przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce

System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

W dobie cyfrowej transformacji informacja stała się jednym z kluczowych aktywów przedsiębiorstw, porównywalnym pod względem wartości z kapitałem finansowym czy rzeczowym. Wraz ze wzrostem znaczenia danych rośnie jednak ryzyko ich utraty, kradzieży lub uszkodzenia. Skuteczny System Zarządzania Bezpieczeństwem Informacji (SZBI) stanowi nie tylko narzędzie ochrony danych, ale również mechanizm realizacji strategicznych celów biznesowych – zapewnienia ciągłości działania, ograniczania strat finansowych i reputacyjnych oraz zwiększania efektywności operacyjnej. 

Współcześnie jego znaczenie wykracza jednak poza aspekt organizacyjny i techniczny, stając się także kluczowym wymogiem prawnym. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) nakłada bowiem na podmioty objęte tymi przepisami obowiązek wdrożenia i utrzymywania systemów zarządzania bezpieczeństwem informacji.

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

System Zarządzania Bezpieczeństwem Informacji (SZBI) to ustrukturyzowany zbiór zasad, procedur i mechanizmów organizacyjnych, których celem jest zapewnienie ochrony informacji przed utratą, nieuprawnionym dostępem, modyfikacją lub zniszczeniem. Fundamentem jego budowy jest norma ISO/IEC 27001:2022, stanowiąca międzynarodowy standard określający wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI. Dostęp do całego dokumentu jest płatny – można go nabyć na stronie: www.iso.org. 

Norma ta jest globalnie uznanym wzorcem zarządzania bezpieczeństwem informacji, zapewniającym organizacjom, niezależnie od ich wielkości, branży czy stopnia dojrzałości, spójne i systematyczne podejście do ochrony zasobów informacyjnych. Dla sektora małych i średnich przedsiębiorstw (MŚP) stanowi ona elastyczne ramy dobrych praktyk, które można skalować i dostosowywać do specyfiki działalności oraz dostępnych zasobów.

Fundamentem ISO/IEC 27001:2022 jest zapewnienie ochrony informacji poprzez utrzymanie w szczególności trzech podstawowych atrybutów, znanych jako triada CIA – Confidentiality, Integrity i Availability (poufność, integralność, dostępność). Te trzy filary stanowią istotę systemowego podejścia do bezpieczeństwa informacji:

  • Poufność (Confidentiality) oznacza zapewnienie dostępu do informacji wyłącznie osobom, systemom i procesom uprawnionym. Realizuje się ją m.in. poprzez mechanizmy kontroli dostępu, szyfrowanie danych czy polityki bezpieczeństwa ograniczające ryzyko nieautoryzowanego ujawnienia informacji.
  • Integralność (Integrity) odnosi się do ochrony dokładności, spójności i wiarygodności danych oraz procesów ich przetwarzania. Utrzymanie integralności wymaga m.in. stosowania podpisów cyfrowych, kontroli wersji i zasad autoryzacji zmian.
  • Dostępność (Availability) gwarantuje możliwość uzyskania dostępu do informacji w momencie, gdy jest ona potrzebna. Zapewnienie dostępności opiera się na rozwiązaniach zwiększających odporność systemów, takich jak kopie zapasowe, redundancja infrastruktury czy plany ciągłości działania.

Założenia normy ISO/IEC 27001:2022

Norma ISO/IEC 27001:2022 opiera się na założeniu, że bezpieczeństwo informacji jest procesem ciągłego doskonalenia i zarządzania ryzykiem, a nie jednorazowym działaniem wdrożeniowym. Kluczowym elementem standardu jest Załącznik A, który zawiera 93 środki kontrolne (kontrole bezpieczeństwa), uporządkowane w 4 główne grupy obejmujące aspekty organizacyjne, personalne, fizyczne i technologiczne.

