System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie
z normą ISO/IEC 27001 i ISO/IEC 22301 - czym jest i kogo dotyczy ?
Wdrożenie SZBI to zespół dobrych praktyk, mających na celu dbałość o bezpieczeństwo informacji. Podejście bazuje na szacowaniu ryzyka i poziomach akceptacji ryzyka dla organizacji zaprojektowanych, tak aby skutecznie postępować i zarządzać ryzykiem. Wymagane jest zapewnienie poufności, integralności i dostępności informacji. Wymóg wdrożenia SZBI zawiera Rozporządzenie o Krajowych Ramach Interoperacyjności (KRI), par.19. Obowiązek dotyczy podmiotów realizujących zadania publiczne, czyli JST i podległe jednostki, placówki opieki medycznej, instytucji publicznych i innych.
Drugi, równoległy akt prawny mówiący o wymogu wdrożenia SZBI to nowa Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) zgodna z Dyrektywą NIS2. Nowa ustawa wejdzie w życie zapewne na jesień 2024r. Czas na dostosowanie będzie wynosił 6 m-cy. Zarys nowej Ustawy KSC/NIS2 jest znany. W niej wymagany system zarządzania bezpieczeństwem informacji powinnien być z uwzględnieniem Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. Zatem warto na etapie projektowania i wdrożenia uwzględnić obydwie normy.
Istotny jest także zakres wymaganego audytu w ramach przygotowywanej nowej ustawy KSC/NIS2. Jest on szerszy i może wykazać nieprawidłowości wdrożonego SZBI.
Jak wdrażamy SZBI ?
Wdrożenie SZBI przeprowadzamy w etapach:
- Inwentaryzacja zasobów
- Wywiad przedwdrożeniowy
- Szacowanie ryzyka utraty poufności, integralności i dostępności informacji
- Opracowanie dokumentacji SZBI
- Szkolenia z zakresu wdrażanego Systemu Zarządzania Bezpieczeństwem Informacji
- Przegląd wdrożonego SZBI - monitorowanie, przeglądy, ocena, poprawki, aktualizacja, audyt powdrożeniowy, deklaracja stosowania
- Przygotowanie planu po wprowadzeniu SZBI, na czas 12 m-cy
Prace po wdrożeniu SZBI
Po wdrożeniu SZBI zalecamy w celu stałego usprawniania działającego systemu, prace w harmonogramie 12-miesięcznym:
- Audyt wewnętrzny, okresowa kontrola co m-c
- Przegląd obowiązków po stronie kierownictwa i realizacji po stronie pracowników
- Uaktualnienie procedur, uzupełnienie wiedzy, ustalenie działań korygujących i zapobiegawczych, testowaniu zabezpieczeń
- Audyt KRI z raportem
Zalecane jest ponadto po pełnym wdrożeniu SZBI przeprowadzić testy penetracyjne. Jeśli miały miejsce zakupy sprzętowe w ramach konkursu Cyberbezpieczny Samorząd - testy powiny być przeprowadzone po tych zakupach.
Rola podmiotu przy wdrożeniu SZBI
Przy wdrożeniu niezbędna jest pomoc administratora oraz stworzenie zespołu złożonego z pracowników/dyrekcji podmiotu w zakresie:
- przekazania informacji o funkcjonowaniu podmiotu ,
- organizacji prac (np. szkoleń),
- konsultacji bieżących,
- koordynacji prac i ustaleń z dyrekcją.
Wdrożenie SZBI jest procesem, który powinien być stale monitorowany, utrzymywany i doskonalony. Współpraca podmiotu jest niezbędna, a świadomość i wiedza kluczowa.
Zapraszamy do kontaktu - przedstawimy szczegóły.