30 . 11 . 2017
Bezpieczeństwo Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA
30 . 11 . 2017
W poprzednich wpisach przybliżyliśmy Wam ideę międzynarodowej normy ISO 27001 wdrożonej przez naszą firmę (więcej informacji TUTAJ), pisaliśmy też o ostatnim wewnętrznym audycie FORDATA, który miał miejsce w 1 kw. 2017 r. (więcej informacji TUTAJ). W dzisiejszej odsłonie cyklu artykułów dot. ISO, podejdziemy do tematu praktycznie – opowiemy po krótce jak wdrożyliśmy normę ISO w naszej organizacji oraz wyjaśnimy dlaczego ten aspekt działalności jest dla nas kluczowy.
Informacja jest zasobem posiadającym swoją wartość i podlega ochronie niezależnie od formy przetwarzania. To od niej zależy zachowanie pozycji konkurencyjnej firmy na rynku, płynności finansowej i jej zyskowności. To jak firma obchodzi się z informacją często ma też wpływ na zachowanie bądź utratę jej dobrej reputacji. To właśnie informacja jest przedmiotem zainteresowania normy ISO/IEC 27 001. Norma wskazuje w jaki sposób zbudować System Zarządzania Bezpieczeństwem Informacji (SZBI) oraz jak go należy utrzymywać, doskonalić i adaptować do zmieniającego się otoczenia biznesowego.
Klasyfikacja informacji
Punktem wyjścia dla SZBI jest klasyfikacja informacji. Norma ISO zaleca utworzenie co najmniej trzech grup informacji, w których zebrane są informacje o podobnych wymaganiach związanych z bezpieczeństwem. Do określenia poziomu bezpieczeństwa danej grupy, przyjmuje się wskaźniki definiujące poufność, integralność oraz dostępność danej grupy informacji, a następnie określa zabezpieczenia, jakie będą stosowane w organizacji dla każdej grupy.
W FORDATA wyznaczyliśmy 3 grupy informacji: 1) informacje stanowiące tajemnicę przedsiębiorstwa (TP), 2) informacje wewnętrzne (IW), 3) informacje jawne (JW). Dla każdej grupy określiliśmy jasne reguły postępowania dla wszystkich pracowników oraz przypisaliśmy do nich właścicieli, odpowiedzialnych za zapewnienie, że informacja otrzymuje ochronę na odpowiednim poziomie. I tak w zależności od grupy, do jakiej należy dana informacja, stosuje się inne zabezpieczenia. Informacje z grupy TP to te stanowiące największą wartość dla firmy. Są nimi np. dane powierzone nam przez klientów, informacje o transakcjach, które prowadzimy, umowy z klientami, ale także kod źródłowy naszego systemu VDR. Muszą one być jasno oznaczone, jeśli elektroniczne – przechowywane w formie zaszyfrowanej, jeśli papierowe – przechowywane w sejfie. Niszczenie następuje zawsze w niszczarce, a w przypadku plików elektronicznych – przy wykorzystaniu narzędzi uniemożliwiających przywrócenie danych (typu „wipe tool”). Jeśli informacja ma zostać skopiowana, czy udostępniona, to tylko za zgodą wyznaczonego w organizacji właściciela zasobu, i musi być przekazana w formie zaszyfrowanej.
Do trwałego usuwania plików korzystamy z narzędzi typu „wipe tool”, a do szyfrowania stosujemy programy klasy GPG oraz programy archiwizujące.
Dokumenty z grupy IW także powinny być chronione, ale nie stosuje się do nich tak rygorystycznych zasad, jak do TP. W FORDATA należą do nich m.in. dokumenty handlowe spółki, dokumentacja finansowa, dokumentacja kadrowa. Różnica w stosunku do TP polega na tym, że informacje z tej grupy nie muszą być oznaczone, nie trzeba ich szyfrować i nie muszą być przechowywane w sejfie (nie można ich jednak zostawić swobodnie na biurku, muszą zostać schowane w szafach zamykanych na klucz). Pozostałe zabezpieczenia są stosowane.
Dokumenty z grupy JW, czyli informacje jawne, jak sama nazwa wskazuje to takie, które swobodnie udostępniamy na zewnątrz, np. publiczne informacje nt. spółki, instrukcje użytkowników systemu VDR, materiały marketingowe.
Organizacja Bezpieczeństwa Informacji w FORDATA
Organizacja Bezpieczeństwa Informacji to drugi punkt wyjściowy normy. Sprowadza się do tego, że każdy kluczowy proces zachodzący w firmie musi zostać uregulowany w procedurach. Każda z nich posiada swojego właściciela, który w ramach doskonalenia SZBI ma za zadanie aktualizować dokument w taki sposób, aby szukać cały czas pola do usprawnień i podnoszenia standardów bezpieczeństwa.
