowiednikiem jest PN ISO/IEC 27001:2007, została stworzona na podstawie brytyjskiego standardu BS 7799-2. Kompleksowe podejście i ogólny charakter wymagań normy sprawdzają się we wszystkich branżach, niezależnie od wielkości czy formy działalności gospodarczej, w których informacja odgrywa ważną rolę, np. w IT, organizacjach przetwarzających dane swoich klientów (firmach ubezpieczeniowych, bankach), firmach produkcyjnych bądź handlowych. W normie zwrócono uwagę, iż wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) powinno być decyzją strategiczną, uwzględniającą potrzeby, cele biznesowe, wymagania bezpieczeństwa, procesy organizacyjne, wielkość oraz strukturę organizacji. System zapewnia bezpieczeństwo pozyskiwanych, przechowywanych i przekazywanych informacji. Kompleksowe podejście do bezpieczeństwa informacji oznacza analizę obszarów bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Norma proponuje stosowanie zabezpieczeń podzielonych na 10 zakresów i obejmujących obszary: polityki bezpieczeństwa, organizacji bezpieczeństwa informacji, zarządzania aktywami, bezpieczeństwa zasobów ludzkich, bezpieczeństwa fizycznego i środowiskowego, zarządzania systemami i sieciami, kontroli dostępu, pozyskiwania, rozwoju i utrzymaniu systemów informacyjnych, zarządzania incydentami związanymi z bezpieczeństwem informacji oraz zarządzania ciągłością działania [6, s.21]. Głównym dokumentem SZBI (udostępnianym wszystkim zainteresowanym stronom) jest Deklaracja stosowania (odpowiednik Księgi Jakości), zawierająca informacje o celach i zastosowanych zabezpieczeniach, a także wskazanie przyczyn ewentualnych wyłączeń oraz ich uzasadnień. Norma została przygotowana w celu doskonalenia SZBI. Metody zarządzania ryzykiem oparte są na cyklu PDCA, umożliwiającym:
• zrozumienie wymagań bezpieczeństwa informacji, a w związku z tym ustanowienie polityki i celów bezpieczeństwa informacji,
• wdrażanie i użytkowanie zabezpieczeń związanych z kompleksowym zarządzaniem ryzykiem,
• efektywne monitorowanie oraz ciągłe doskonalenie narzędzi systemowych.
Norma ISO/IEC 27001 wymaga, aby organizacja wdrażająca SZBI wypełniła wszystkie działania opisane w 4 etapach cyklu PDCA (przedstawionego na Rys.1):
1. Planowanie, czyli zdefiniowanie zakresu SZBI, określenie „polityki bezpieczeństwa informacji” (norma nie zawiera wszystkich możliwych procedur, lecz wyznacza ogólny kierunek i zasady działania poprawiające bezpieczeństwo informacji), zaakceptowanie ryzyk szczątkowych przez najwyższe kierownictwo, wyznaczenie obszaru i przeprowadzenie analizy ryzyka oraz jej zdefiniowanie, przyjęcie kryteriów akceptowania ryzyka (po wcześniejszym określeniu aktyw, prawdopodobieństwa ich zagrożeń oraz przewidzeniu ewentualnych skutków tych zagrożeń), określenie postępowania z ryzykiem (przeniesienie, ograniczenie, uniknięcie bądź zaakceptowanie) oraz udokumentowanie wdrożonego systemu.
2. Wykonywanie, oznacza wdrożenie procedur i zabezpieczeń związanych z zarządzaniem ryzykiem oraz ich eksploatację, przeprowadzanie szkoleń uświadamiających kierownictwu i pracownikom cele i korzyści systemu.
3. Sprawdzanie (monitorowanie) SZBI, którego efektem są działania zapobiegawcze, obrazujące dojrzałość wdrożonego systemu i prawidłowość działania mechanizmów samodoskonalenia. Narzędziami sprawdzającymi są przeglądy realizowane przez kierownictwo oraz audity wewnętrzne.
4. Działanie, to wykrywanie niezgodności i podejmowanie działań korygujących.
Rys. 1. Model cyklu PDCA ( z ang. Plan-Do-Check-Act).
Źródło: PN- ISO/IEC 27001:2007
Mikro-, małe i średnie przedsiębiorstwa są głównym źródłem zatrudnienia zwiększającym konkurencyjność i innowacyjność. W UE (obejmującej 27 państw) stanowią 99% przedsiębiorstw, czyli ok. 23 mln przedsiębiorstw tworzących 75 mln miejsc pracy. Istnieją 3 kryteria, które kwalifikują przedsiębiorstwa do sektora MŚP: liczba zatrudnionych osób (< 250) oraz obrót roczny lub całkowity bilans roczny.
