www.hakin9.org
hakin9 Nr 9/2007
60
Bezpieczna firma
W
iele organizacji, pomimo licznych za-
grożeń zarówno wewnętrznych jak i
zewnętrznych, stosuje nadal niesfor-
malizowane metody ochrony informacji. Jed-
nakże, w związku z rosnącym znaczeniem
bezpieczeństwa informacji w kontaktach han-
dlowych, coraz częściej certyfikacja na zgod-
ność z normą PN-ISO/IEC 27001:2007 sta-
je się wymogiem formalnym przy zawieraniu
kontraktów z partnerami handlowymi, podob-
nie jak powszechny już wymóg potwierdzenia
certyfikatem zgodności z wymaganiami norm
serii ISO 9000 czy ISO 14000. Obecnie coraz
więcej organizacji zauważa potrzebę solidnego
podejścia do zarządzania bezpieczeństwem
informacji. Praktyka wskazuje, że tylko kom-
pleksowe podejście do bezpieczeństwa infor-
macji, obejmujące nie tylko bezpieczeństwo te-
leinformatyczne, lecz także bezpieczeństwo fi-
zyczne, osobowe, jak również prawne, wydaje
się być najlepszym rozwiązaniem. Zakres nor-
my (Rozdz. 1, pkt. 1.1 i pkt. 1.2) określa rodza-
je organizacji, w których norma PN-ISO/IEC
27001 może mieć zastosowanie, jak również
informuje o wymaganiach dotyczących wdro-
żenia zabezpieczeń dostosowanych do potrzeb
pojedynczych organizacji lub ich części znajdu-
jących się w dalszych rozdziałach normy. Wy-
magania opisane w normie PN-ISO/IEC 27001
są ogólne i przeznaczone do stosowania we
wszystkich organizacjach, niezależnie od ty-
pu, rozmiaru i charakteru przedsięwzięć bizne-
sowych, jakie reprezentują. Określa jednak, że
System zarządzania bezpieczeństwem infor-
macji powinien zostać zaprojektowany (zgod-
nie z wymaganiami normy) tak, aby zapewnić
adekwatne i proporcjonalne zabezpieczenia,
które odpowiednio chronią aktywa informacyj-
ne, oraz tak, aby uzyskać zaufanie zaintereso-
Wdrożenie Systemu
Zarządzania Informacji
Artur Kostowski
stopień trudności
Informacja to jeden z kluczowych zasobów firmy, jest zasadniczym
aktywem wspierającym rozwój i sukces niemal każdej organizacji.
Utrata walorów niematerialnych przedsiębiorstwa, przybierających
postać niechronionych informacji, prowadzi najczęściej do spadku
zaufania kontrahentów i klientów, często też może zagrażać
stabilności firmy i utraty osiąganej przez lata pozycji.
Z artykułu dowiesz się
• jak szybko i skutecznie wprowadzić System za-
rządzania bezpieczeństwem informacji,
• co to jest i na czym polega cykl PDCA,
• jakie polskie normy stanowią najlepsze prakty-
ki w zakresie zapewnienia bezpieczeństwa in-
formacji w instytucji.
Co powinieneś wiedzieć
• znać podstawowe wymagania dotyczące bez-
pieczeństwa informacji.
Zarządzanie bezpieczeństwem – wdrożenie w instytucji
hakin9 Nr 9/2007
www.hakin9.org
61
wanych stron. Według branży, naj-
częściej System zarządzania bez-
pieczeństwem informacji przyjmo-
wany jest przez firmy telekomunika-
cyjne, finansowe, doradcze i produk-
cyjne. Często w zakresie ISO 27001
certyfikują się także agendy rządo-
we, firmy z branży informatycznej i
infrastrukturalnej.