Wśród procesów biznesowych FORDATA, które zostały objęte Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) znajdują się:
- Zarządzanie Systemem Virtual Data Room (VD),
- Zarządzanie zasobami ludzkimi (ZL),
- Zarządzanie bezpieczeństwem informacji (ZB),
- Obsługa Klienta (OK),
- Proces sprzedaży (SP),
- Zarządzanie ciągłością działania (CD),
- Zarządzanie i doskonalenie SZBI (SZ).
Każdy obszar obejmuje kilka do kilkunastu procedur, które określają jasne reguły postępowania. W kolejnych wpisach przybliżymy Wam wybrane zasady, którymi się kierujemy, w tym w związku z nabierającą na znaczeniu tematyką ochrony danych osobowych, te dotyczące Polityki bezpieczeństwa danych osobowych.
Dlaczego informacja jest szczególnie cenna?
To informacje, a nie zdarzenia których dotyczy zmieniają rzeczywistość gospodarczą. Ich wartość jest nie do przecenienia, bowiem to one decydują o sukcesach i porażkach organizacji. Konsekwencje jej niekontrolowanego ujawnienia mogą być bardzo dotkliwe. Wystarczy wspomnieć o informacji poufnej, jak: dokumentacja technologiczna, dane osobowe pracowników, dane Klientów bądź kontrahentów (w tym dane finansowe). Na szczęście mamy normę ISO, która wymusza przestrzeganie ustalonych procedur działania, a zespół FORDATA jest doskonale przeszkolony od strony technicznej i merytorycznej.
Podsumowanie
W dzisiejszych czasach globalizacja wymusza przetwarzanie coraz to większej ilości danych coraz częściej mamy też do czynienia z Big Data. Dlatego diametralnie ważne jest właściwe zabezpieczenie infrastruktury IT organizacji wraz z ustanowieniem odpowiednich procedur i zasad postępowania w celu zapeweia Bezpieczeństwa Informacji. Dla FORDATA informacja ma kluczowy aspekt biznesowy, a poprzez wdrożenie SZBI, stale podnosimy poziom bezpieczeństwa przetwarzania informacji w firmie, budując tym samym wiarygodność i zaufanie naszych Klientów.
Konsultacja: Pełnomocnik ds. Bezpieczeństwa FORDATA
Podobał Ci się artykuł?
Ile głów, tyle pomysłów. Właśnie dlatego każdy z nas dokłada swoją cegiełkę, by zamieszczone treści na naszym blogu były dla Ciebie atrakcyjne i niosły wartość. Odkryj źródło wiedzy i inspiracji dla Twojego biznesu z Fordata.
Chcesz wymienić się wiedzą, podyskutować, zadać pytanie?
Napisz do mnie : #FORDATAteam strona otworzy się w nowym oknie
Podniesienie jakości i zaufania partnerów zewnętrznych. Wykorzystaj VDR w procesach transakcyjnych.
Sprawdź ofertę Sprawdź ofertę-
01 . Seryjne przejęcia M&A w pigułce - dobre praktyki i technologia
Zarówno seryjne, jak i pojedyncze procesy buy side M&A odgrywają istotną rolę w strategiach rozwoju firm. Jednak różnią się one celem, skalą i podejściem, co determinuje ich znaczenie dla firmy.
15.07.2024
-
02 . Wywiad: Ruszył nabór do programu EPC Plus - jednostki samorządu terytorialnego mają czas do sierpnia
Nabór do projektu „Renowacja z gwarancją oszczędności EPC Plus” trwa od 29 stycznia do 30 sierpnia 2024 r. Wywiad z dr. Rafałem Cieślak, radcą prawnym specjalizującym się w projektach EPC i PPP.
13.02.2024
-
03 . Bezpieczna alternatywa dla Dropboxa do Due Diligence
„Po co mam płacić za VDR, skoro mogę użyć Dropbox”– to pytanie czasem pada z ust naszych klientów. Odpowiedź…
26.01.2024
-
04 . Transformacje i wyzwania: europejski fintech w 2023 roku
Europejski ekosystem Fintech, niegdyś charakteryzujący się szybkim wzrostem i licznymi inwestycjami, doświadczył znaczących zmian i wyzwań w 2023 roku. Gdzie obecnie znajduje się sektor? Jaki wpływ ma środowisko inwestycyjne? Jakie są widoczne trendy?