  1. Zabezpieczenia organizacyjne (A.5)

Obejmują środki związane z zarządzaniem, planowaniem i nadzorem nad bezpieczeństwem informacji w organizacji.
Przykłady:

    • Polityki bezpieczeństwa informacji (A.5.1),
    • Określenie ról i odpowiedzialności w zakresie bezpieczeństwa informacji (A.5.2),
    • Wywiad o zagrożeniach (A.5.7),
    • Uwzględnianie bezpieczeństwa informacji w projektach (A.5.8),
    • Przygotowanie infrastruktury ICT na potrzeby ciągłości działania (A.5.30);

  1. Zabezpieczenia osobowe (A.6)

Koncentrują się na czynniku ludzkim, obejmują zasady rekrutacji, szkolenia oraz odpowiedzialności pracowników w zakresie bezpieczeństwa.
Przykłady:

    • Weryfikacja pracowników przed zatrudnieniem (A.6.1),
    • Szkolenia i budowanie świadomości bezpieczeństwa (A.6.3),
    • Obowiązki związane z rozwiązaniem umowy i zwrotem aktywów (A.6.5),
    • Zasady bezpiecznej pracy zdalnej (A.6.7),
    • Zgłaszanie zdarzeń bezpieczeństwa informacji (A.6.8);

  1. Zabezpieczenia fizyczne (A.7)

Dotyczą ochrony fizycznej obiektów, sprzętu oraz infrastruktury, w których przetwarzane są informacje.
Przykłady:

    • Bezpieczeństwo stref i obszarów (A.7.1),
    • Kontrola dostępu fizycznego (A.7.2),
    • Monitorowanie bezpieczeństwa fizycznego (A.7.4),
    • Ochrona przed zagrożeniami środowiskowymi (A.7.9),
    • Zarządzanie nośnikami przechowywania danych (A.7.10);

  1. Zabezpieczenia technologiczne (A.8)

Obejmują środki techniczne i informatyczne służące ochronie danych oraz systemów IT/OT.
Przykłady:

    • Zarządzanie konfiguracją systemów (A.8.9),
    • Ochrona przed złośliwym oprogramowaniem (A.8.7),
    • Zapobieganie wyciekom danych (DLP), (A.8.12),
    • Szyfrowanie danych (A.8.24),
    • Filtrowanie treści WWW (A.8.23),
    • Monitorowanie aktywności użytkowników i systemów (A.8.16),
    • Bezpieczne programowanie i rozwój oprogramowania (A.8.28),
    • Usuwanie informacji w sposób bezpieczny (A.8.10).

Ze wszystkimi 93 środkami bezpieczeństwa można zapoznać się bezpłatnie m.in. w materiałach dot. normy ISO 27001 na stronie DataGuard.com. 

Proces wdrożenia SZBI w cyklu PDCA

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO/IEC 27001:2022 przebiega zgodnie z cyklem PDCA (Plan–Do–Check–Act), który zapewnia spójność działań, ich weryfikowalność oraz możliwość ciągłego doskonalenia systemu. Każda z faz cyklu pełni określoną funkcję w budowie i utrzymaniu skutecznego systemu zarządzania bezpieczeństwem.

Faza 1 – Plan: Fundamenty strategiczne

Pierwszy etap stanowi fundament całego systemu i determinuje jego dalszą skuteczność. Kluczowym czynnikiem sukcesu jest uzyskanie pełnego wsparcia kierownictwa, które w przypadku MŚP często skupia się w rękach właściciela lub zarządu. Zaangażowanie najwyższego szczebla jest niezbędne dla zapewnienia zasobów, nadania priorytetu projektowi oraz zakorzenienia kultury bezpieczeństwa w organizacji.

Na tym etapie definiuje się zakres SZBI, obejmujący procesy, lokalizacje i zasoby informacyjne, które mają być objęte systemem. W małych i średnich przedsiębiorstwach najczęściej obejmuje on całą organizację, co upraszcza zarządzanie i komunikację. 

Kluczowym krokiem jest opracowanie Polityki Bezpieczeństwa Informacji – dokumentu strategicznego określającego cele, zasady i odpowiedzialności w zakresie bezpieczeństwa. Polityka musi być zrozumiała, zakomunikowana wszystkim pracownikom i wspierana przez kierownictwo.

Istotnym elementem fazy planowania jest także identyfikacja wymagań prawnych, regulacyjnych i umownych, w tym przepisów takich jak RODO czy NIS2.