Elementy
bezpieczeństwa
informacji
System zarządzania bezpieczeń-
stwem informacji (SZBI) – to część
całościowego systemu zarządzania,
oparta na podejściu wynikającym z ry-
zyka biznesowego, odnosząca się do
ustanawiania, wdrażania, eksploata-
cji, monitorowania, utrzymywania i do-
skonalenia bezpieczeństwa informa-
cji w organizacji. System zarządzania
obejmuje strukturę organizacyjną, po-
litykę, zaplanowane działania, zakresy
odpowiedzialności, praktyki, procedu-
ry, procesy i zasoby. Podstawowym,
najczęściej używanym skrótem Sys-
temu zarządzania bezpieczeństwem
informacji jest SZBI, chociaż dopusz-
czalny jest także angielski skrót ISMS
9 (ang. Information Security Manage-
ment System). SZBI jest wprowadza-
ny, by skutecznie realizować potrze-
by wszystkich stron zainteresowanych
działalnością organizacji, np. klientów,
udziałowców, akcjonariuszy, władze
państwowe, pracowników, dostaw-
ców (Rysunek 1). Celem Systemu za-
rządzania bezpieczeństwem informa-
cji jest zapewnienie ciągłości organi-
zacji, zapobieganie i minimalizowanie
ewentualnych strat. Reasumując, Sys-
tem zarządzania bezpieczeństwem in-
formacji ma zagwarantować organiza-
cji i wszystkim zainteresowanym stro-
nom zachowanie poufności, integral-
ności i dostępności informacji.
Wymagania (normy)
Podstawową normą międzynaro-
dową zawierającą wymagania dla
systemów zarządzania bezpieczeń-
stwem informacji jest:
Norma PN-ISO/IEC 27001: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Systemy zarzą-
dzania bezpieczeństwem informacji
– Wymagania.
• Jest to norma, według której jed-
nostki uprawnione (akredytowa-
ne) przeprowadzają proces oce-
ny i certyfikacji. Norma definiuje
System zarządzania bezpieczeń-
stwem informacji (SZBI). Powi-
nien on stanowić część składową
systemu zarządzania instytucją
i być oparty na podejściu wyni-
kającym z ryzyka biznesowego.
Norma zaleca podejście syste-
mowe oparte na ciągłym dosko-
naleniu zgodnie z cyklem PDCA
(ang. Plan-Do-Check-Act) obej-
mującym: ustanowienie, wdro-
żenie, eksploatację, monitorowa-
nie, przegląd, a także utrzymanie
i doskonalenie SZBI.
Rysunek 1.
Mikrootoczenie i makrootoczenie przedsiębiorstwa. Źródło: G.
Gierszewska, M. Romanowska, Analiza strategiczna przedsiębiorstwa, PWE
1995, str. 33
ekonomiczne
polityczne
społeczne
technologiczne
międzynarodowe
prawne
demograficzne
dostawcy
klienci
konkurenci istniejący
i potencjalni
MAKROOTOCZENIE
PRZEDSIĘ-
BIORSTWO
OTOCZENIE
KONKURENCYJNE
Rysunek 2.
Model PDCA stosowany w procesach SZBI
Wykonuj
(Do)
Działaj
(Act)
Utrzymanie
i doskonalenie ISMS
Wdrożenie
i eksploatacja ISMS
Planuj
(Plan)
Sprawdzaj
(Check)
Ustanowienie
ISMS
Monitorowanie
i przegląd ISMS
Wymagania
i oczekiwania
dotyczące
bezpieczeństwa
informacji
Zainteresowane
strony
Zarządzanie
bezpieczeństwem
informacji
Zainteresowane
strony
hakin9 Nr 9/2007
www.hakin9.org
Bezpieczna firma
62
• Norma PN-ISO/IEC 17799: 2007
Technika informatyczna – Tech-
niki bezpieczeństwa – Praktycz-
ne zasady zarządzania bezpie-
czeństwem informacji
Norma stanowi swego rodzaju prze-
wodnik (opis, wytyczne) dla firm, któ-
re chcą wdrożyć u siebie system bez-
pieczeństwa informacji tak, aby był
skuteczny. Celem normy jest wdroże-
nie mechanizmów zarządzania, któ-
re zapewnią, że bezpieczeństwo in-
formacji będzie istotnym elementem
funkcjonowania organizacji. Norma
dotyczy wszystkich obszarów bez-
pieczeństwa: fizycznego i środowi-
skowego, osobowego, IT, zarządza-
nia ciągłością działania i zapewnie-
nia zgodności z przepisami prawa.
Przygotowanie
do certyfikacji
Tworzenie, wdrażanie i eksploatowa-
nie Systemu zarządzania bezpieczeń-
stwem informacji wg PN-ISO/IEC
27001 odbywa się w cyklu składają-
cym się z czterech etapów: Planuj,
Wykonuj, Sprawdź, Działaj (PDCA)
(Rysunek 2). Norma opisuje te etapy
w sposób następujący:
• Planuj – Ustanowienie Polityki
bezpieczeństwa informacji. Obej-
muje cele, zakres stosowania,
procesy i procedury odpowiada-
jące zarządzaniu ryzykiem oraz
zwiększające bezpieczeństwo in-
formacji, tak, aby uzyskać wyni-
ki zgodne z ogólnymi zasadami
i celami instytucji. Jest to z całą
pewnością najtrudniejszy i – obok
opracowywania
dokumentacji
– najbardziej pracochłonny etap
wdrożenia SZBI.
