Polityka bezpieczeństwa: Różnice pomiędzy wersjami

Z Encyklopedia Zarządzania
m (cleanup bibliografii i rotten links)
m (cleanup bibliografii i rotten links)
 
(Nie pokazano 10 wersji utworzonych przez 2 użytkowników)
Linia 1: Linia 1:
{{infobox4
|list1=
<ul>
<li>[[Księga jakości]]</li>
<li>[[Dokumentowanie systemu zarządzania]]</li>
<li>[[Nadzór nad zapisami]]</li>
<li>[[ISO 27001]]</li>
<li>[[Polityka bezpieczeństwa informacji]]</li>
<li>[[Audyt zewnętrzny]]</li>
<li>[[Whistleblowing]]</li>
<li>[[Cyberbezpieczeństwo]]</li>
<li>[[Polityka prywatności]]</li>
</ul>
}}
Pod pojęciem '''polityki bezpieczeństwa''' (zwanej również strategią bezpieczeństwa) należy rozumieć ogół zasad, metod i narzędzi ochrony i nadzoru nad informacją. Powinna ona obejmować takie elementy, jak: politykę informacyjną, ochronę informacji niejawnych, zasady [[ochrona danych osobowych|ochrony danych osobowych]], politykę bezpieczeństwa systemu teleinformatycznego, zasady ochrony tajemnicy przedsiębiorstwa lub innych tajemnic zawodowych, zapobieganie przestępstwom na szkodę firmy, szczególnie fałszerstwom i oszustwom, zasady ochrony fizycznej i technicznej, i inne związane z bezpieczeństwem.
Pod pojęciem '''polityki bezpieczeństwa''' (zwanej również strategią bezpieczeństwa) należy rozumieć ogół zasad, metod i narzędzi ochrony i nadzoru nad informacją. Powinna ona obejmować takie elementy, jak: politykę informacyjną, ochronę informacji niejawnych, zasady [[ochrona danych osobowych|ochrony danych osobowych]], politykę bezpieczeństwa systemu teleinformatycznego, zasady ochrony tajemnicy przedsiębiorstwa lub innych tajemnic zawodowych, zapobieganie przestępstwom na szkodę firmy, szczególnie fałszerstwom i oszustwom, zasady ochrony fizycznej i technicznej, i inne związane z bezpieczeństwem.


Na stronie internetowej GIODO można odnaleźć [[dokument]] pt. "Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa" w którym można odnaleźć [[informacje]] dotyczące wdrożenia i opracowania polityki bezpieczeństwa. [[Polityka]] bezpieczeństwa dotyczy całościowego problemu zabezpieczenia danych, a więc odnosi się do danych które są przetwarzane tradycyjnie jak również do danych przetwarzanych w systemach informatycznych. Dlatego każdy kto przetwarza [[dane]] osobowe jest zobowiązany przygotować i stosować się do polityki bezpieczeństwa nawet jeśli nie korzysta z komputerów do takiego celu. (Ochrona Danych Osobowych w Praktyce Leszek Kępa Warszawa 2014 s. 272-274)
Na stronie internetowej GIODO można odnaleźć [[dokument]] pt. "Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa" w którym można odnaleźć [[informacje]] dotyczące wdrożenia i opracowania polityki bezpieczeństwa. [[Polityka]] bezpieczeństwa dotyczy całościowego problemu zabezpieczenia danych, a więc odnosi się do danych które są przetwarzane tradycyjnie jak również do danych przetwarzanych w systemach informatycznych. Dlatego każdy kto przetwarza [[dane]] osobowe jest zobowiązany przygotować i stosować się do polityki bezpieczeństwa nawet jeśli nie korzysta z komputerów do takiego celu (Ochrona Danych Osobowych w Praktyce Leszek Kępa Warszawa 2014 s. 272-274)


==TL;DR==
==TL;DR==
Linia 22: Linia 7:


==Cele polityki bezpieczeństwa==
==Cele polityki bezpieczeństwa==
Do głównych celów polityki bezpieczeństwa zalicza się stworzenie reguł i zasad postępowania oraz wskazanie działań jakie należy podjąć, aby poprawnie zabezpieczyć [[dane osobowe]]. W ramach właściwego funkcjonowania polityki bezpieczeństwa nie umieszcza się w niej zapisów które często podlegają zmianie a także nie zawiera się ich w treściach informacji szczegółowej. Działania te są ważne zwłaszcza w sytuacji, kiedy dotyczą dużych przedsiębiorstw, gdzie takie uchwały podejmowane są przez [[zarząd]]. W przeciwnym wypadku zarząd musiałby często przyjmować nowe dokumenty. Administrator danych jest odpowiedzialny za zatwierdzanie polityki bezpieczeństwa. Polityka ta musi być w formie pisemnej a każdy zatrudniony [[pracownik]], który ma dostęp do przetwarzania danych osobowych obowiązkowo zapoznał się z jej treścią. Dodatkowo w celach dowodowych pracownik powinien po zapoznaniu się z treścią tej polityki potwierdzić na piśmie. Pracownicy tego obszaru powinni być zapoznani z tymi regulacjami na samym początku zatrudnienia zanim rozpoczną działania w procesie przetwarzania danych osobowych. (Ochrona Danych Osobowych w Praktyce Leszek Kępa, Warszawa 2014 s. 272-274)
Do głównych celów polityki bezpieczeństwa zalicza się stworzenie reguł i zasad postępowania oraz wskazanie działań jakie należy podjąć, aby poprawnie zabezpieczyć [[dane osobowe]]. W ramach właściwego funkcjonowania polityki bezpieczeństwa nie umieszcza się w niej zapisów które często podlegają zmianie a także nie zawiera się ich w treściach informacji szczegółowej. Działania te są ważne zwłaszcza w sytuacji, kiedy dotyczą dużych przedsiębiorstw, gdzie takie uchwały podejmowane są przez [[zarząd]]. W przeciwnym wypadku zarząd musiałby często przyjmować nowe dokumenty. Administrator danych jest odpowiedzialny za zatwierdzanie polityki bezpieczeństwa. Polityka ta musi być w formie pisemnej a każdy zatrudniony [[pracownik]], który ma dostęp do przetwarzania danych osobowych obowiązkowo zapoznał się z jej treścią. Dodatkowo w celach dowodowych pracownik powinien po zapoznaniu się z treścią tej polityki potwierdzić na piśmie. Pracownicy tego obszaru powinni być zapoznani z tymi regulacjami na samym początku zatrudnienia zanim rozpoczną działania w procesie przetwarzania danych osobowych (Ochrona Danych Osobowych w Praktyce Leszek Kępa, Warszawa 2014 s. 272-274)
<google>t</google>
 
