Trzy kluczowe atrybuty informacji związane z jej bezpieczeństwem, to równocześnie:
- tajność (ang. confidentiality) – termin ten oznacza, że dostęp do określonych danych i informacji w firmie posiadają wyłącznie uprawnione osoby;
- integralność (ang. integrity) – dane i informacje powinny być poprawne, nienaruszone i nie poddane manipulacji;
- dostępność (ang. availability) – określenie to charakteryzuje system informatyczny w firmie i oznacza dostępność danych, procesów i aplikacji zgodnie z wymaganiami użytkowników.
Aby zadbać o bezpieczeństwo informacji w firmie, należy stworzyć politykę bezpieczeństwa IT oraz wprowadzić ją w firmie w czterech krokach. Są to kolejno: planowanie, wdrożenie, monitorowanie + ocena oraz utrzymanie + doskonalenie. Poniżej skupimy się na ostatnich dwóch (krok pierwszy i drugi zostały opisane tutaj).
Monitorowanie i ocena
To jedna z ważniejszych faz procesu zabezpieczania informacji w firmie. Obejmuje m.in.: testowanie poprawności działania zaimplementowanych ochronnych środków sprzętowych i programowych oraz środków ochrony technicznej i fizycznej; sprawdzenie poprawności integracji w/w środków z systemem informatycznym za pomocą testów scalania i testów regresyjnych; sprawdzenie poprawności wdrożenia organizacyjnych środków ochrony; sprawdzenie odporności personelu na ataki socjotechniczne; sprawdzenie współdziałania w/w środków i personelu w celu ochrony informacji (przetwarzanej, przechowywanej i przesyłanej w chronionym systemie); audyty bezpieczeństwa (np. bazujące na testach penetracyjnych).