• Wykonuj – Wdrożenie i eksplo-
atacja polityki bezpieczeństwa
informacji, zabezpieczeń, proce-
sów i procedur.
• Sprawdź – Szacowanie oraz
– tam, gdzie musi mieć zastoso-
wanie – pomiar wykonania pro-
cesów w odniesieniu do polityki
bezpieczeństwa informacji. Etap
ten obejmuje cele i praktyczne
doświadczenia oraz przekazy-
wanie najwyższemu kierownic-
twu wyników przeglądu.
• Działaj – Podejmowanie działań
korygujących i zapobiegawczych
w oparciu o wyniki przeglądu re-
alizowanego przez najwyższe
kierownictwo w celu osiągnięcia
stałego doskonalenia SZBI.
Poszczególne etapy modelu PDCA
są opisane w rozdziale 4.2 (Wdro-
żenie i eksploatacja SZBI) normy
PN-ISO/IEC 27001. W wymienionym
rozdziale opisane są działania, które
organizacja powinna podjąć na każ-
dym z czterech etapów. Poniżej opi-
szemy bardziej szczegółowo dzia-
łania organizacji w poszczególnych
etapach cyklu PDCA:
Planuj
– Ustanowienie SZBI
Celem działań podejmowanych na
tym etapie jest opracowanie wytycz-
nych do stworzenia rozwiązań i me-
chanizmów umożliwiających osią-
gnięcie przez organizację odpo-
wiedniego poziomu bezpieczeństwa.
Wdrażanie SZBI powinno rozpocząć
się od zdefiniowania zakresu, jakie-
go będzie dotyczyć SZBI. Następ-
nie należy określić i udokumento-
wać Politykę bezpieczeństwa infor-
macji. Zgodnie z normą PN-ISO/IEC
27001 ma to być dokument ogólny,
który wyznacza ogólny kierunek i za-
sady działania w odniesieniu do bez-
pieczeństwa informacji. Częścią Po-
lityki bezpieczeństwa informacji mu-
si być stworzenie odpowiedniej struk-
tury organizacyjnej, która zapew-
ni osiągnięcie zaplanowanych ce-
lów nadrzędnych organizacji, ponie-
waż wyznacza ona kierunek działa-
nia w zakresie bezpieczeństwa infor-
Rysunek 3.
Filozofia funkcjonowania systemu zarządzania
bezpieczeństwem informacji w oparciu o analizę ryzyka. Źródło: M. Borucki,
J. Łuczak (red.), Zarządzanie bezpieczeństwem informacji, str. 63
OCENA RYZYKA
UTRATY
INFORMACJI
WDROŻENIE PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
OPRACOWANIE
PLANU
MINIMALIZACJI
RYZYKA UTRATY
INFORMACJI
MONITOROWANIE
PLANU
MINIMALIZACJI
RYZYKA UTRATY
IFORMACJI
Terminologia
• poufność zapewnienie dostępu do informacji tylko osobom upoważnionym. utrzy-
manie poufności wymaga, aby informacja nie była dostępna komukolwiek, kto nie
ma odpowiednich uprawnień,
• integralność – zapewnienie dokładności i kompletności informacji, i metod jej prze-
twarzania,
• dostępność – zapewnienie, że użytkownicy mogą korzystać z każdego zasobu in-
formacyjnego organizacji, kiedykolwiek i gdziekolwiek jest on potrzebny, zgodnie
ze stosownymi przywilejami.
