Polityka bezpieczeństwa, to strategiczny dokument firmy, który warunkuje możliwość efektywnego i całościowego zarządzania bezpieczeństwem informacji. Jest niezbędna do zapewnienia niezagrożonego, ciągłego działania systemów IT.
Polityka bezpieczeństwa, to strategiczny dokument firmy, który warunkuje możliwość efektywnego i całościowego zarządzania w niej bezpieczeństwem informacji. Zawiera spisane cele, strategie i działania, które określają, w jaki sposób aktywa systemu informacyjnego są zarządzane, chronione i rozpowszechniane w organizacji i jej systemach IT. Ułatwia zrozumienie przez pracowników czemu służą procedury bezpieczeństwa, a tym samym podnosi ich świadomość w zakresie zagrożeń i związanego z nimi ryzyka.
Kto za co odpowiada
O bezpieczeństwo informacji w firmie powinni zadbać przede wszystkim członkowie zarządu i menedżerowie poszczególnych jednostek organizacyjnych przy współpracy z ekspertami z działu IT. Dobrze, jeśli w firmie można utworzyć stanowisko oficera ds. bezpieczeństwa, czy dedykować podobnym zadaniom kilkuosobowy zespół. Zazwyczaj jednak, w przedsiębiorstwach średniej wielkości, security IT podlega administratorowi systemów IT.
Od czego zacząć
Przymierzając się do stworzenia polityki bezpieczeństwa informacji w firmie, na początek warto zapoznać się normą ISO/IEC 27001, która obejmuje specyfikację systemów zarządzania bezpieczeństwem informacji (SZBI). Wyróżniono w niej i opisano 11 kluczowych obszarów. W każdym ujęciu polityka bezpieczeństwa IT powinna uwzględniać: podsystem ochrony teleinformatycznej, fizycznej i środowiska, bezpieczeństwo osobowe, zgodność z aktami prawnymi i normatywnymi mającymi wpływ na przebieg funkcjonowania procesów biznesowych oraz podsystem zarządzania bezpieczeństwem.
Zgodnie z normą PN-I-13335-1:1999 do najistotniejszych procesów wchodzących w skład procesu zarządzania bezpieczeństwem systemów informatycznych zalicza się: zarządzanie konfiguracją, zarządzanie zmianami oraz zarządzanie ryzykiem.
Zasady polityki bezpieczeństwa IT
Co istotne, polityka bezpieczeństwa powinna być dokumentem spisanym oraz znanym i zrozumianym przez wszystkich pracowników firmy, którzy korzystają z jej zasobów informatycznych. Wymóg ten dotyczy także klientów organizacji oraz partnerów biznesowych, jeżeli także są użytkownikami firmowych zasobów IT.