Wielkość tekstu
Kontrast serwisu

Mikroporady są czymś wyjątkowym. Są jak poradniki na półce każdego polskiego mikro przedsiębiorcy. W świecie Internetu są małym zakamarkiem praktycznej wiedzy, w którym można znaleźć prawie wszystko o prowadzeniu małej firmy.

Aby chronić naszą niezależność, nigdy nie publikowaliśmy i nie będziemy publikować reklam. Utrzymujemy się z darowizn o średniej wysokości 20 zł, w tym także z wpłat z 1% Podatku.

Proszę, pomóż nam zbierać pieniądze i ulepszać Mikroporady. Czytaj więcej...

Porada: Jakie przyjąć założenia polityki bezpieczeństwa w zarządzaniu i zabezpieczaniu treści na stronie www, w sieci

Bezpieczeństwo informacji to jeden z istotnych warunków, które musi spełniać firma, w tym również mikro i mali przedsiębiorcy, bez względu na branżę, w jakiej działa, wielkość przedsiębiorstwa, czy zakres świadczonych usług. W każdym przedsiębiorstwie mamy do czynienia z różnorodnymi informacjami, danymi, które co do zasady powinny być chronione; niektóre ze względu na szczególny interes przedsiębiorcy (np. know-how, informacje finansowe i inwestycyjne, patenty itp. jako obejmowane tajemnicą przedsiębiorcy – handlową, przemysłową), inne zaś z mocy samego prawa (np. zbiory danych osobowych, informacje niejawne). Na szczególna uwagę zasługuje tajemnica finansowa, która zaczyna funkcjonować z chwilą, gdy przedsiębiorca staje się płatnikiem np. podatków czy składek ZUS. Sfera tajemnicy może objąć takie informacje, które są znane poszczególnym osobom lub grupom osób (pracownicy, współpracownicy). Obszar ten nie może więc rozciągając się na informacje powszechnie znane lub te, o których treści każdy zainteresowany może się legalnie dowiedzieć. W aktualnej rzeczywistości i otoczeniu istnieje wiele zagrożeń, które mogą spowodować utratę danych, czy też narazić firmę na dostęp do nich ze strony osób nieuprawnionych. Sprzyja temu zwłaszcza szybki rozwój biznesu oparty na przesyłach danych w drodze elektronicznej, przy wykorzystaniu systemów teleinformatycznych. Zagrożenia związane są również z wirtualizacją działalności biznesowej, w której pojawiają się nowe, często skomplikowane narzędzia (np. cloud computing), e-learning, dynamiczny wzrost urządzeń i aplikacji mobilnych. Towarzyszy temu równolegle wzrost wymagań w zakresie zarządzania bezpieczeństwem informacji, na co wskazuje obserwacja zmian regulacyjnych w Unii Europejskiej i na świcie w obszarze infrastruktury teleinformatycznej przedsiębiorstw; czego przykładem jest nowa regulacja RODO, która ma zacząć obowiązywać w naszym porządku prawnym krajowym już w najbliższym czasie tj. od 28 maja br. Jednym z kluczowych czynników koniecznych do spełnienia na drodze do ochrony informacji, danych jest świadomość niebezpieczeństw oraz identyfikacja obszarów zagrożeń, które mogą powodować ich utratę, jak również wdrożenie i stosowanie właściwych mechanizmów i narzędzi ochrony. Jednym słowem chodzi o świadome zarządzanie i zabezpieczanie informacji w przedsiębiorstwie. Decyzje w tym obszarze tak samo dotyczyć będą zarządów w przedsiębiorstwach dużych i wówczas będą miały charakter kolegialny, jak i indywidualnych decyzji podejmowanych przez przedsiębiorcę w warunkach np. samozatrudnienia. Poniższy materiał ma na celu przedstawienie w podstawowym zakresie uwarunkowań faktycznych i prawnych, które mogą być pomocne przedsiębiorcy, jego właściwym służbom w planowaniu i zarządzaniu bezpieczeństwem, czy szerzej polityką, a nawet systemem bezpieczeństwa / zarządzania bezpieczeństwem informacji w przedsiębiorstwie.