Zarządzanie bezpieczeństwem – wdrożenie w instytucji
hakin9 Nr 9/2007
www.hakin9.org
63
macji w danej organizacji. Najważ-
niejszym elementem ustanowienia
Polityki bezpieczeństwa informa-
cji jest przyjęcie i zaakceptowanie
jej przez najwyższe kierownictwo w
organizacji. W praktyce najczęściej
próby takie podejmują działy telein-
formatyczne, rzadziej – inne jednost-
ki organizacyjne. Wsparcie i koordy-
nacja najwyższego kierownictwa or-
ganizacji pozwoli skoordynować pra-
ce nad wdrożeniem SZBI i zapewni
akceptację przez pracowników. Poli-
tyka bezpieczeństwa informacji po-
winna brać pod uwagę: wymagania
biznesowe dotyczące danej organi-
zacji w odniesieniu do obszaru jej
działania, wielkość i strukturę orga-
nizacyjną, typ konkurencji, wymaga-
nia prawne (bariery prawne), kryte-
ria zarządzania ryzykiem w organi-
zacji oraz metody i techniki jakie bę-
dą wykorzystywane podczas anali-
zy i zarządzania ryzykiem. Po zdefi-
niowaniu Polityki bezpieczeństwa in-
formacji należy zdefiniować obszar
analizy ryzyka i przeprowadzić samą
analizę ryzyka. Ważne jest, aby pro-
ces zarządzania ryzykiem (jak rów-
nież sama analiza ryzyka) był proce-
sem powtarzalnym i ciągle doskona-
lonym zgodnie z zasadą PDCA. Nor-
ma wymaga od organizacji zdefinio-
wania i opisania procesu analizy ry-
zyka oraz wyznaczenie kryteriów ak-
ceptowania ryzyka, nie narzucając
konkretnej metody analizy ryzyka,
a wymagając jedynie, by ten proces
był opisany i powtarzalny. Kolejnym
etapem wdrażania SZBI jest prze-
prowadzenie analizy ryzyka zgodnie
z ustanowioną procedurą czy kryte-
riami przez organizację, gdyż ocena
ryzyka utraty informacji jest jednym z
najważniejszych elementów wdraża-
nia i utrzymania SZBI. Okazuje się,
że na podstawie jej wyników ustalić
można, jakie środki kontroli bezpie-
czeństwa należy wdrożyć lub jakie
procedury organizacja winna opra-
cować. Jednocześnie analiza ryzyka
powinna polegać na rzeczywistych i
wiarygodnych informacjach. Oczy-
wiście na potrzeby niniejszego arty-
kułu nie będą omawiane szczegóło-
wo techniki analizy ryzyka, gdyż mo-
gą one z pewnością stanowić treść
odrębnych rozważań. Należy jednak
zawsze pamiętać, że tylko profesjo-
nalna analiza ryzyka pozwoli wdro-
żyć skuteczny SZBI. Następnym kro-
kiem organizacji, po zidentyfikowaniu
ryzyka, jest określenie trybu postę-
powania z każdym z wykrytych ry-
zyk. W SZBI możemy ograniczać ry-
zyka przez zastosowanie odpowied-
nich zabezpieczeń, przenosić ryzyka
(np. poprzez ubezpieczenie), unikać
ryzyka i akceptować ryzyka (nie ma
elementów ryzyka pozbawionych za-
grożeń wewnętrznych jak i zewnętrz-
nych – tzw. ryzyko szczątkowe, czyli
takie, które pozostaje po postępowa-
niu z ryzykiem) (Rysunek 3).
Należy pamiętać, że jednym z
najważniejszych celów wdrożenia
SZBI powinno być także zapewnie-
nie ciągłości działania organizacji. Z
tego też powodu warto przeprowa-
dzić analizę ciągłości działania (Bu-
siness Impact Analysis – BIA), po-
przez określenie strategii organizacji
w sytuacji wystąpienia zagrożeń.
Ostatnim etapem procesu usta-
nowienia SZBI jest uzyskanie akcep-
tacji kierownictwa, o czym mowa jest
w Rozdziale 4.2.1. (Akceptacja kie-
rownictwa dla proponowanych ryzyk
szczątkowych oraz autoryzacja kie-
rownictwa dla wdrożenia i eksploatacji
SZBI) i Rozdziale 5 Normy (Odpowie-
dzialność kierownictwa za zarządza-
nie i zapewnienie zasobów oraz szko-
lenie, uświadomienie i kompetencje).
Materialnymi produktami powstający-
mi na tym etapie są dokumenty:
• wytyczne do tworzenia Polityki
bezpieczeństwa informacji,
• program budowy Polityki bezpie-
czeństwa informacji,
• plan postępowania z ryzykiem.
Reasumując, ten etap cyklu – usta-
nowienie SZBI – kończyć się winien:
• określeniem zakresu SZBI (pro-
cesy, organizacja itp.),
• określeniem celu stosowania za-
bezpieczeń opartych o rezultaty
i wnioski wynikające z procesów
szacowania i postępowania z ry-
zykiem, np. wymagań bizneso-
wych, wymagań nadzoru czy wy-
magań prawnych w odniesieniu
do bezpieczeństwa informacji,
• udokumentowaną deklaracją po-
lityki SZBI,
• określeniem procedury i za-
bezpieczenia wspomagającego
SZBI,
• opisem metodyki szacowania ry-
zyka i planem postępowania z ry-
zykiem (zidentyfikować właściwe
zagrożenia, zidentyfikować i za-
klasyfikować aktywa organizacji
oraz ich wartość),
• udokumentowaniem procedury po-
trzebnej organizacji do zapewnie-
nia skutecznego planowania, eks-
ploatacji i sterowania procesami
bezpieczeństwa informacji oraz
opisempomiarów skuteczności za-
bezpieczeń,
• wyborem odpowiednich zabez-
pieczeń z Aneksu A Normy,
• udokumentowaną Deklaracją Sto-
sowania (dokument, w którym
opisano cele zabezpieczenia oraz
zabezpieczenia, które odnoszą
się i mają zastosowanie w SZBI
danej organizacji).
Norma PN-ISO/IEC 27001 narzuca
minimalną zawartość dokumentacji
Cykl Deminga
Filozofia jakości Wiliama E. Deminga (1900-93) wyrosła na doświadczeniach sukce-
su japońskiego przemysłu i totalnej krytyki amerykańskich metod zarządzania. Zosta-
ła ona na skalę masową zastosowana w Japonii w latach 50–tych XX wieku, a rezul-
tatem tego jest ekspansja japońskich produktów na niemal wszystkie rynki świata. De-
ming uznał, że proces tworzenia jakości produktu czy usługi zależy zarówno od robot-
ników, jak i menedżerów, przy czym 94% wszystkich problemów jakościowych w orga-
nizacji powstaje z winy kierownictwa, które musi zaangażować się w zarządzanie jako-
ścią i zapewnienie jakości przy współpracy z pracownikami. Podstawę wszystkich za-
sad Deminga stanowiła zasada ciągłego udoskonalania, znana dziś pod nazwą Cyklu
Deminga, Koła Deminga lub po prostu PDCA.
hakin9 Nr 9/2007
www.hakin9.org
Bezpieczna firma
64
SZBI w postaci udokumentowanych
procedur, co według zapisu zawar-
tego w Uwadze 1 rozdz. 4.3.1 PN-
ISO/IEC 27001 oznacza, że proce-
dura ma być zdefiniowana, udoku-
mentowana, wdrożona i utrzymy-
wana. Oznacza to więc, że każdy
ustanowiony i wdrożony SZBI po-
winien zawierać odniesienie co do
wymagań normy w udokumentowa-
nych procedurach przytaczanych
w tekście wymagań PN-ISO/IEC
27001.
Wykonaj – Wdrożenie
i stosowanie SZBI
Etap ten polega na wdrożeniu zabez-
pieczeń wybranych na poprzednim
etapie – Ustanawiania SZBI. Przede
wszystkim należy jednak wdrożyć
procedury zapewniające sprawne
działanie całego SZBI tzn. procedur i
zabezpieczeń związanych z:
• zarządzaniem ryzykiem,
• zarządzaniem eksploatacją i za-
sobami.
Jednym z najważniejszych elemen-
tów wdrażania i stosowania SZBI są
szkolenia mające na celu uświado-
mienie tak kierownictwu, jak i ca-
łemu personelowi organizacji, ce-
lu i korzyści płynących z wdroże-
nia SZBI.
Sprawdź –
Monitorowanie
i przegląd SZBI
Bardzo ważna cechą SZBI wg PN-
ISO/IEC 27001 jest jego zdolność
do samodoskonalenia. Żeby móc
osiągnąć taki stan we wdrożonym
SZBI, już na etapie procesu pro-
jektowania systemu muszą zostać
przewidziane mechanizmy reago-
wania na błędy systemu i incyden-
ty związane z bezpieczeństwem ak-
tywów w organizacji oraz procedu-
ry okresowych przeglądów SZBI.
Proces definicji takich działań wi-
nien być inicjowany i realizowany
nie tylko jeśli taki przypadek zaist-
nieje, lecz również jeśli występuje
hipotetyczne prawdopodobieństwo
wystąpienia określonej niepożąda-
nej sytuacji. Efektem ciągłego mo-
nitorowania SZBI są działania za-
pobiegawcze, które świadczą o pra-
widłowym zaprojektowaniu mecha-
nizmów doskonalenia systemu. Do
podstawowych narzędzi monitoro-
wania SZBI należą:
• przeglądy skuteczności działania
SZBI,
• przeglądy raportów ryzyka ak-
ceptowalnego,
• audyty wewnętrzne SZBI,
• przeglądy SZBI dokonywane
przez kierownictwo.