16.11.2023
-
05 . Partnerstwo Publiczno-Prywatne (PPP) w Polsce
Partnerstwo Publiczno-Prywatne (PPP) – optymalizacja wydatków budżetowych i efektywna współpraca między sektorem publicznym a prywatnym. Poznaj korzyści i kluczowe elementy wspólnych projektów PPP.
09.11.2023
-
06 . Branża energetyczna 2023: Virtual Data Room w transakcjach M&A
Sytuacja w branży energetycznej w Polsce i w Europie Środkowo-Wschodniej dynamicznie się zmienia. Inwestycje w odnawialne źródła energii – jak wyglądają?
06.06.2023
-
07 . Po co VDR w procesie Due Diligence?
Procesy fuzji i przejęć stanowią stały element świata gospodarczego. Ich celem jest osiągnięcie korzyści str…
27.05.2023
-
08 . Jakie dokumenty można załadować do systemu VDR?
Virtual Data Room to świetna alternatywa dla programów typu Dropbox i Google Drive, szczególnie gdy w grę..
13.03.2023
-
09 . Co to jest i na czym polega audyt w firmie?
Bywa nieunikniony i często wzbudza nieracjonalny strach. W rzeczywistości jest doskonałą okazją, by…
09.02.2023
-
10 . Venture Capital a Private Equity. Różnice między funduszami.
Jakie są główne różnice pomiędzy funduszami Private Equity i Venture Capital? Przekazujemy w pigułce najważniejsze cechy obu z nich.
15.06.2022
-
11 . Fundraising - jak pozyskać finansowanie z narzędziem VDR?
Pozyskiwanie finansowania to proces wymagający właściwego planowania w oparciu o aktualne warunki ek…
26.05.2022
-
12 . Kogo i do czego zobowiązuje DORA?
Rozporządzenie DORA to kolejny krok UE w stronę operacyjnej odporności na zagrożenia cyfrowe podmiotów sektora finansowego. Kogo dotyczy?
19.05.2022
-
13 . Bezpieczne udostępnianie dokumentów firmowych. Poradnik dla właścicieli firm.
Jak udostępniać dokumenty firmowe bezpiecznie? Udostępnianie plików w wirtualnym pokoju danych to sposób na lepszy workflow oraz wizerunek.
15.04.2022
-
14 . Jak usprawnić obieg dokumentów w firmie - 5 zasad
Biurka załadowane segregatorami i zabiegani pracownicy z tekturowymi folderami w rękach – to już kl…
25.11.2021
-
15 . FORDATA a wymagania KNF - jak działamy?
Komunikat KNF do podmiotów nadzorowanych, chmura publiczna i hybrydowa – jak FORDATA spełnia wymagania KNFu? Czy spełniasz wytyczne?
02.11.2020
-
16 . Plan ciągłości działania - dlaczego firma powinna go mieć?
Pandemia uświadomiła wielu firmom, że chociaż nie da się przewidzieć wszystkich czarnych scenariuszy, posia…
25.06.2020
-
17 . Czy załączniki w twoim emailu są bezpieczne?
Współczesne biuro nie potrafi funkcjonować bez poczty email. Według firmy Radicati Group, statystyczny pra…
02.03.2020
-
18 . Zaczernianie tekstu w dokumentach PDF - jak robić to dobrze?
Anonimizacja anonimizacji nierówna – może się okazać, że zaczernienie tekstu w naszym dokumencie, które na pi…
27.02.2020
-
19 . 5 porad dla startupu od FORDATA – od czego zacząć?
Porady dla startupu, od startupu. Jak zacząć? Na co zwrócić uwagę? Opieramy się na własnych doświadczeniach.
19.11.2019
-
20 . VDR - wygodna alternatywa dla serwerów FTP
Serwer FTP nawet dzisiaj jest popularną metoda przesyłania plików. Z jego pomocą możemy szybko podzielić się w…
18.09.2019
-
21 . VDR jako Legal Tech - Elastyczne oprogramowanie dla prawników
Termin legal tech w ciągu ostatnich lat zyskał w Polsce bardzo dużą popularność. Dzieje się tak ze względu na sze…
12.09.2019
-
22 . Fałszywe porównywarki Virtual Data Room – jak je rozpoznać?
Fałszywe porównywarki oprogramowania to problem również branży Virtual Data Room. Jakie cechy mówią, że serwis rankingowy to zwyczajny fejk? Sprawdźcie!
14.08.2019
-
23 . Przechowywanie danych w chmurze, a bezpieczeństwo plików
Wydaje się, że sieć już spowszedniała. Ogrom dedykowanych usług, coraz szybsze transfery i wzrastająca mobil…
31.07.2019
-
24 . Etapy badania Due Diligence – sprzedaż biznesu krok po kroku
Każda dobra decyzja inwestycyjna opiera się na solidnej wiedzy na temat danego przedsiębiorstwa i pr…
25.06.2019
-
25 . Badanie Due Diligence spółki - na czym polega i jak przebiega proces?
