CIS - SZBI w praktyce: Skupić się na sprawach zasadniczych

CIS - MIĘDZYNARODOWA JEDNOSTKA CERTYFIKUJĄCA SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Aby otrzymywać najnowsze informacje o naszych szkoleniach, imprezach i konferencjach dołącz do naszej listy mailingowej:

Aktualności

Plan Szkoleń - 2011 !!!
Menadżer i Auditor ISO 27001- Szkolenie odnawiające certyfikat - TERMIN: 12-13 KWIECIEŃ 2011

Intranet

SZBI w praktyce: "Skupić się na sprawach zasadniczych"

robert jamnik Komentarz Roberta Jamnika, Menadżera Bezpieczeństwa Informacji w Kommunalkredit.

Jednym z głównych zadań systemów zarządzania informacją powinno być zapewnienie, że aktywa firmowe są utrzymywane w zgodzie z ISO 27001. Nawet z dużą dozą świadomości i wsparcia ze strony kierownictwa, w praktyce jest jasne, że zasoby są ograniczone i należy rozważnie je wykorzystywać. Ze względu na standardy serii 2700x w grę wchodzi wiele wymagań regulacyjnych, możliwości i pomysłów. To wszystko, razem z zachowaniem wysokiej jakości, powinno zmierzać do stworzenia struktury, która z założenia jest narażona na potencjalne zagrożenia. Dzięki istotnym danym wejściowym, takim jak stale aktualizowane szacowanie ryzyka i jego analiza, wykorzystywanym na akceptowalnym poziomie, możliwe jest wdrożenie środków i uzyskanie wiedzy na temat ich jakości, a także określenie ich poszczególnych celów.

Nasze doświadczenie pokazało, że oddzielne podnoszenie jakości poszczególnych elementów (lepsze szkolenia, usprawnienia technologiczne, lepszy monitoring, dokumentacja, zarządzanie jakością) prowadziło do powstania innych elementów w "Katalogu" domniemanych działań dużej wagi, co przynosiło ogólne straty. W efekcie okazywały się one mniej niezbędne. Nasza wiedza praktyczna skupiła się więc na poszczególnych sprawach zasadniczych. To zaprowadziło nas do wyraźniejszych, prostszych i bardziej wydajanych struktur. Ogólny poziom jakości jest prostszy i bardziej oszczędny ponieważ skupia się na tych elementach, które są istotne z punktu widzenia aktualnego ryzyka przedsiębiorstwa. Na przykład, w Kommunalkredit w obszarze zarządzania uprawnieniami zostały podjęte znaczące działania odnośnie poszczególnych procesów, dzięki czemu można je właściwie dokumentować i monitorować. Zmianom uległa także natura i zawartość dokumentacji. Po pierwsze, wymagania dotyczące dokumantacji zostały zautomatyzowane, z drugiej storny, jej objętość została ograniczona dzięki stworzeniu przejrzystości i sprecycowania, jakim osobom dokumentacja będzie najbardziej przydatna. Dokumentacja dla ekspertów stworzona przez ekspertów jest generalnie bardziej efektywna i łatwiejsza do przygotowania, utrzymania i wymagania, a także pomocna dla wszystkich.

Dzięki rozpozaniu działań o zbędnym charakterze i skupieniu się na elementach najbardziej istotnych nasz system bezpieczeństwa informacji jest ustanowiony w taki sposób, aby mógł być wykorzystywany jak najefektywniej.

Robert Jamnik był kierownikiem projektu certyfikacji ISO 27001 w Kommunalkredit. Strategiczną wiedzę na temat pierwszych kroków stworzenia SZBI uzyskał podczas międzynarodowo akredytowanego szkolenia Menadżer Bezpieczeństwa Informacji jednostki CIS. Obecnie pracuje jako menadżer ds. bezpieczeństwa i sytuacji awaryjnych w Kommunalkredit Austria.