Działaj: Utrzymanie
i doskonalenie SZBI
Kolejny element, który jest często
zaniedbywany przez organizacje,
to utrzymanie i doskonalenie SZBI.
Procedury dotyczące reagowania
na błędy, incydenty oraz niezgod-
ności wykryte na drodze przeglądów
muszą skutkować podjęciem działań
korygujących lub zapobiegawczych.
Procedury działań korygujących po-
winny być dokładnie udokumento-
wane. Należy zwrócić uwagę, że to
działania korygujące wraz z korektą
są elementem usuwającym przyczy-
nę niezgodności oraz jej skutki. War-
te jest podkreślenia, że najczęściej
system zarządzania stwarza więcej
problemów podczas jego prawidło-
wego utrzymania, niż na etapie jego
ustanowienia i wdrożenia.
Każde z opisanych powyżej
działań cyklu PDCA jest wymaga-
ne przez normę, aby wdrażany w or-
ganizacji SZBI mógł spełniać jej wy-
magania.
Wybór organizacji
certyfikującej
Organizacja certyfikująca jest stro-
ną trzecią, która ocenia efektywność
SZBI i wydaje certyfikat stwierdzają-
cy spełnienie wymagań normy. Jak
praktyka wskazuje, dobór organiza-
cji certyfikujących jest dość skompli-
kowany.
Bez wątpienia osoby podejmują-
ce decyzję wyboru organizacji certy-
fikującej winny wziąć pod uwagę ta-
kie czynniki, jak doświadczenie ze-
społu audytorskiego, cenę, poziom
świadczonych usług, opinię na ryn-
ku i zasięg działania. Kluczową spra-
wą jest wybór organizacji certyfikują-
cej, która reprezentuje markę znaną
z rzetelności i solidności.
Do chwili obecnej w Polsce prze-
prowadzono około 20 akredytowa-
nych certyfikacji na zgodność z wy-
maganiami BS 7799-2 i ISO 27001,
przy prawie 3300 certyfikacji na
świecie (dane z początku 2007 r.).
Warto jednak podkreślić, że licz-
ba organizacji chcących certyfiko-
wać się w ISO 27001 stale rośnie
(do 2004 r. liczba organizacji z cer-
tyfikatem systemu bezpieczeństwa
Rysunek 4.
Etapy prac jednostki certyfikującej
ETAPY CERTYFIKACJI
ETAP0 – PRZYGOTOWANIE
ETAP1 – AUDIT DOKUMENTACJI
ETAP2 – AUDIT WDROŻENIA
ETAP3 – DECYZJA
hakin9 Nr 9/2007
65
informacji w Polsce wynosiła zaled-
wie trzy).
Etapy certyfikacji SZBI
Po wdrożeniu Systemu zarządza-
nia bezpieczeństwem informacji or-
ganizacja, po uprzednim stwierdze-
niu gotowości do certyfikacji, wy-
stępuje do jednostki certyfikującej z
wnioskiem o przeprowadzenie audy-
tu certyfikacyjnego. Jednostka certy-
fikująca przeprowadza ocenę syste-
mu na zgodność z wymaganiami nor-
my ISO27001 i podejmuje decyzję o
formalnym spełnieniu kryteriów cer-
tyfikacyjnych poprzez przyznanie i
wydanie stosownego certyfikatu. W
przypadku niespełniania wymagań
normy, organizacji oczywiście odma-
wia się przyznania certyfikatu. Firmy
certyfikujące świadczą swoje usłu-
gi zgodnie z międzynarodowymi wy-
tycznymi określonymi w dokumen-
cie (przewodniku) ISO/IEC Guide 62:
1996, europejskiej normie EN-45012:
1998 Wymagania ogólne dotyczące
jednostek prowadzących ocenę oraz
certyfikację/rejestrację systemów ja-
kości, która jest podstawą Polskiej
Normy PN-EN 45012:2000.
Sprawdzanie, czy system jest
zgodny z normą odbywa się w for-
mie kilku – kilkunastodniowego au-
dytu (liczba dni zależy od wielkości
organizacji i stopnia złożoności reali-
zowanych procesów). Należy w tym
miejscu wspomnieć, że audyt syste-
mu zarządzania jakością to niezależ-
na ocena, która pozwala stwierdzić,
czy i w jakim stopniu system zarzą-
dzania firmą funkcjonuje oraz czy
jest zgodny z przyjętą normą i in-
nymi obowiązującymi wymagania-
mi i przepisami prawnymi. Poniżej
przedstawiamy skrótowo poszcze-
gólne etapy prac jednostki certyfiku-
jącej (Rysunek 4).
Etapy certyfikacji:
Etap 0 – Przygotowanie
• przygotowanie programu audytu
SZBI,
• ocena Deklaracji Stosowania,
• analiza przygotowanej przez or-
ganizację analizy ryzyka.
Omawiany etap związany jest z
wprowadzeniem firmy certyfikującej
do audytowanej organizacji. Ograni-
cza się do przeprowadzenia spotka-
nia z kadrą zarządzająca i kluczowy-
mi managerami odpowiedzialnymi za
wyniki i procesy oceny ryzyka. Wni-
kliwie oceniana jest także Deklaracja
Stosowania oraz omawiany jest har-
monogram przeprowadzanego audy-
tu. Etap 0 trwa najczęściej od 1 do 2
dni i odbywa się w siedzibie klienta.
Etap 1 – Audyt dokumentacji
SZBI
Etap 1 to przede wszystkim ocena
dokumentacji SZBI w siedzibie klien-
ta (trwa 1-2 dni). Główne zadania au-
dytorów to formalne sprawdzenie wy-
maganej dokumentacji i porównanie
jej z wymaganiami Normy. Sprawdza-
ny jest także nadzór nad dokumenta-
cją oraz jej dostępność. Szczegółowo
jest także dokonywany przegląd tre-
ści wybranej próby dokumentacji we-
wnętrznej certyfikowanej organizacji.
Etap 2 – Audyt wdrożenia
SZBI
• ocena skuteczności wybranych
zabezpieczeń,
Literatura
• Tomasz Polaczek, Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo HE-
LION, 2006,
• Jacek Łuczak (red.), Zarządzanie bezpieczeństwem informacji, Oficyna Współ-
czesna, 2004,
• Donald L. Pipki, Bezpieczeństwo informacji. Ochrona globalnego przedsiębior-
stwa, Wydawnictwo Naukowo-Techniczne, 2002,
• Norma PN ISO/IEC 27001:2007,
• Norma PN ISO/IEC 17779:2007.
hakin9 Nr 9/2007
www.hakin9.org
Bezpieczna firma
66
• ocena wdrożenia SZBI,
• ocena efektów SZBI (Cykl
PDCA).
Etap ten to głównie ocena przez au-
dytorów wdrożeń i skuteczności wy-
branych zabezpieczeń oraz bada-
nie funkcjonowania systemu zarzą-
dzania w praktyce (wyniki przeglą-
du systemu zarządzania, wyniki au-
dytów wewnętrznych, ocena ryzyk,
skuteczność działań korygujących i
zapobiegawczych). Etap 2 trwa od
kilku do kilkudziesięciu dni (w zależ-
ności od wielkości certyfikowanej or-
ganizacji) i odbywa się poprzez prze-
prowadzanie wywiadów z kluczowy-
mi pracownikami organizacji.
Etap 3 – Decyzja i
(nie)wydanie certyfikatu
Po certyfikacji następuje Audyt nad-
zoru i Audyt wznawiający.
Audyt nadzoru pozwala ocenić
skuteczność funkcjonowania SZBI
oraz skuteczność wybranych przez
organizację zabezpieczeń. Odbywać
się winien co najmniej raz na 6 mie-
sięcy (5 nadzorów przez 3 lata cer-
tyfikacji). Z kolei audyt wznawiający,
który obejmuje wszystkie obszary
posiadanego certyfikatu, skupia się
przede wszystkim wokół przygoto-
wania nowego programu audytu na
następne 3 lata oraz weryfikacji za-
kresu skuteczności wybranych za-
bezpieczeń i przyjęciu zmian w sys-
temie zarządzania. Certyfikat zgod-
ności z normą ISO 27001 potwier-
dza, że System zarządzania bezpie-
czeństwem informacji został w da-
nej organizacji sprawdzony i okazał
się zgodny ze standardem stanowią-
cym zbiór najlepszych praktyk w za-
kresie bezpieczeństwa przetwarza-
nych informacji. Certyfikat trzeciej
strony wydany przez niezależną jed-
nostkę certyfikującą stanowi dowód,
że audytowana organizacja podjęła
niezbędne działania, żeby zabezpie-
czyć informacje przez siebie prze-
twarzane.
Korzyści
z wdrożenia SZBI
Wśród oczywistych korzyści wynika-
jących z wdrożenia Systemu zarzą-
dzania bezpieczeństwem informacji
należy wymienić:
• uzyskanie przez organizację wia-
rygodnego poziomu bezpieczeń-
stwa informacji,
• wzrost bezpieczeństwa działania
organizacji,
• wzrost wiarygodności organiza-
cji w relacjach z kontrahentami
(uzyskanie przewagi nad konku-
rencją),
• ograniczenie ryzyka utraty, znie-
kształcenia, niepowołanego do-
stępu do zasobów informacyj-
nych,
• możliwość zdefiniowania i ocenę
ryzyk biznesowych organizacji
oraz, w miarę możliwości, prze-
ciwdziałanie ich powstaniu,
• podniesienie świadomości pra-
cowników w zakresie bezpie-
czeństwa informacji.
Podsumowanie
Jak pokazuje praktyka, wdrożenie
SZBI nie zagwarantuje 100% bez-
pieczeństwa, ale często pomaga w
stałym podwyższaniu poziomu bez-
pieczeństwa informacji w sposób
efektywny i planowy. SZBI zapew-
nia organizacjom odpowiedni po-
ziom ciągłości działania, pomaga
minimalizować ewentualne straty w
wyniku występowania incydentów
bezpieczeństwa oraz powoduje sto-
sowanie efektywnych działań w sto-
sunku do nakładów ponoszonych na
jego wdrożenie i utrzymanie.
Należy jednak zwrócić uwagę
na fakt, że duża część organizacji
zarządza informacją, która powin-
na być chroniona lub zabezpieczo-
na, ale nie są w tym kierunku po-
dejmowane żadne działania zarząd-
cze. Chodzi tutaj zwłaszcza o orga-
nizacje, które przetwarzają informa-
cje nie tyle stricte biznesowe, ale in-
ne informacje chronione przez pra-
wo (np. urzędy państwowe, jednost-
ki samorządu terytorialnego, są-
dy, szpitale itp.). W obowiązującym
w kraju prawodawstwie funkcjonu-
je kilka ustaw dotyczących bezpo-
średnio lub pośrednio ochrony infor-
macji, m. in.:
• Ustawa z dnia 22 stycznia 1999 r.
o ochronie informacji niejawnych
(Dz. U. z 2005 r. Nr 196 poz.
1631 z późn. zm.).
• Ustawa z dnia 29 sierpnia 1997
r. o ochronie danych osobowych.
(Dz. U. z 2002 r. Nr 101 poz. 926
z późn. zm.).
• Ustawa z dnia 27 lipca 2001 r. o
ochronie baz danych (Dz. U. z
2001 r. Nr 128 poz. 1402 z późn.
zm.).
• Ustawa z dnia 16 kwietnia 1993
r. o zwalczaniu nieuczciwej kon-
kurencji (Dz. U. z 2003 r. Nr 153,
poz. 1503 z późn. zm.).
• Ustawa z dnia 6 września 2001 r.
o dostępie do informacji publicz-
nej (Dz. U. z 2001 r. Nr 112, poz.
1198 z późn. zm).
Ustawy te narzucają organizacjom
tryb postępowania z chronionymi
informacjami zgodnie z przepisami
ustaw, w związku z czym możemy
spodziewać się w najbliższym cza-
sie zwiększonego zainteresowania
ustanowieniem i wdrożeniem Syste-
mu zarządzania bezpieczeństwem
informacji w wielu instytucjach pań-
stwowych i samorządowych. To z
pewnościądobry prognostyk dla firm
zajmujących się wdrażaniem i certy-
fikacją SZBI. l
O autorze
Artur Kostowski – prawnik i socjolog, doktorant Instytutu Organizacji i Zarządzania w
Przemyśle ORGMASZ w Warszawie. Specjalista w zakresie tworzenia dokumenta-
cji i procedur bezpiecznego przetwarzania informacji, zgodnie z normami prawnymi i
międzynarodowymi. Audytor systemów zarządzania jakością i systemu zarządzania
bezpieczeństwem informacji, mediator gospodarczy. Redaktor portalu internetowego
www.ochronainformacji.pl.
Kontakt z autorem, e-mail: a.kostowski@ochronainformacji.pl