Bezpieczeństwo Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA

W poprzednich wpisach przybliżyliśmy Wam ideę międzynarodowej normy ISO 27001 wdrożonej przez naszą firmę (więcej informacji TUTAJ), pisaliśmy też o ostatnim wewnętrznym audycie FORDATA, który miał miejsce w 1 kw. 2017 r. (więcej informacji TUTAJ). W dzisiejszej odsłonie cyklu artykułów dot. ISO, podejdziemy do tematu praktycznie – opowiemy po krótce jak wdrożyliśmy normę ISO w naszej organizacji oraz wyjaśnimy dlaczego ten aspekt działalności jest dla nas kluczowy.

Informacja jest zasobem posiadającym swoją wartość i podlega ochronie niezależnie od formy przetwarzania. To od niej zależy zachowanie pozycji konkurencyjnej firmy na rynku, płynności finansowej i jej zyskowności. To jak firma obchodzi się z informacją często ma też wpływ na zachowanie bądź utratę jej dobrej reputacji. To właśnie informacja jest przedmiotem zainteresowania normy ISO/IEC 27 001. Norma wskazuje w jaki sposób zbudować System Zarządzania Bezpieczeństwem Informacji (SZBI) oraz jak go należy utrzymywać, doskonalić i adaptować do zmieniającego się otoczenia biznesowego.

Punktem wyjścia dla SZBI jest klasyfikacja informacji. Norma ISO zaleca utworzenie co najmniej trzech grup informacji, w których zebrane są informacje o podobnych wymaganiach związanych z bezpieczeństwem. Do określenia poziomu bezpieczeństwa danej grupy, przyjmuje się wskaźniki definiujące poufność, integralność oraz dostępność danej grupy informacji, a następnie określa zabezpieczenia, jakie będą stosowane w organizacji dla każdej grupy.

W FORDATA wyznaczyliśmy 3 grupy informacji: 1) informacje stanowiące tajemnicę przedsiębiorstwa (TP), 2) informacje wewnętrzne (IW), 3) informacje jawne (JW). Dla każdej grupy określiliśmy jasne reguły postępowania dla wszystkich pracowników oraz przypisaliśmy do nich właścicieli, odpowiedzialnych za zapewnienie, że informacja otrzymuje ochronę na odpowiednim poziomie. I tak w zależności od grupy, do jakiej należy dana informacja, stosuje się inne zabezpieczenia. Informacje z grupy TP to te stanowiące największą wartość dla firmy. Są nimi np. dane powierzone nam przez klientów, informacje o transakcjach, które prowadzimy, umowy z klientami, ale także kod źródłowy naszego systemu VDR. Muszą one być jasno oznaczone, jeśli elektroniczne – przechowywane w formie zaszyfrowanej, jeśli papierowe – przechowywane w sejfie. Niszczenie następuje zawsze w niszczarce, a w przypadku plików elektronicznych – przy wykorzystaniu narzędzi uniemożliwiających przywrócenie danych (typu „wipe tool”). Jeśli informacja ma zostać skopiowana, czy udostępniona, to tylko za zgodą wyznaczonego w organizacji właściciela zasobu, i musi być przekazana w formie zaszyfrowanej.

Do trwałego usuwania plików korzystamy z narzędzi typu „wipe tool”, a do szyfrowania stosujemy programy klasy GPG oraz programy archiwizujące.

Dokumenty z grupy IW także powinny być chronione, ale nie stosuje się do nich tak rygorystycznych zasad, jak do TP. W FORDATA należą do nich m.in. dokumenty handlowe spółki, dokumentacja finansowa, dokumentacja kadrowa. Różnica w stosunku do TP polega na tym, że informacje z tej grupy nie muszą być oznaczone, nie trzeba ich szyfrować i nie muszą być przechowywane w sejfie (nie można ich jednak zostawić swobodnie na biurku, muszą zostać schowane w szafach zamykanych na klucz). Pozostałe zabezpieczenia są stosowane.

Dokumenty z grupy JW, czyli informacje jawne, jak sama nazwa wskazuje to takie, które swobodnie udostępniamy na zewnątrz, np. publiczne informacje nt. spółki, instrukcje użytkowników systemu VDR, materiały marketingowe.

Organizacja Bezpieczeństwa Informacji to drugi punkt wyjściowy normy. Sprowadza się do tego, że każdy kluczowy proces zachodzący w firmie musi zostać uregulowany w procedurach. Każda z nich posiada swojego właściciela, który w ramach doskonalenia SZBI ma za zadanie aktualizować dokument w taki sposób, aby szukać cały czas pola do usprawnień i podnoszenia standardów bezpieczeństwa.

Wśród procesów biznesowych FORDATA, które zostały objęte Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) znajdują się:

• Zarządzanie Systemem Virtual Data Room (VD),
• Zarządzanie zasobami ludzkimi (ZL),
• Zarządzanie bezpieczeństwem informacji (ZB),
• Obsługa Klienta (OK),
• Proces sprzedaży (SP),
• Zarządzanie ciągłością działania (CD),
• Zarządzanie i doskonalenie SZBI (SZ).

Każdy obszar obejmuje kilka do kilkunastu procedur, które określają jasne reguły postępowania. W kolejnych wpisach przybliżymy Wam wybrane zasady, którymi się kierujemy, w tym w związku z nabierającą na znaczeniu tematyką ochrony danych osobowych, te dotyczące Polityki bezpieczeństwa danych osobowych.

To informacje, a nie zdarzenia których dotyczy zmieniają rzeczywistość gospodarczą. Ich wartość jest nie do przecenienia, bowiem to one decydują o sukcesach i porażkach organizacji. Konsekwencje jej niekontrolowanego ujawnienia mogą być bardzo dotkliwe. Wystarczy wspomnieć o informacji poufnej, jak: dokumentacja technologiczna, dane osobowe pracowników, dane Klientów bądź kontrahentów (w tym dane finansowe). Na szczęście mamy normę ISO, która wymusza przestrzeganie ustalonych procedur działania, a zespół FORDATA jest doskonale przeszkolony od strony technicznej i merytorycznej.

W dzisiejszych czasach globalizacja wymusza przetwarzanie coraz to większej ilości danych coraz częściej mamy też do czynienia z Big Data. Dlatego diametralnie ważne jest właściwe zabezpieczenie infrastruktury IT organizacji wraz z ustanowieniem odpowiednich procedur i zasad postępowania w celu zapeweia Bezpieczeństwa Informacji. Dla FORDATA informacja ma kluczowy aspekt biznesowy, a poprzez wdrożenie SZBI, stale podnosimy poziom bezpieczeństwa przetwarzania informacji w firmie, budując tym samym wiarygodność i zaufanie naszych Klientów.

Konsultacja: Pełnomocnik ds. Bezpieczeństwa FORDATA