Zarządzanie bezpieczeństwem informacyjnym
to zespół działań uwzględniających planowanie, organizowanie i kontrolowanie procesów informacyjnych (takich jak m.in. tworzenie, gromadzenie, przechowywanie, transmisja, transformacja, udostępnianie, interpretacja i wykorzystywanie informacji [t. 1]). Zarządzanie bezpieczeństwem informacyjnym [t. 1] ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa (tzn. odpowiedniego, ustalonego poziomu kluczowych atrybutów bezpieczeństwa: poufności, integralności, dostępności, oraz innych: rozliczalności, autentyczności i niezawodności) procesów informacyjnych, systemów informacyjnych i samej informacji. W procesach zarządzania bezpieczeństwem informacyjnym uwzględnia się wszystkie elementy systemu informacji (czyli użytkowników systemu – nadawców i odbiorców informacji, źródła informacji, samą informację, kanały przekazu informacji, otoczenie procesów informacyjnych, sprzęt, narzędzia i sieć teleinformatyczną).
Szerokie ujęcie zarządzania bezpieczeństwem informacyjnym pozwala na uwzględnienie w nim, oprócz tworzenia i utrzymania systemów zarządzania bezpieczeństwem informacji (SZBI) w organizacji, także zarządzanie zachowaniami i postawami ludzi w świecie informacji (np. w internecie, zob. bezpieczeństwo w sieci). W literaturze przedmiotu zarządzanie bezpieczeństwem informacyjnym najczęściej jednak jest charakteryzowane w ujęciu węższym: jako zarządzanie bezpieczeństwem informacji, które odnosi się bezpośrednio do funkcjonowania i zadań organizacji. Podstawy tworzenia systemu zarządzania bezpieczeństwem informacji w organizacji określono m.in. w serii norm ISO/IEC 27000, np. w normach PN-EN ISO/IEC 27001:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania, PN-EN ISO/IEC 27002:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji lub PN-ISO/IEC 27006:2016-12 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. Według normy PN-EN ISO/IEC 27001:2017-06 SZBI zapewnia zachowanie poufności, integralności i dostępności informacji poprzez zastosowanie procesu zarządzanie ryzykiem. Przed rozpoczęciem projektowania i wdrażania tego systemu konieczne jest poznanie i zrozumienie działania organizacji oraz zrozumienie potrzeb i oczekiwań stron zainteresowanych (np. obejmujące wymagania prawne lub wewnętrzne regulaminy organizacji). Organizacje, które zdecydowały się na wdrożenie normy, są zobowiązane do ustanowienia, wdrożenia, utrzymywania i doskonalenia SZBI. W celu efektywnego funkcjonowania systemu niezbędne jest zaangażowanie kierownictwa organizacji, np. poprzez zapewnienie, że obowiązująca polityka bezpieczeństwa informacji jest zgodna z celami strategicznymi organizacji. Przy planowaniu SZBI konieczne jest przeanalizowanie ryzyka i szans w kontekście czynników wewnętrznych i zewnętrznych, które wpływają na funkcjonowanie organizacji. Wdrożenie SZBI wymaga natomiast zapewnienie zasobów, dzięki którym system może działać, zatrudnienia osób o niezbędnych kompetencjach (kompetencje te mogą również być zdobyte przez aktualnych pracowników, np. poprzez szkolenia lub mentoring) oraz prowadzenie odpowiedniej dokumentacji.