Szanse związane z wprowadzeniem standardu ISO 27001:
• zapewnienie bezpieczeństwa i minimalizacji strat związanych z utratą informacji oraz ułatwienie nadzoru nad informacjami,
• ograniczenie kosztów ubezpieczeniowych,
• stworzenie struktury organizacyjnej, określenie kompetencji, zadań i odpowiedzialności,
• zwiększenie zaufania i wiarygodności do poziomu świadczonych usług, poprawa oblicza firmy oraz możliwość rozszerzenia działalności na zagraniczne rynki (spowodowane dowodem o przeprowadzonej ocenie ryzyka informacji i posiadaniem prestiżowego certyfikatu),
• zwiększenie przewagi nad konkurencyjnymi firmami bez certyfikatu.
• łatwość integracji z innymi normowanymi systemami zarządzania.
Najistotniejszymi zagrożeniami są:
• wysokie nakłady finansowe, które często zmuszają do zadłużenia się,
• niepewny zwrot inwestycji,
• zmiany w strukturze organizacji, powodujące chwilową dezorganizację pracy.
Mocne strony mikro-, małych i średnich przedsiębiorstw to:
• dobra komunikacja wewnętrzna, której sprzyja bezpośrednia znajomość przełożonych i współpracowników oraz częste kontakty bezpośrednie,
• wysokie zaangażowanie pracowników, wynikające z faktu, iż pracownicy mocniej identyfikują się z firmą, a jej sukcesy ze swoja pracą,
• duża elastyczność firm sektora MŚP sprzyja innowacyjności, a płaska struktura organizacyjna ułatwia stworzenie struktury zorientowanej procesowo,
• kultura organizacyjna ułatwia wytłumaczenie pracownikom przyjętej strategii,
• możliwe jest uzyskanie dotacji z polskich lub unijnych programów wspomagających MŚP (np. programy Polskiej Agencji Rozwoju Przedsiębiorczości lub Europejskiego Funduszu Rozwoju Regionalnego), ułatwiony dostęp do kredytu (np. z funduszu pożyczkowego Inicjatywa Mikro).
Słabe strony przedsiębiorstw z sektora MŚP to:
• niewielkie zasoby finansowe (mały kapitał własny),
• konserwatyzm naczelnego kierownictwa, powodujący niechęć do wprowadzania zmian oraz charakterystyczny dla MŚP autokratyczny styl kierowania,
• brak planowania strategicznego, koncentracja na bieżących problemach,
• brak dokładnego podziału pracy, kompetencji i odpowiedzialności,
• niechęć do dokumentacji spowodowana niesformalizowaniem pracy.
Podsumowanie
Przedsiębiorstwa z sektora MŚP często bagatelizują wartość posiadanych informacji. Brak specjalistycznej wiedzy oraz nieodpowiedni poziom przygotowania kadry do korzystania z zasobów informatycznych powodują, iż pracownicy wykonują zadania, na których się nie znają, zwiększając w znacznym stopniu zagrożenie bezpieczeństwa informacji. Należy pamiętać, iż zarządzanie bezpieczeństwem informacji nie jest równoważne zarządzaniu bezpieczeństwem systemów informatycznych. Najtrudniej nadzorować informacje przekazywane drogą ustną. Fakt ten wynika z nielojalności lub nieprzemyślanych wypowiedzi przedstawicieli firmy.
Literatura:
1. Grudowski P., Charakterystyka MŚP w kontekście podejścia procesowego, „Problemy jakości”, 2007, 11, s. 27-31.
2. Hamrol A, Zarządzanie jakością z przykładami, wyd. 2, Wydawnictwo naukowe PWN, Warszawa 2008.
3. http://www.parp.gov.pl/files/74/87/1155.pdf (6.05.2009).
4. Kloze T., ISO/IEC 27001:2005. Nowe wyzwanie.,”ABC Jakości”, 2006, 1, s. 27-34.
5. Łuczak J., Dobre praktyki zarządzania bezpieczeństwem informacji. Najnowsze standardy ISMS serii ISO/IEC 27000, „Problemy jakości”, 2006, 4, s. 4-10.
6. Mąkosa P., System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001:2007. Wprowadzenie., „ABC Jakości”, 2007, 1-2, s. 19-24.
7. Sokołowicz W., Srzednicki A., ISO. System zarządzania jakością oraz inne systemy oparte na normach, wyd. 3, Wyd. C. H. Beck, Warszawa 2006.
8. Urbaniak M., Zarządzanie jakością. Teoria i praktyka. Wyd. Difin, Warszawa 2004.
