Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. II

System zarządzania bezpieczeństwem informacji – Kontekst organizacji.

Po przeprowadzeniu działań opisanych w pierwszej odsłonie naszego poradnika możemy przystąpić do określenia kontekstu naszej organizacji. Aby określić kontekst organizacji po pierwsze musimy zidentyfikować czynniki zewnętrzne i wewnętrzne istotne dla celu jej działania. Lub takie, które mogą mieć wpływ na zdolność organizacji do osiągania zamierzonych rezultatów. Po drugie, musimy określić wszystkie zainteresowane strony w naszym systemie zarządzania. Co więcej, powinniśmy uwzględnić ich potrzeby i oczekiwania, które mogą mieć wpływ na bezpieczeństwo informacji. Po trzecie, musimy określić zakres systemu wykorzystując zebrane wcześniej informacje. Zakres systemu powinien być dostępny jako udokumentowana informacja.

Czynniki zewnętrzne to uwarunkowania, na które nie mamy wpływu, a które oddziałują bezpośrednio na biznes. Jednym z głównych aspektów, występujących w każdej organizacji jest czynnik prawny. Bez względu na typ prowadzonej działalności jesteśmy zobligowani do stosowania np. przepisów ordynacji podatkowej. W tym generowania i przekazywania jednolitych plików kontrolnych, zawierających informacje o naszych kontrahentach. Dane musimy przekazać według określonego schematu, w ustalonych ramach czasowych i przy wykorzystaniu odpowiednich narzędzi. Nieuwzględnienie tych wymagań może prowadzić do różnego rodzaju konsekwencji.

Czynniki wewnętrzne to uwarunkowania, na które mamy wpływ i możemy kształtować je według własnego uznania. Jednym z głównych czynników, występujących w każdej organizacji jest aspekt dotyczący strategii działania. Już samo podjęcie decyzji aby wprowadzić system zarządzania bezpieczeństwem informacji powinno być zgodne z kierunkiem strategicznym organizacji. Powinniśmy również uwzględniać takie czynniki, które pozwolą nam na osiąganie oczekiwanych rezultatów. Jeżeli nie możemy zapewnić wystarczającego wsparcia w postaci ludzi, technologii lub wiedzy w określonym obszarze, narażamy przetwarzane informacje na ujawnienie.

Strony zainteresowane to frakcje posiadające wpływ, formułujące potrzeby i oczekiwania względem systemu zarządzania. Mogą to być zarówno grupy z otoczenia zewnętrznego (inwestorzy, klienci, dostawcy) jak i wewnętrznego (kierownictwo, komórki organizacyjne, personel). Są to grupy zainteresowane tym aby informacje przetwarzane w systemie były bezpieczne. Jedną z takich frakcji mogą być dziennikarze lub choć dla przykładu lepiej nazwać ich informatorami. Jeżeli typ naszej działalności opiera się na pracy śledczej, powinniśmy szczególnie zadbać o prywatność tych osób jak również zapewnić należytą ochronę dostarczanych informacji.

Zakres systemu to obszary i ich granice wyznaczające naszej organizacji możliwość wdrożenia działań i osiągnięcia celów, zaspokojenia potrzeb i oczekiwań zainteresowanych stron i spełnienia narzuconych / odgórnych / zewnętrznych uwarunkowań. Zakres systemu nie musi obejmować całej organizacji. Może dotyczyć jednej komórki organizacyjnej, jednego produktu / usługi lub jednego procesu. Jeżeli natomiast decydujemy się objąć zakresem całą organizację warto upewnić się, że wdrożyliśmy odpowiednie środki organizacyjno – techniczne a osoby nadzorujące poszczególne lokalizacje będą realizować przyjętą strategię.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.