System zarządzania bezpieczeństwem informacji powinien uwzględniać: stworzenie polityki bezpieczeństwa informacji, organizację bezpieczeństwa informacji (w tym organizację wewnętrzną, organizację pracy zdalnej i korzystania z urządzeń mobilnych przez pracowników), bezpieczeństwo zasobów ludzkich (zarówno przed zatrudnieniem, w jego trakcie, jak i po jego zakończeniu), zarządzanie aktywami organizacji (w tym odpowiedzialność za aktywa, klasyfikację informacji, postępowanie z nośnikami informacji), organizację kontroli dostępu (do usług, sieci, aktywów, systemów i aplikacji), zarządzanie zabezpieczeniami kryptograficznymi, kwestię bezpieczeństwa fizycznego i środowiskowego w zakresie bezpieczeństwa informacji, zarządzanie sprzętem (m.in. jego konserwacją i zbywaniem, korzystaniem poza siedzibą organizacji), zarządzanie bezpieczną eksploatacją (m.in. ochronę przed szkodliwym oprogramowaniem i tworzenie kopii zapasowych, monitorowanie), zarządzanie bezpieczeństwem komunikacji (np. przesyłaniem informacji), pozyskiwanie, rozwój i utrzymanie systemów informacyjnych (w tym sieci teleinformatycznej), zarządzanie relacjami z dostawcami, kontrolę funkcjonowania systemu informacyjnego organizacji zgodnie z wymogami prawnymi i umownymi oraz zarządzanie incydentami związanymi z naruszeniami bezpieczeństwa informacji i ciągłością działania systemu informacyjnego. Istotnym aspektem zarządzania bezpieczeństwem informacji są regularne przeglądy poziomu bezpieczeństwa informacji, które mogą być realizowane poprzez audyt bezpieczeństwa informacji. Przeglądy powinny być zaplanowane, mogą się odbywać cyklicznie lub być prowadzone w przypadku wystąpienia zmian. Należy weryfikować zgodność procesów informacyjnych oraz technicznych systemów informacyjnych z politykami, standardami i innymi wymaganiami obowiązującymi w organizacji. Kluczowe w skutecznym zarządzaniu bezpieczeństwem informacyjnym jest zidentyfikowanie potencjalnych zagrożeń dla systemu informacyjnego oraz analiza ryzyka ich wystąpienia.
Wśród korzyści wynikających z wdrożenia systemu zarządzania bezpieczeństwem informacji w organizacji można wymieniać korzyści biznesowe (m.in. minimalizowanie strat powstałych w wyniku ewentualnego naruszenia bezpieczeństwa informacji, zapewnienie ciągłości działania organizacji, korzyści finansowe wynikające z efektywnego wykorzystania zasobów), korzyści wewnętrzne dla organizacji (m.in. wzrost świadomości i rozwój kompetencji pracowników, ochrona informacji, spełnianie wymogów prawa, zapewnienie klientom, dostawcom i innym kontrahentom ochrony danych, usprawnienie procesów informacyjnych), korzyści zewnętrzne (związane głównie z postrzeganiem firmy przez otoczenie, m.in. potwierdzenie wysokiego poziomu kultury organizacyjnej, poprawa wizerunku firmy, prestiż w przypadku posiadania certyfikatu zgodności z normą, przewaga konkurencyjna), korzyści marketingowe (m.in. budowanie profesjonalnego i pozytywnego wizerunku firmy, podniesienie wiarygodności organizacji, wyróżnienie na tle konkurencji) oraz ogólne korzyści dla klientów i innych podmiotów związanych z organizacją.
A. Gałach, R. Wójcik, Zarządzanie bezpieczeństwem informacji w sektorze publicznym, C.H. Beck, Warszawa 2009; J. Janczak, A. Nowak, Bezpieczeństwo informacyjne: wybrane problemy, Akademia Obrony Narodowej, Warszawa 2013; J. Łuczak, Metody szacowania ryzyka – kluczowy element systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001, „Zeszyty Naukowe Akademia Morska w Szczecinie” 2009, nr 19 (1); A. Nowak, W. Scheffs, Zarządzanie bezpieczeństwem informacyjnym, Akademia Obrony Narodowej, Warszawa 2010; Norma PN-EN ISO/IEC 27001:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania; J. Łuczak, M. Tyburski, Systemowe zarządzanie bezpieczeństwem informacji wg ISO/IEC 27001, https://jacekluczak.pl/images/download/Systemowe.pdf [dostęp: 4.05.2019]; T. Polaczek, Audyt bezpieczeństwa informacji w praktyce, Helion, Gliwice 2006; J. Stanik, R. Hoffmann, J. Napiórkowski, Zarządzanie ryzykiem w systemie zarządzania bezpieczeństwem organizacji, „Ekonomiczne Problemy Usług” 2016, nr 123; Polski Komitet Normalizacyjny, Zarządzanie bezpieczeństwem informacji, https://wiedza.pkn.pl/web/wiedza-normalizacyjna/zarzadzanie-bezpieczenstwem-informacji [dostęp: 4.05.2019].