Wyjaśniamy czym jest oraz jak przebiega badanie Due Diligence. Sprawdź jak rozwiązania VDR mogą pomóc w procesie badania spółki.
18.06.2019
-
26 . Audyt Due diligence z wykorzystaniem Virtual Data Room czyli bezpieczeństwo w Twojej firmie
Każda firma wraz ze swoim rozwojem dochodzi do etapu, kiedy kontrole w postaci audytów (np. finansowych, po…
14.01.2019
-
27 . Własność intelektualna w Life Science, a ochrona poufnych informacji
Life Science jest pojęciem szerokim i w biznesie obejmuje przedsiębiorstwa, których główna działalność…
16.11.2018
-
28 . Etapy projektu z wykorzystaniem Virtual Data Room
Ciekawi jesteście, w jaki sposób przebiega projekt VDR w firmie FORDATA? Co nasz fantastyczny Dział…
22.10.2018
-
29 . Jak sprzedać pakiety wierzytelności w Data Room?
Odkryj skuteczne strategie sprzedaży pakietów wierzytelności dzięki wykorzystaniu Data Room – dowiedz się, jak osiągnąć sukces w sprzedaży dłużnych aktywów.
18.10.2018
-
30 . Fantastyczny Dział OK - przewaga konkurencyjna FORDATA
W FORDATA jesteśmy ponadprzeciętnie elastyczni i skupieni na potrzebach naszych klientów. Możesz zlecić nam szereg zadań…
06.12.2017
-
31 . Co to jest Virtual Data Room czyli wszystko co powinieneś wiedzieć
Co to jest Virtual Data Room? Jak korzystać z systemu, który pozwala na efektywniejsze przeprowadzenie transakcji fuzji i przejęć?
25.10.2017
-
32 . ISO 27001:2013 audyt recertyfikacji bieżącej rejestracji
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie
20.07.2017
-
33 . Przekazujesz dane osobowe do chmury?
Zobowiązanie RODO powinniśmy mieć zawsze z tyłu głowy. Jak zadbać o jego przestrzeganie i wybrać odpowiedniego dostawcę chmury?
24.02.2017
-
34 . Gwarancja bezpieczeństwa dla klientów ISO 27001:2013
FORDATA, od momentu podjęcia swojej działalności, dąży do zagwarantowania jak najwyższej ochrony danych powierzanych przez klientów.
13.01.2017
-
35 . Standard GPG, czyli o bezpiecznym szyfrowaniu
Rozwój technologii niesie ze sobą coraz większe zagrożenia związane z bezpieczeństwem informacji. Ochrona poufnych danych przed tzw. wyciekiem dotyczy już każdej firmy, która ceni bezpieczeństwo informacji.
13.07.2016
-
36 . Powstał Kodeks Dobrych Praktyk Restrukturyzacji
Kodeks Dobrych Praktyk Restrukturyzacji powstał w ramach drugiej edycji kampanii: „For better data flow – praktykuj efektywne transakcje”.
16.06.2016
-
37 . BYOD jako nowe wyzwanie dla działów bezpieczeństwa firm
Wykorzystywanie prywatnych urządzeń podczas wykonywania obowiązków zawodowych powoli staje się regułą, która nie dziwi. W jakim kierunku zmierzać będzie trend BYOD?
15.02.2016
-
38 . Popieramy Kodeks Dobrych Praktyk Transakcyjnych
Wskazówki Kodeksu dobrych praktyk transakcyjnych dotyczą̨ transakcji fuzji i przejęć́, partnerstwa publiczno-prywatnego, restrukturyzacji, debiutu giełdowego, emisji obligacji oraz pozyskiwania inwestora.
10.11.2015
-
39 . Vendor Due Diligence - wartość przygotowania się do negocjacji
Jak właściciele spółki powinni przygotować się do negocjacji, by wynieść jak najwięcej korzyści ze sprzedaży własnego podmiotu? Korzyści z przeprowadzenia Vendor Due Diligence
09.11.2015
-
40 . Seed capital jako szansa dla rozwoju innowacyjności w Polsce?
Fundusze Seed Capital inwestują przede wszystkim niewielkie kwoty w projekty będące w początkowej fazie realizacji.
21.01.2014
-
41 . Przygotowanie spółki do debiutu giełdowego
Wiele spośród dobrze prosperujących firm decyduje się pozyskać środki finansowe na dalszy rozwój na giełdzie papierów wartościowych. Gdzie szukać zainteresowanych?
07.10.2013