Faza 2 – Do: Implementacja i zaangażowanie zespołu

Druga faza obejmuje wdrożenie zaplanowanych działań i zabezpieczeń wynikających z analizy ryzyka. Obejmuje to zarówno środki techniczne (np. szyfrowanie danych, uwierzytelnianie wieloskładnikowe), jak i organizacyjne (np. polityki dostępu, zarządzanie nośnikami informacji, czyste biurko).

Kluczowym komponentem tej fazy są szkolenia i budowanie świadomości pracowników, którzy stanowią najważniejszy element systemu bezpieczeństwa. Regularne, praktyczne programy edukacyjne pozwalają ograniczyć ryzyko wynikające z błędów ludzkich. Równolegle tworzy się system zarządzania dokumentacją SZBI, obejmujący kluczowe polityki, procedury i instrukcje robocze – dostosowane do skali i potrzeb organizacji, bez nadmiernej biurokracji.

Istotnym elementem operacyjnym jest również zarządzanie incydentami bezpieczeństwa, obejmujące wykrywanie, analizę, reakcję i raportowanie zdarzeń. Prosta, dobrze zrozumiana procedura zgłaszania incydentów zapewnia skuteczność działań i minimalizuje skutki potencjalnych naruszeń.

Faza 3 – Check: Weryfikacja skuteczności

Po wdrożeniu systemu konieczne jest jego systematyczne monitorowanie i ocena. Organizacja definiuje mierzalne wskaźniki efektywności, takie jak liczba incydentów, poziom ukończenia szkoleń czy czas przywracania systemów po awarii. Regularne audyty wewnętrzne umożliwiają ocenę zgodności działań z wymaganiami normy i wewnętrzną dokumentacją. Audytor, niezależny od audytowanego obszaru, identyfikuje niezgodności i rekomenduje działania naprawcze, stanowiące podstawę dalszego doskonalenia systemu.

Faza 4 – Act: Ciągłe doskonalenie

Ostatnia faza ma na celu utrzymanie aktualności i skuteczności SZBI. W zaplanowanych odstępach czasu kierownictwo dokonuje przeglądu zarządzania, oceniając funkcjonowanie systemu w kontekście celów, wyników audytów, incydentów oraz zmian w otoczeniu prawnym i technologicznym. Na tej podstawie podejmowane są decyzje dotyczące kierunków rozwoju i alokacji zasobów.

Identyfikowane niezgodności i słabości poddawane są analizie przyczyn źródłowych, a następnie wdrażane są działania korygujące. Powtarzanie cyklu PDCA pozwala na ciągłe doskonalenie systemu, utrzymanie jego adekwatności wobec nowych zagrożeń i zapewnienie, że SZBI pozostaje realnym narzędziem wspierającym cele biznesowe organizacji, a nie jedynie formalnym zbiorem procedur.

Zarządzanie ryzykiem jako fundament SZBI

Zarządzanie ryzykiem stanowi centralny element Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO/IEC 27001:2022. To właśnie wyniki analizy ryzyka determinują dobór zabezpieczeń, opracowanie procedur oraz sposób alokacji zasobów organizacyjnych. Norma ISO/IEC 27001 nie narzuca jednej metody oceny ryzyka, pozostawiając organizacji swobodę wyboru podejścia odpowiedniego do jej skali i złożoności. 

Proces zarządzania ryzykiem w obszarze bezpieczeństwa informacji ma charakter ciągły i obejmuje szereg powiązanych działań ukierunkowanych na identyfikację, ocenę oraz kontrolę zagrożeń. Rozpoczyna się od szczegółowej inwentaryzacji i klasyfikacji aktywów informacyjnych, obejmującej dane, systemy, procesy oraz zasoby ludzkie, które mają kluczowe znaczenie dla funkcjonowania organizacji.

Na tej podstawie dokonuje się identyfikacji potencjalnych zagrożeń i podatności, takich jak cyberataki, błędy ludzkie, awarie sprzętu czy brak odpowiednich zabezpieczeń technicznych i proceduralnych. Kolejnym krokiem jest ocena prawdopodobieństwa wystąpienia zagrożeń oraz ich możliwych skutków dla organizacji, co pozwala określić poziom ryzyka dla poszczególnych procesów i zasobów.

