Polityka bezpieczeństwa informacji w firmie

Informacja to dziś jedna z najbardziej pożądanych rzeczy. Dostęp do niej daje możliwość rozwoju, stąd nic dziwnego, że firmy tak pilnie jej strzegą. Pomaga w tym polityka bezpieczeństwa informacji, określając zasady ich pozyskiwania, przetwarzania i udostępniania. Sprawdź, jak ją opracować.

Czym jest polityka bezpieczeństwa informacji?

Polityka bezpieczeństwa informacji (PBI) to zbiór reguł, zgodnie z którymi przedsiębiorstwo zarządza informacjami. Określa, na jakich zasadach w firmie pozyskuje się, przetwarza i udostępnia dane. Dobrze opracowana polityka bezpieczeństwa informacji spełnia trzy podstawowe funkcje:

• funkcja informacyjna – opracowanie dokumentu jest komunikatem dla pracowników, kontrahentów i osób współpracujących. Zapewnia o wdrożeniu procedur, które mają na celu ochronę danych,
• funkcja dostosowawcza – zapewnia zgodność pozyskiwania, przetwarzania, archiwizowania i utylizowania danych z obowiązującymi przepisami,
• funkcja prewencyjna – chroni przed działaniami, których celem jest bezprawne pozyskanie lub wykorzystanie danych.

Jak zadbać o bezpieczeństwo informacji w firmie?

Polityka bezpieczeństwa informacji w firmie nie może być wyłącznie martwą literą prawa. Aby spełniała swoją rolę, należy opracować ją, mając na uwadze specyfikę przetwarzanych informacji. W tym celu musimy przejść przez 3 etapy:

• audyt wstępny – określa, z jakiego typu informacjami mamy do czynienia, kto ma do nich dostęp, jakie zabezpieczenia dotychczas wdrożono. Rzetelny audyt pozwala wyszczególnić słabe punkty, które firma powinna dopracować,
• wdrożenie zmian – na tym etapie tworzymy procedury, opracowujemy też rozwiązania na wypadek zagrożenia,
• szkolenie pracowników – pracownicy powinni być przeszkoleni w zakresie nowych rozwiązań; muszą też wiedzieć, jak będą funkcjonowały w praktyce.

Opracowanie polityki bezpieczeństwa informacji najczęściej wiąże się z wprowadzeniem pewnych zmian, na przykład w zakresie ulepszenia systemów ochrony. Pozwala także nadawać uprawnienia pracownikom tylko wtedy, gdy jest to konieczne. 

Jak chronić informacje poufne w firmie?

Bezpieczeństwo w firmie dotyczy najczęściej danych poufnych, których wyciek może wiązać się ze znacznymi stratami. W tym miejscu trzeba jednak rozgraniczyć dwie kwestie. Pierwsza dotyczy danych chronionych prawnie, co do których mają zastosowanie konkretne przepisy. Na przykład w przypadku danych osobowych będzie to Rozporządzenie o ochronie danych osobowych (RODO). Druga kwestia dotyczy danych kluczowych z punktu widzenia przedsiębiorstwa, które należy chronić ze względu na ich wartość. W pierwszym przypadku musimy ściśle przestrzegać przepisów, w drugim natomiast nie jesteśmy nimi ograniczeni. Z drugiej strony, im silniejsze zabezpieczenia zapewnimy zarówno w jednej, jak i w drugiej kategorii, tym mniejsze ryzyko ponosimy.

Co zawiera przykładowa polityka bezpieczeństwa informacji?

Aby chronić informacje poufne w firmie, należy opracować, a następnie wdrożyć odpowiednie procedury. Przykładowa polityka bezpieczeństwa informacji powinna zawierać:

• definicję bezpieczeństwa – z jednoczesnym wyszczególnieniem rodzaju chronionych informacji,
• zasady ograniczania dostępu – kto i w jakich sytuacjach może uzyskać dostęp do dokumentów,
• zasady dotyczące wykorzystania haseł – sposobu ich nadawania i częstotliwości zmian,
• zabezpieczenia nośników danych – w kontekście zarówno dokumentów papierowych, jak i elektronicznych,
• zakres odpowiedzialności pracowników za dane poufne – przy czym dodatkowe regulacje w tym zakresie można zawrzeć w umowie o pracę,
• zasady dotyczące monitoringu bezpieczeństwa – zwłaszcza w zakresie infrastruktury firmowej,
• zasady transportowania danych – w jaki sposób informacje mogą być przekazywane pracownikom i osobom trzecim. Zasady te dotyczą również zewnętrznej archiwizacji,
• zasady korzystania z dokumentu – punkt ten określa, w jaki sposób pracownicy mogą korzystać z polityki bezpieczeństwa informacji.

System zarządzania bezpieczeństwem informacji w firmie musi być szczelny, dlatego w dokumencie nie można pominąć żadnych istotnych kwestii. Warto opracować go we współpracy z prawnikami, informatykami i osobami, które zajmują się bezpieczeństwem danych.

Polityka bezpieczeństwa informacji – o czym warto pamiętać?

Sporządzenie polityki bezpieczeństwa informacji w firmie to pierwszy krok do zwiększenia ochrony danych, a tym samym zabezpieczenia ich przed wyciekiem. Bardzo ważne jest jednak wdrożenie wprowadzonych w dokumencie zmian, tak aby nie był on wyłącznie pustym zarządzeniem. Warto też pamiętać o okresowych audytach zarówno w kontekście aktualności rozwiązań, jak i ich funkcjonowania. Dzięki temu w porę można wychwycić nieprawidłowości i wdrożyć działania naprawcze. 

Obecnie liczne aplikacje i narzędzia wspomagają realizację polityki bezpieczeństwa. Korzystanie z nich nie tylko zwiększa poziom ochrony, ale też ułatwia pracę. Z drugiej strony, ich użytkowanie niejako wymusza rynek. Na przykład księgowości nikt już nie prowadzi odręcznie, a za pomocą specjalistycznych systemów. Warto wybrać takie, które wpisują się w charakter organizacji i informacji, jakie przetwarza.