<google>n</google>


==Struktura polityki bezpieczeństwa==
==Struktura polityki bezpieczeństwa==
Linia 35: Linia 21:
Należy podkreślić, że polityka bezpieczeństwa może być wzbogacona o więcej informacji, te które zostały przedstawione stanowią wymogi minimalne. Polska [[Norma]] PN-ISO/IEC 27001 wskazuje, że celem polityki bezpieczeństwa jest wsparcie kierownictwa dla bezpieczeństwa informacji oraz zapewnienie jej kierunków działań. Polityka bezpieczeństwa ma zawierać zbiór zasad i praktyk wraz z dokumentacją w jaki sposób [[organizacja]] ma chronić przetwarzane dane osobowe. Taki dokument zatwierdzany jest przez kierownictwo firmy i przedstawiany wszystkim pracownikom. Jeśli polityka bezpieczeństwa ma być zgodna z powyższą normą ISO to dodatkowo powinny się znaleźć informacje tj. [[definicja]] [[bezpieczeństwo informacji|bezpieczeństwa informacji]], podkreślenie intencji kierownictwa, definicje ogólnych obowiązków w zakresie zarządzania bezpieczeństwem informacji itp. Nazwa dokumentu polityki bezpieczeństwa nie musi posiadać takiej samej nazwy jak zawartej w rozporządzeniu jednak swoją treścią powinna obejmować niezbędne informacje. Polityka bezpieczeństwa nie stanowi dokumentu publicznie dostępnego. Jest ona bowiem dokumentem wewnętrznym. Według Leszka Kępy w książce pt. [[Ochrona danych osobowych]] w praktyce można odnaleźć informację, w której zawarty jest przykład, gdzie Generalny Inspektor Ochrony Danych Osobowych odmawia udzielenia informacji o polityce bezpieczeństwa systemów informatycznych w jego biurze, gdyż żądający wystosował wniosek o jej udostępnienie w ramach informacji publicznej. Wojewódzki Sąd Administracyjny w Warszawie (sygn, II SA/Wa 1539/05) uznał że wszystkie podmioty które przetwarzają dane osobowe powinny posiadać taką dokumentację w formie pisemnej ale nie musi być on jednolitym dokumentem (Ochrona Danych Osobowych w Praktyce Leszek Kępa, Warszawa 2014 s. 272-274)
Należy podkreślić, że polityka bezpieczeństwa może być wzbogacona o więcej informacji, te które zostały przedstawione stanowią wymogi minimalne. Polska [[Norma]] PN-ISO/IEC 27001 wskazuje, że celem polityki bezpieczeństwa jest wsparcie kierownictwa dla bezpieczeństwa informacji oraz zapewnienie jej kierunków działań. Polityka bezpieczeństwa ma zawierać zbiór zasad i praktyk wraz z dokumentacją w jaki sposób [[organizacja]] ma chronić przetwarzane dane osobowe. Taki dokument zatwierdzany jest przez kierownictwo firmy i przedstawiany wszystkim pracownikom. Jeśli polityka bezpieczeństwa ma być zgodna z powyższą normą ISO to dodatkowo powinny się znaleźć informacje tj. [[definicja]] [[bezpieczeństwo informacji|bezpieczeństwa informacji]], podkreślenie intencji kierownictwa, definicje ogólnych obowiązków w zakresie zarządzania bezpieczeństwem informacji itp. Nazwa dokumentu polityki bezpieczeństwa nie musi posiadać takiej samej nazwy jak zawartej w rozporządzeniu jednak swoją treścią powinna obejmować niezbędne informacje. Polityka bezpieczeństwa nie stanowi dokumentu publicznie dostępnego. Jest ona bowiem dokumentem wewnętrznym. Według Leszka Kępy w książce pt. [[Ochrona danych osobowych]] w praktyce można odnaleźć informację, w której zawarty jest przykład, gdzie Generalny Inspektor Ochrony Danych Osobowych odmawia udzielenia informacji o polityce bezpieczeństwa systemów informatycznych w jego biurze, gdyż żądający wystosował wniosek o jej udostępnienie w ramach informacji publicznej. Wojewódzki Sąd Administracyjny w Warszawie (sygn, II SA/Wa 1539/05) uznał że wszystkie podmioty które przetwarzają dane osobowe powinny posiadać taką dokumentację w formie pisemnej ale nie musi być on jednolitym dokumentem (Ochrona Danych Osobowych w Praktyce Leszek Kępa, Warszawa 2014 s. 272-274)


Według Krzysztofa Lidermana autora książki "Bezpieczeństwo Informacyjne, nowe wyzwania" osiągnięcie sukcesu przy wdrażaniu polityki bezpieczeństwa powinno być oparte m.in. na podniesieniu świadomości i chęci [[kadry]] kierowniczej w celu podniesienia bezpieczeństwa informacyjnego a także przeznaczenia odpowiednich środków finansowych na ten cel a także podjęcia decyzji co do sposobu budowy bądź modyfikacji systemu bezpieczeństwa informacyjnego. (Bezpieczeństwo Informacyjne nowe wyzwania Krzysztof Liderman, Warszawa 2017 s. 229-230)
Według Krzysztofa Lidermana autora książki "Bezpieczeństwo Informacyjne, nowe wyzwania" osiągnięcie sukcesu przy wdrażaniu polityki bezpieczeństwa powinno być oparte m.in. na podniesieniu świadomości i chęci [[kadry]] kierowniczej w celu podniesienia bezpieczeństwa informacyjnego a także przeznaczenia odpowiednich środków finansowych na ten cel a także podjęcia decyzji co do sposobu budowy bądź modyfikacji systemu bezpieczeństwa informacyjnego (Bezpieczeństwo Informacyjne nowe wyzwania Krzysztof Liderman, Warszawa 2017 s. 229-230)
 
{{infobox5|list1={{i5link|a=[[Księga jakości]]}} &mdash; {{i5link|a=[[Dokumentowanie systemu zarządzania]]}} &mdash; {{i5link|a=[[Nadzór nad zapisami]]}} &mdash; {{i5link|a=[[ISO 27001]]}} &mdash; {{i5link|a=[[Polityka bezpieczeństwa informacji]]}} &mdash; {{i5link|a=[[Audyt zewnętrzny]]}} &mdash; {{i5link|a=[[Whistleblowing]]}} &mdash; {{i5link|a=[[Cyberbezpieczeństwo]]}} &mdash; {{i5link|a=[[Polityka prywatności]]}} &mdash; {{i5link|a=[[Oscylator stochastyczny]]}} }}


==Bibliografia==
==Bibliografia==
<noautolinks>
<noautolinks>
* Kępa L. (2014). ''Ochrona Danych Osobowych w Praktyce'', Wydawnictwo Difin, Warszawa s. 272-274
* Kępa L. (2014), ''Ochrona Danych Osobowych w Praktyce'', Difin, Warszawa
* Liderman K. (2017). ''Bezpieczeństwo Informacyjne, nowe wyzwania'', Wydawnictwo Naukowe PWN, Warszawa s. 229-230
* Liderman K. (2017), ''Bezpieczeństwo Informacyjne, nowe wyzwania'', Wydawnictwo Naukowe PWN, Warszawa
* Lisiak-Felicka D., Szmit M. ''Incydenty związane z bezpieczeństwem informacji w administracji publicznej w Polsce'', Studies & Proceedings of Polish Association for Knowledge Management Nr 76, 2015
* Lisiak-Felicka D., Szmit M. (2015), ''Incydenty związane z bezpieczeństwem informacji w administracji publicznej w Polsce'', Studies & Proceedings of Polish Association for Knowledge Management Nr 76
* Sawicka J., Stronczek A. [http://wneiz.pl/nauka_wneiz/frfu/76-2015/frfu-76-t2-401.pdf ''Poziom wykształcenia audytora wewnętrznego a skuteczne wykrywanie nadużyć''] Zeszyty Naukowe Uniwersytetu Szczecińskiego nr 864 Finanse, Rynki Finansowe, Ubezpieczenia nr 76, t. 2 (2015)
* Sawicka J., Stronczek A. ''[http://wneiz.pl/nauka_wneiz/frfu/76-2015/frfu-76-t2-401.pdf Poziom wykształcenia audytora wewnętrznego a skuteczne wykrywanie nadużyć]'', Zeszyty Naukowe Uniwersytetu Szczecińskiego nr 864 Finanse, Rynki Finansowe, Ubezpieczenia nr 76, t. 2
* Żywiołek J. [http://www.zim.pcz.pl/znwz/files/Innowacyjno---przep-ywow-informacyjnych-jako-element-udoskonalenia-systemu-informacji-w-przedsi-biorstwie-logistycznym.pdf ''Innowacyjność przepływów informacyjnych jako element udoskonalenia systemu informacji w przesiębiorstwie logistycznym ''] Zeszyty Naukowe Politechniki Częstochowskiej Zarządzanie Nr 24 t. 1 (2016)
* Żywiołek J. (2016), ''Innowacyjność przepływów informacyjnych jako element udoskonalenia systemu informacji w przedsiębiorstwie logistycznym'', Zeszyty Naukowe Politechniki Częstochowskiej Zarządzanie Nr 24 t. 1
</noautolinks>
</noautolinks>


{{a|Mateusz Gałaś}}
{{a|Mateusz Gałaś}}
[[Kategoria:Zarządzanie informacjami]]
[[Kategoria:Bezpieczeństwo informacji]]


{{#metamaster:description|Wytyczne dotyczące polityki bezpieczeństwa. Ochrona danych, tajemnica przedsiębiorstwa, zapobieganie przestępstwom. Ważne dla wszystkich organizacji.}}
{{#metamaster:description|Wytyczne dotyczące polityki bezpieczeństwa. Ochrona danych, tajemnica przedsiębiorstwa, zapobieganie przestępstwom. Ważne dla wszystkich organizacji.}}

Aktualna wersja na dzień 21:31, 20 gru 2023

Pod pojęciem polityki bezpieczeństwa (zwanej również strategią bezpieczeństwa) należy rozumieć ogół zasad, metod i narzędzi ochrony i nadzoru nad informacją. Powinna ona obejmować takie elementy, jak: politykę informacyjną, ochronę informacji niejawnych, zasady ochrony danych osobowych, politykę bezpieczeństwa systemu teleinformatycznego, zasady ochrony tajemnicy przedsiębiorstwa lub innych tajemnic zawodowych, zapobieganie przestępstwom na szkodę firmy, szczególnie fałszerstwom i oszustwom, zasady ochrony fizycznej i technicznej, i inne związane z bezpieczeństwem.

Na stronie internetowej GIODO można odnaleźć dokument pt. "Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa" w którym można odnaleźć informacje dotyczące wdrożenia i opracowania polityki bezpieczeństwa. Polityka bezpieczeństwa dotyczy całościowego problemu zabezpieczenia danych, a więc odnosi się do danych które są przetwarzane tradycyjnie jak również do danych przetwarzanych w systemach informatycznych. Dlatego każdy kto przetwarza dane osobowe jest zobowiązany przygotować i stosować się do polityki bezpieczeństwa nawet jeśli nie korzysta z komputerów do takiego celu (Ochrona Danych Osobowych w Praktyce Leszek Kępa Warszawa 2014 s. 272-274)

TL;DR

Polityka bezpieczeństwa dotyczy ochrony danych osobowych i innych informacji przed nieuprawnionym dostępem. Dostępna jest na stronie GIODO. Cele polityki to ustalenie zasad postępowania i działań mających na celu zabezpieczenie danych. Polityka powinna zawierać informacje o budynkach, danych, programach i przepływie danych, jak również środki organizacyjne i techniczne gwarantujące bezpieczeństwo. Wdrażanie polityki wymaga podniesienia świadomości kadry kierowniczej i alokacji odpowiednich środków finansowych.

Cele polityki bezpieczeństwa

Do głównych celów polityki bezpieczeństwa zalicza się stworzenie reguł i zasad postępowania oraz wskazanie działań jakie należy podjąć, aby poprawnie zabezpieczyć dane osobowe. W ramach właściwego funkcjonowania polityki bezpieczeństwa nie umieszcza się w niej zapisów które często podlegają zmianie a także nie zawiera się ich w treściach informacji szczegółowej. Działania te są ważne zwłaszcza w sytuacji, kiedy dotyczą dużych przedsiębiorstw, gdzie takie uchwały podejmowane są przez zarząd. W przeciwnym wypadku zarząd musiałby często przyjmować nowe dokumenty. Administrator danych jest odpowiedzialny za zatwierdzanie polityki bezpieczeństwa. Polityka ta musi być w formie pisemnej a każdy zatrudniony pracownik, który ma dostęp do przetwarzania danych osobowych obowiązkowo zapoznał się z jej treścią. Dodatkowo w celach dowodowych pracownik powinien po zapoznaniu się z treścią tej polityki potwierdzić na piśmie. Pracownicy tego obszaru powinni być zapoznani z tymi regulacjami na samym początku zatrudnienia zanim rozpoczną działania w procesie przetwarzania danych osobowych (Ochrona Danych Osobowych w Praktyce Leszek Kępa, Warszawa 2014 s. 272-274)

Struktura polityki bezpieczeństwa

Polityka bezpieczeństwa powinna zawierać:

  • Wykaz budynków oraz pomieszczeń w których będzie odbywał się proces przetwarzania danych osobowych
  • Wykaz zbiorów danych a także wskazanie programów które znajdą zastosowanie w procesie przetwarzania danych
  • Informacje dotyczące przepływu danych pomiędzy systemami
  • Opis środków organizacyjnych jak i technicznych które są gwarantem poufności, integralności i rozliczalności przetwarzanych danych
  • Opis struktury zgromadzonych danych który wskazuje na powiązania między poszczególnymi polami informacyjnymi

Należy podkreślić, że polityka bezpieczeństwa może być wzbogacona o więcej informacji, te które zostały przedstawione stanowią wymogi minimalne. Polska Norma PN-ISO/IEC 27001 wskazuje, że celem polityki bezpieczeństwa jest wsparcie kierownictwa dla bezpieczeństwa informacji oraz zapewnienie jej kierunków działań. Polityka bezpieczeństwa ma zawierać zbiór zasad i praktyk wraz z dokumentacją w jaki sposób organizacja ma chronić przetwarzane dane osobowe. Taki dokument zatwierdzany jest przez kierownictwo firmy i przedstawiany wszystkim pracownikom. Jeśli polityka bezpieczeństwa ma być zgodna z powyższą normą ISO to dodatkowo powinny się znaleźć informacje tj. definicja bezpieczeństwa informacji, podkreślenie intencji kierownictwa, definicje ogólnych obowiązków w zakresie zarządzania bezpieczeństwem informacji itp. Nazwa dokumentu polityki bezpieczeństwa nie musi posiadać takiej samej nazwy jak zawartej w rozporządzeniu jednak swoją treścią powinna obejmować niezbędne informacje. Polityka bezpieczeństwa nie stanowi dokumentu publicznie dostępnego. Jest ona bowiem dokumentem wewnętrznym. Według Leszka Kępy w książce pt. Ochrona danych osobowych w praktyce można odnaleźć informację, w której zawarty jest przykład, gdzie Generalny Inspektor Ochrony Danych Osobowych odmawia udzielenia informacji o polityce bezpieczeństwa systemów informatycznych w jego biurze, gdyż żądający wystosował wniosek o jej udostępnienie w ramach informacji publicznej. Wojewódzki Sąd Administracyjny w Warszawie (sygn, II SA/Wa 1539/05) uznał że wszystkie podmioty które przetwarzają dane osobowe powinny posiadać taką dokumentację w formie pisemnej ale nie musi być on jednolitym dokumentem (Ochrona Danych Osobowych w Praktyce Leszek Kępa, Warszawa 2014 s. 272-274)

Według Krzysztofa Lidermana autora książki "Bezpieczeństwo Informacyjne, nowe wyzwania" osiągnięcie sukcesu przy wdrażaniu polityki bezpieczeństwa powinno być oparte m.in. na podniesieniu świadomości i chęci kadry kierowniczej w celu podniesienia bezpieczeństwa informacyjnego a także przeznaczenia odpowiednich środków finansowych na ten cel a także podjęcia decyzji co do sposobu budowy bądź modyfikacji systemu bezpieczeństwa informacyjnego (Bezpieczeństwo Informacyjne nowe wyzwania Krzysztof Liderman, Warszawa 2017 s. 229-230)


Polityka bezpieczeństwaartykuły polecane
Księga jakościDokumentowanie systemu zarządzaniaNadzór nad zapisamiISO 27001Polityka bezpieczeństwa informacjiAudyt zewnętrznyWhistleblowingCyberbezpieczeństwoPolityka prywatnościOscylator stochastyczny

Bibliografia

  • Kępa L. (2014), Ochrona Danych Osobowych w Praktyce, Difin, Warszawa
  • Liderman K. (2017), Bezpieczeństwo Informacyjne, nowe wyzwania, Wydawnictwo Naukowe PWN, Warszawa
  • Lisiak-Felicka D., Szmit M. (2015), Incydenty związane z bezpieczeństwem informacji w administracji publicznej w Polsce, Studies & Proceedings of Polish Association for Knowledge Management Nr 76
  • Sawicka J., Stronczek A. Poziom wykształcenia audytora wewnętrznego a skuteczne wykrywanie nadużyć, Zeszyty Naukowe Uniwersytetu Szczecińskiego nr 864 Finanse, Rynki Finansowe, Ubezpieczenia nr 76, t. 2
  • Żywiołek J. (2016), Innowacyjność przepływów informacyjnych jako element udoskonalenia systemu informacji w przedsiębiorstwie logistycznym, Zeszyty Naukowe Politechniki Częstochowskiej Zarządzanie Nr 24 t. 1


Autor: Mateusz Gałaś