Uzyskane wyniki stanowią podstawę do priorytetyzacji ryzyk oraz określenia poziomu ich akceptowalności. Proces zarządzania ryzykiem nie kończy się na wdrożeniu zabezpieczeń, ale wymaga ciągłego doskonalenia i aktualizacji, tak aby system pozostawał spójny z dynamicznie zmieniającym się środowiskiem zagrożeń oraz celami biznesowymi przedsiębiorstwa.

Dokumentacja i rezultaty procesu

Rezultaty analizy ryzyka muszą być udokumentowane w dwóch podstawowych dokumentach. Pierwszy z nich to Plan postępowania z ryzykiem (Risk Treatment Plan), który określa strategię postępowania z każdym ryzykiem uznanym za nieakceptowalne. Jak wskazuje Emrick Etheridge w opracowaniu pt. „ISO 27001: How to manage information security risks”, organizacja może:


  • mitygować ryzyko poprzez wdrożenie odpowiednich zabezpieczeń;
  • transferować ryzyko (np. przez ubezpieczenie lub outsourcing);
  • akceptować ryzyko, jeśli jego redukcja jest nieuzasadniona ekonomicznie;
  • unikać ryzyka poprzez zmianę lub rezygnację z określonej działalności.

Dokument określa także osoby odpowiedzialne i harmonogram wdrożenia środków zaradczych.

Drugi to Oświadczenie o Stosowalności (Statement of Applicability, SoA), czyli kluczowy dokument wymagany przez normę ISO/IEC 27001, stanowiący powiązanie między analizą ryzyka a zabezpieczeniami z Załącznika A. Dla każdego z 93 zabezpieczeń należy określić, czy zostało wdrożone, uzasadnić decyzję o jego stosowaniu lub niestosowaniu oraz wskazać ryzyka, które dana kontrola adresuje. SoA ma charakter dynamiczny i musi być regularnie aktualizowane, ponieważ stanowi podstawowy dowód świadomego i systemowego podejścia organizacji do zarządzania bezpieczeństwem informacji.

Źródła

  1. DataGuard, Organisational Controls in ISO 27001, https://www.dataguard.com/iso-27001/annex-a/5-organisational-controls/;
  2. Etheridge E., ISO 27001: How to manage information security risks, DataGuard, https://www.dataguard.com/blog/iso-27001-risk-management-strategies?utm_source=chatgpt.com 
  3. IT Governance, ISO 27001:2022 Annex A Controls Explained, https://www.itgovernance.co.uk/blog/iso-27001-the-14-control-sets-of-annex-a-explained;
  4. Peters, S., Statement of Applicability (SoA): The Complete Guide. ISMS.online, https://www.isms.online/iso-27001/statement-of-applicability/;
  5. Scrut.io, ISO 27001 Risk Assessment Made Easy: A Step-by-Step Guide, https://scrut.io/hub/iso-27001/iso-27001-risk-assessment;
  6. SZBI.org, Norma ISO/IEC 27001, https://szbi.org/norma-iso-iec-27001/.

Polecamy:

Presja zewnętrzna i nowa rzeczywistość przedsiębiorcy

Audyt bezpieczeństwa – praktyczne podejście do zar...
Grudzień 2025
05
Piątek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • VAT 7
  • VAT UE (elektroniczna)
  • Remanent końcowy
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Analiza ryzyka – jakie elementy są konieczne?
  2. Cyberbezpieczeństwo w organizacji - jak cyberprzestępcy włamują się do firm i JST?
  3. Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?
  4. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
  5. Bezpieczne konta chmurowe w firmie – jak o nie zadbać zgodnie z RODO?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Audyt bezpieczeństwa – praktyczne podejście do zarządzania ryzykiem

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności
XIV Ogólnopolska Konferencja Naukowa „Rachunkowość i Finanse. Teoria i Praktyka”
Kongres For Social Media 2025
eCommerce Business Innovations w Katowicach – pierwsza konferencja o e-handlu na Górnym Śląsku! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów