W dzisiejszym wpisie przeniesiemy się do tematu dokumentacji w systemie zarządzania bezpieczeństwem informacji. Jeżeli interesuje cię, jakie dokumenty powinieneś przygotować przy wdrażaniu systemu, to właśnie trafiłeś w odpowiednie miejsce.
Polityka Bezpieczeństwa Informacji
Zanim jednak przejdziemy do konkretów, ważne jest ustalenie, że dokumenty, o których dzisiaj będę mówił, są częściowo wymagane, a częściowo dobrowolne. Niemniej jednak, przygotowałem dla was zestawienie dokumentów, które moim zdaniem stanowią minimum niezbędne dla skutecznego funkcjonowania systemu.
Pierwszymi dwoma kluczowymi dokumentami wynikającymi z normy ISO 27001 są polityka bezpieczeństwa informacji oraz deklaracja stosowanych zabezpieczeń. Polityka bezpieczeństwa informacji to strategiczny dokument, który określa cele i zamierzenia naszego systemu. Warto go porównać do polityki jakości w systemie zarządzania jakością.
Drugim dokumentem jest deklaracja stosowanych zabezpieczeń. Jest to dokument, który wynika bezpośrednio z opisu zabezpieczeń zawartego w załączniku A do normy ISO 27001. To tutaj identyfikujemy, jakie zabezpieczenia posiadamy w konkretnych obszarach.
Polityki Wspierające Funkcjonowanie
Kolejną grupę dokumentów stanowią polityki wspierające funkcjonowanie systemu. Warto wdrożyć politykę ochrony danych osobowych, wynikającą z wymagań prawnych, politykę kontroli dostępu, która reguluje zasady nadawania, odbierania czy zmiany dostępów, a także politykę dotyczącą urządzeń mobilnych, aby bezpiecznie zarządzać laptopami, tabletami czy smartfonami.
Następnie mamy politykę zabezpieczeń kryptograficznych, obejmującą zabezpieczanie przesyłu informacji. Istotną rolę pełni również polityka czystego biurka i ekranu, które pomaga w zabezpieczeniu informacji zarówno w formie papierowej, jak i cyfrowej.
Procedury i Instrukcje
Ważną grupę stanowią procedury i instrukcje, w tym procedury audytów wewnętrznych, nadzoru nad dokumentami, działań korygujących, postępowania z incydentami, zarządzania nośnikami wymiennymi, czy procedura bezpiecznego logowania.
Udokumentowane Informacje Systemowe
Ostatnią grupę dokumentów, którą warto wdrożyć, są plany ciągłości działania. Podzielone na obszary informatyczny, fizyczny i personalny, pomagają przygotować się na różne scenariusze awaryjne, od problemów z systemami po brak dostępu do zasobów czy destabilizację obsługi kadrowej.
Pamiętaj, że dokumenty te mogą być dostosowane do specyfiki danej organizacji, ale ich wprowadzenie jest kluczowe dla efektywnego funkcjonowania systemu zarządzania bezpieczeństwem informacji. Jeśli jesteś zainteresowany zagadnieniami związanymi z bezpieczeństwem informacji, cyberbezpieczeństwem czy audytami systemów, zapraszam do subskrypcji naszego kanału. [KLIKNIJ, BY ZOBACZYĆ NASZ KANAŁ YOUTUBE]
Głodna/y wiedzy? Już teraz możesz pobrać darmowy e-book
