System zarządzania bezpieczeństwem informacji

• Autorzy: Jacek Łuczak

Warianty tytułu

Information Security Management System

• Języki publikacji: PL

Abstrakty

W niniejszym artykule zaprezentowane zostały wyniki badania, które miało udzielić odpowiedzi na wybrane pytania dotyczące koncepcji i realizacji w zakresie zarządzania bezpieczeństwem informacji. Badanie miało charakter ankietowy, przeprowadzone zostało metodą internetową na próbie 120 przedsiębiorstw. Dobór zbiorowości generalnej został dokonany w sposób celowy - były to przedsiębiorstwa posiadające certyfikowane systemy zarządzania bezpieczeństwem informacji ISMS (55) oraz inne eksponujące swoje zaangażowanie w zarządzanie bezpieczeństwem informacji. Badanie przedsiębiorstwa w pierwszej kolejności zaliczały się do grupy organizacji reprezentujących usługi finansowe, produkcja oraz telekomunikacja. Odpowiedzi na pytania udzielały osoby bezpośrednio związane z bezpieczeństwem informacji, przede wszystkim kierownik ds. informatyki, kierownik ds. bezpieczeństwa informacji, oficer bezpieczeństwa informacji, dyrektor IT. (fragment tekstu)

EN

The article focuses on selected aspects of a system approach to security management in an organization. The analysis of three qualities of information security, namely confidentiality, integrity and availability has provided a framework for the discussion. The author has put forward a number of research theses. They are related, for example, to: the frequency with which standards are used when information security is in question, significance of factors which play a decisive role in ISMS irnplementation, place and role of information security in management, business continuity and risk perception. The idea underlying a practical discussion is presentation of the role of information in business. The author also discusses some possible threats and risks, resources and their vulnerability and security measures which can be taken. The practical discussion is based on the author's own research. In addition, some key requirements related to ISMSs are presented in the article. These requirements are above all based on the ISO/IEC 27001 standard. Companies tend to declare more often that they utilize the best solutions available in this respect. The solutions are determined in the ISO/IEC 27002 standard as well as by ISF. Thus, the author focuses on the best and recognized system approaches. Based on the research, the author has been able to determine what motivates companies to implement ISMSs, what are the benefits of ISMS implementation and the main concems related to ISMSs. Anxiety about legal consequences of incidents related to information security was one of the main motivating factors in the establishment of security policies and in the implementation of ISMSs. However, a number of respondents also stressed the significance of information security due to taking care of the good name of the company. In addition, the respondents pointed out that assuring legal compliance is crucial. As a result, organizations are well-protected against the negative effects of incidents. At the same time it has to be stressed that the respondents declared that information security policies were usually not an integral part of the management strategy of the organization. Business Continuity Plans and their validation are very often restricted to the IT area only. The results of the research which were fairly optimistic and were related to being aware of information security issues and at the same time taking specific activities applied only to the group of high-risk companies. Such companies declared their utmost care for information security. Unfortunately, the majority of companies did not establish and implement satisfactory information protection solutions, but they are not aware of the threats to business activity and how serious they can become. The following article is a contribution to the discussion about the role of ISMS in organizational management. (original abstract)

Słowa kluczowe

PL

Bezpieczeństwo informacji; Systemy bezpieczeństwa; Zarządzanie bezpieczeństwem; Zarządzanie informacją; Postrzeganie ryzyka

EN

Information security; Security systems; Safety management; Information management; Risk perception

• Czasopismo: Zeszyty Naukowe / Uniwersytet Ekonomiczny w Poznaniu
• Rocznik: 2009
• Numer: nr 123
• Strony: 49--70

Twórcy

autor

Jacek Łuczak

Bibliografia

• Analiza incydentów naruszających bezpieczeństwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2008, Cert Polska, 2009.
• Borowiecki R., Jaki A., Kaczmarek J., Metody i procedury wyceny przedsiębiorstw i ich majątku , Wydawnictwo Profesjonalnej Szkoły Biznesu, Kraków 2002.
• Cienińska B., Łunarski J., Perłowski R., Stadnica D., Systemy zarządzania bezpieczeństwem w przedsiębiorstwie, Oficyna Wydawnicza Politechniki Rzeszowskiej, Rzeszów 2006.
• Gierszewska G., Romanowska M., Analiza strategiczna przedsiębiorstwa , PWN, Warszawa 1997.
• Gurgul H., Analiza zdarzeń na rynkach akcji, Oficyna Ekonomiczna, Kraków 2006.
• Hurmphreys T., Finding a language to address information security management , ISO Bulletin, 2000.
• Information Security Forum's (ISF) - The standard of Good Practice for Information Security.
• ISO Survey 2008, ISO, Geneva 2008.
• ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management, ISO, 2005.
• ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements, ISO, 2005.
• ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management, ISO, 2005.
• Kolegowicz K., Nowe funkcje informacji we współczesnych koncepcjach zarządzania, [w:] Informacja w zarządzaniu przedsiębiorstwem, (red.) R. Borowiecki, M. Kwieciński, Wolters Kluwer Polska, Kraków 2003.
• Kumaniecki K., Słownik łacińsko-polski, PWN, Warszawa 1996.
• Komputerowy słownik języka polskiego, WP PWN, Warszawa 1998.
• Krysowaty I., Niedziejko P., Bezpieczeństwo IT jako usługa kształtująca wartość i jakość informacji, [w:] Innowacyjność w kształtowaniu jakości wyrobów i usług, (red.) J. Żuchowski, Wydawnictwo Instytutu Technologii Eksploatacyjnej, Radom 2006.
• Linde S. B., Słownik języka polskiego, Warszawa 1951.
• Zarządzanie bezpieczeństwem informacji, (red.) J. Łuczak, Oficyna Współczesna, Poznań 2004.
• Moving Beyond compłiance, Ernst & Young's 2008 Global, Information Security Survey, 2008.
• Nogalski B., Surawski B. M., Pozyskiwanie oraz bezpieczeństwo informacji w przedsiębiorstwie i państwie, [w:] Informacja w zarządzaniu przedsiębiorstwem, (red.) R. Borowiecki, M. Kwieciński, Wolters Kluwer Polska, Kraków 2003.
• PN-I-13335-1 - Technika informatyczna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele bezpieczeństwa systemów informatycznych, PKN, 1999.
• Reich L., Sawyer D., Archiving Referencing Model, White Book, Issue 5, CCSDS 1999.