Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA

Anna Horowska-Shahin
30/11/2017

W poprzednich wpisach przybliżyliśmy Państwu ideę międzynarodowej normy ISO 27001 wdrożonej przez naszą firmę, pisaliśmy też o ostatnim wewnętrznym audycie FORDATA, który miał miejsce w 1 kw. 2017 r. W dzisiejszej odsłonie cyklu artykułów dot. ISO, podejdziemy do tematu praktycznie – opowiemy po krótce jak wdrożyliśmy normę ISO w naszej organizacji oraz wyjaśnimy dlaczego ten aspekt działalności jest dla nas kluczowy.

Informacja jest zasobem posiadającym swoją wartość i podlega ochronie niezależnie od formy przetwarzania. To od niej zależy zachowanie pozycji konkurencyjnej firmy na rynku, płynności finansowej i jej zyskowności. To jak firma obchodzi się z informacją często ma też wpływ na zachowanie bądź utratę jej dobrej reputacji. To właśnie informacja jest przedmiotem zainteresowania normy ISO/IEC 27 001. Norma wskazuje w jaki sposób zbudować System Zarządzania Bezpieczeństwem Informacji (SZBI) oraz jak go należy utrzymywać, doskonalić i adaptować do zmieniającego się otoczenia biznesowego.

Klasyfikacja informacji

Punktem wyjścia dla SZBI jest klasyfikacja informacji. Norma ISO zaleca utworzenie co najmniej trzech grup informacji, w których zebrane są informacje o podobnych wymaganiach związanych z bezpieczeństwem. Do określenia poziomu bezpieczeństwa danej grupy, przyjmuje się wskaźniki definiujące poufność, integralność oraz dostępność danej grupy informacji, a następnie określa zabezpieczenia, jakie będą stosowane w organizacji dla każdej grupy.

W FORDATA wyznaczyliśmy 3 grupy informacji: 1) informacje stanowiące tajemnicę przedsiębiorstwa (TP), 2) informacje wewnętrzne (IW), 3) informacje jawne (JW). Dla każdej grupy określiliśmy jasne reguły postępowania dla wszystkich pracowników oraz przypisaliśmy do nich właścicieli, odpowiedzialnych za zapewnienie, że informacja otrzymuje ochronę na odpowiednim poziomie. I tak w zależności od grupy, do jakiej należy dana informacja, stosuje się inne zabezpieczenia. Informacje z grupy TP to te stanowiące największą wartość dla firmy. Są nimi np. dane powierzone nam przez klientów, informacje o transakcjach, które prowadzimy, umowy z klientami, ale także kod źródłowy naszego systemu VDR. Muszą one być jasno oznaczone, jeśli elektroniczne – przechowywane w formie zaszyfrowanej, jeśli papierowe – przechowywane w sejfie. Niszczenie następuje zawsze w niszczarce, a w przypadku plików elektronicznych – przy wykorzystaniu narzędzi uniemożliwiających przywrócenie danych (typu „wipe tool”). Jeśli informacja ma zostać skopiowana, czy udostępniona, to tylko za zgodą wyznaczonego w organizacji właściciela zasobu, i musi być przekazana w formie zaszyfrowanej.

Do trwałego usuwania plików korzystamy z narzędzi typu “wipe tool”, a do szyfrowania stosujemy programy klasy GPG oraz programy archiwizujące.

Dokumenty z grupy IW także powinny być chronione, ale nie stosuje się do nich tak rygorystycznych zasad, jak do TP. W FORDATA należą do nich m.in. dokumenty handlowe spółki, dokumentacja finansowa, dokumentacja kadrowa. Różnica w stosunku do TP polega na tym, że informacje z tej grupy nie muszą być oznaczone, nie trzeba ich szyfrować i nie muszą być przechowywane w sejfie (nie można ich jednak zostawić swobodnie na biurku, muszą zostać schowane w szafach zamykanych na klucz). Pozostałe zabezpieczenia są stosowane.

Dokumenty z grupy JW, czyli informacje jawne, jak sama nazwa wskazuje to takie, które swobodnie udostępniamy na zewnątrz, np. publiczne informacje nt. spółki, instrukcje użytkowników systemu VDR, materiały marketingowe.

Organizacja Bezpieczeństwa Informacji w FORDATA

Organizacja Bezpieczeństwa Informacji to drugi punkt wyjściowy normy. Sprowadza się do tego, że każdy kluczowy proces zachodzący w firmie musi zostać uregulowany w procedurach. Każda z nich posiada swojego właściciela, który w ramach doskonalenia SZBI ma za zadanie aktualizować dokument w taki sposób, aby szukać cały czas pola do usprawnień i podnoszenia standardów bezpieczeństwa.

Wśród procesów biznesowych FORDATA, które zostały objęte Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) znajdują się:

  1. Zarządzanie Systemem Virtual Data Room (VD),
  2. Zarządzanie zasobami ludzkimi (ZL),
  3. Zarządzanie bezpieczeństwem informacji (ZB),
  4. Obsługa Klienta (OK),
  5. Proces sprzedaży (SP),
  6. Zarządzanie ciągłością działania (CD),
  7. Zarządzanie i doskonalenie SZBI (SZ).

Każdy obszar obejmuje kilka do kilkunastu procedur, które określają jasne reguły postępowania. W kolejnych wpisach przybliżymy Państwu wybrane zasady, którymi się kierujemy, w tym w związku z nabierającą na znaczeniu tematyką ochrony danych osobowych, te dotyczące Polityki bezpieczeństwa danych osobowych.

Dlaczego informacja jest szczególnie cenna?

To informacje, a nie zdarzenia których dotyczy zmieniają rzeczywistość gospodarczą. Ich wartość jest nie do przecenienia, bowiem to one decydują o sukcesach i porażkach organizacji. Konsekwencje jej niekontrolowanego ujawnienia mogą być bardzo dotkliwe. Wystarczy wspomnieć o informacji poufnej, jak: dokumentacja technologiczna, dane osobowe pracowników, dane Klientów bądź kontrahentów (w tym dane finansowe). Na szczęście mamy normę ISO, która wymusza przestrzeganie ustalonych procedur działania, a zespół FORDATA jest doskonale przeszkolony od strony technicznej i merytorycznej.

Podsumowanie

W dzisiejszych czasach globalizacja wymusza przetwarzanie coraz to większej ilości danych coraz częściej mamy też do czynienia z Big Data. Dlatego diametralnie ważne jest właściwe zabezpieczenie infrastruktury IT organizacji wraz z ustanowieniem odpowiednich procedur i zasad postępowania w celu zapeweia Bezpieczeństwa Informacji. Dla FORDATA informacja ma kluczowy aspekt biznesowy, a poprzez wdrożenie SZBI, stale podnosimy poziom bezpieczeństwa przetwarzania informacji w firmie, budując tym samym wiarygodność i zaufanie naszych Klientów.

Konsultacja: Pełnomocnik ds. Bezpieczeństwa FORDATA

Zdjęcie główne: Fotolia.com, Unsplash.com

Udostępnij!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

 

Anna Horowska-Shahin
Communications Manager
Spodobało Ci się?
Udostępnij!
Najczęściej czytane
Chcesz być na bieżąco?
Dołącz do nas!

Wyrażam zgodę na przetwarzanie moich danych osobowych (płeć, imię, e-mail, język) przez firmę FORDATA sp. z o.o. w celu otrzymywania newslettera firmowego. Oświadczam, iż zostałem/am poinformowany/a o prawie dostępu do swoich danych, ich poprawiania, usunięcia, żądania ograniczenia ich przetwarzania bądź przekazania innemu administratorowi danych, a także wniesienia sprzeciwu względem przetwarzania moich danych na cele marketingowe, poprzez kontakt: biuro@fordata.pl. Podanie danych osobowych jest dobrowolne, niemniej brak zgody uniemożliwi wysyłkę newslettera. Cofnięcie zgody nie wpływa na wcześniejsze przetwarzanie danych osobowych. Pełna informacja o Administratorze danych osobowych znajduje się w Polityce prywatności.

FreshMail.pl
Obserwuj nas
© Wszystkie prawa zastrzeżone. FORDATA sp. z o.o. (2018)
Zamów prezentację produktu lub darmową wersję testową!
Zostaw swoje dane i skorzystaj z wersji testowej przez 14 dni za darmo!
W pakiecie otrzymasz wsparcie techniczne 24/7,
dedykowanego konsultanta wraz z indywidualną prezentacją produktu.
Dział sprzedaży pracuje w dni robocze w godz. 9-17.

Oświadczam, iż zostałem poinformowany o prawie dostępu do swoich danych, ich poprawiania, usunięcia, żądania ograniczenia ich przetwarzania bądź przekazania innemu administratorowi danych, a także wniesienia sprzeciwu względem przetwarzania moich danych na cele marketingowe, poprzez kontakt: biuro@fordata.pl. Podanie danych osobowych jest dobrowolne, niemniej brak ww. zgód uniemożliwi realizację celów wskazanych wyżej. Cofnięcie zgody nie wpływa na wcześniejsze przetwarzanie danych osobowych. Pełna informacja o Administratorze danych osobowych znajduje się w Polityce Prywatności.

FreshMail.pl