  1. Założenia zarządzania bezpieczeństwem i budowy systemu bezpieczeństwa informacji w przedsiębiorstwie

Do podstawowych aktów prawnych obowiązujących w obszarze ochrony polityki bezpieczeństwa informacji należy zaliczyć:

  1. Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. 2016. 1829)
  2. Ustawa z dnia 6 marca 2018 r. Przepisy wprowadzające ustawę Prawo przedsiębiorców oraz inne ustawy dotyczące działalności gospodarczej (Dz.U. 2018 poz. 650)
  3. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. 1994 Nr 24 poz. 83)
  4. Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U.2018.0.419 t.j.)
  5. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.2017.0.1219 t.j.)
  6. Ustawa z dnia 27 lipca 2001 r. o ochronie bez danych (Dz. U. nr 128, poz. 1402)
  7. Ustawa z dnia 18 wrześnie 2001 r. o podpisie elektronicznym (Dz. U. nr 130, poz.1450)
  8. Ustawa z dnia 5 sierpni 2010 r. o ochronie informacji niejawnych ( Dz. U. nr 182, poz. 1228)
  9. Ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz.U. 2007 Nr 50 poz. 331)
  10. Ustawa z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym (Dz. U. 2007, nr 171, poz. 1206)
  11. Ustawa z dnia 30 czerwca 2000 r. Prawo własności przemysłowej (Dz.U. z 2017 r. poz. 776 t.j.)
  12. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2016.0.922 t.j.)
  13. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (GDPR/RODO - General Data Protection Regulation)
  14. Międzynarodowa norma ISO 27001:2013 standaryzująca systemy zarządzania bezpieczeństwem informacji (SZBI) w przedsiębiorstwie.

Ważne jest, aby przed przystąpieniem do opracowania systemu zarządzania bezpieczeństwem informacji przedsiębiorca zapoznał się z ww regulacjami prawnymi lub posłużył profesjonalną firmą, konsultantem, z tym zastrzeżeniem, iż należy pamiętać, że niektóre z ww ustaw posiadają odpowiednie „rozwinięcia” we właściwych dedykowanych do nich aktach wykonawczych (rozporządzeniach).

Zarządzanie bezpieczeństwem informacji to dziedzina obejmująca zagadnienia z zakresu informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem. Należy pamiętać, że jest to proces ciągły, złożony i dynamiczny. Dlatego dla opracowania dobrze działającego, a więc przede wszystkim bezpiecznego modelu, systemu  zarządzania bezpieczeństwem, należy zwrócić uwagę na następujące działania o charakterze etapowym:

  • dokonanie klasyfikacji informacji (chronionej ustawowo i umownie np. niejawna, wrażliwa, krytyczna, handlowa, finansowa, poufna itd.),
  • przeprowadzenie oceny (zagrożeń i oceny) ryzyka, wybór odpowiedniej metodyki, strategii, modelu monitorowania ryzyka, określenie wymagań co do zabezpieczeń, określenie i zaakceptowanie zredukowanego poziomu ryzyka
  • wybór i wprowadzenie systemów zabezpieczeń (z ich technologiami),
  • opracowanie i wdrożenie Polityki bezpieczeństwa informacji (z jej składowymi lub regulaminu ochrony informacji w małych firmach),
  • bieżące, ciągłe monitorowanie trafności przyjętych założeń polityki bezpieczeństwa i zaakceptowanego poziomu bezpieczeństwa,
  • przeprowadzenie audytu ochrony informacji lub bezpieczeństwa / audytu systemu informatycznego,
  • sporządzenie mapy ryzyk w obszarze zarządzania i ochrony informacji (dotyczy głównie dużych przedsiębiorstw).

System bezpieczeństwa informacji w przedsiębiorstwie powinien być systemem kompleksowym, tzn. wszystkie metody ochrony fizycznej, organizacyjnej, kadrowej, teleinformatycznej muszą być stosowane łącznie w spójny sposób, inaczej system taki będzie posiadał luki – synergia działania. Dotyczy to zarówno przedsiębiorstw dużych, jak i mikro czy małych przedsiębiorców, z tą jedynie różnicą, że wielkość, rodzaj podejmowanych działań i stosowanych zabezpieczeń może się tu istotnie różnić.

Kompleksowe rozwiązania dotyczące ochrony bezpieczeństwa informacji można uzyskać dzięki wprowadzeniu specjalistycznych procedur. Jedną z nich jest System Zarządzania Bezpieczeństwem Informacji ISO 27001, który staje się coraz bardziej powszechnie stosowany w praktyce jako narzędzie zapewniające efektywną eliminację zagrożeń. Z wdrożenia tej normy wynika wiele korzyści, do których można zaliczyć m. in.:

  • wzrost zaufania obecnych i potencjalnych klientów oraz kontrahentów i partnerów biznesowych,
  • spełnienie krajowych oraz unijnych przepisów prawnych dotyczących ochrony informacji,
  • ujednolicenie procedur związanych z bezpieczeństwem danych, które ma bezpośredni wpływ na redukcję kosztów generowanych przez wadliwie funkcjonujące w tym zakresie rozwiązania,
  • ustawiczna aktualizacja, monitoring i udoskonalanie ustanowionego systemu zarządzania bezpieczeństwem informacji.

ISO 27001 zawiera m.in. propozycję 134 rodzajów zabezpieczeń, które mogą być zastosowane w firmie w celu zwiększenia ochrony informacji. Zabezpieczenia te podzielone zostały na grupy:

  1. Polityka bezpieczeństwa,
  2. Organizacja bezpieczeństwa,
  3. Zarządzanie aktywami,
  4. Bezpieczeństwo osobowe,
  5. Bezpieczeństwo fizyczne i środowiskowe,
  6. Zarządzanie systemami i sieciami,
  7. Kontrola dostępu,
  8. Rozwój i utrzymanie systemu,
  9. Zarządzanie incydentami,
  10. Zarządzanie ciągłością działania,
  11. Zgodność.

Każda z ww grup obejmuje kilka lub kilkanaście konkretnych zabezpieczeń, co do stosowania których przedsiębiorca musi się zadeklarować. Znaczna część zabezpieczeń odnosi się do sfery zabezpieczeń technicznych, takich jak struktury sieci, urządzenia aktywne, pasywne, oprogramowanie itp. Kolejną, równie liczną, grupa zabezpieczeń jest związana bezpośrednio lub pośrednio z ludźmi i ich działalnością.

Zgodnie z ISO 27001 podstawowymi zasadami przy tworzeniu struktur zarządzających bezpieczeństwem są:

  • bezwzględne oddzielenie funkcji zarządzających i kontrolnych od funkcji wykonawczych
  • uniemożliwienie nadużyć i maksymalne ograniczenie błędów popełnianych przez pojedyncze osoby w ramach ich odpowiedzialności
  • zapewnienie niezależności i bezinteresowności osób dokonujących audytu bezpieczeństwa przy zapewnieniu gwarancji zachowania tajemnicy.

Powyższa norma ma szczególne znaczenie dla dużych przedsiębiorstw, gdzie to zarząd jest odpowiedzialny za całość bezpieczeństwa informacji w przedsiębiorstwie. Swój pomysł na realizację i zapewnienie bezpieczeństwa wyraża w polityce bezpieczeństwa. Dokument ten powinien być udostępniony wszystkim pracownikom oraz współpracownikom w celu zaznajomienia ich z wymaganiami systemu bezpieczeństwa przedsiębiorstwa.

System bezpieczeństwa obejmuje wszystkie obszary działania przedsiębiorstwa. Do skutecznego zarządzania nim zasadne i celowe jest zaangażowanie doradcy / konsultanta i włączenie - o ile to większa firma - reprezentantów kluczowych obszarów funkcjonowania przedsiębiorstwa: przedstawiciela HR (dział personalny), IT (dział informatyki), ochrony, działu prawnego itp. Warto zwrócić uwagę na trzy podstawowe poziomy, na których podejmowane są kluczowe decyzje w obszarze bezpieczeństwa:

  • na poziomie strategicznym ustalana jest polityka bezpieczeństwa informacji, uwzględniająca wyniki analizy ryzyka. W procesy decyzyjne tego poziomu zaangażowane jest najwyższe kierownictwo firmy, określające zasadnicze kryteria bezpieczeństwa informacji.
  • na poziomie taktycznym tworzone są standardy bezpieczeństwa informacji oraz zasady kontroli ich przestrzegania. W te procesy decyzyjne zaangażowane jest głównie kierownictwo.
  • na poziomie operacyjnym prowadzona jest administracja bezpieczeństwem informacji pod kątem pełnego stosowania standardów bezpieczeństwa oraz rozwiązywania sytuacji zakłóceń wynikających z naruszenia tych standardów (intencjonalnego lub przypadkowego).

Polityka bezpieczeństwa informacji (PBI) jest to dokument, który zawiera w swojej treści szereg zaleceń oraz jasno sprecyzowanych zadań. Ich celem jest zabezpieczenie jednostki organizacyjnej, przedsiębiorstwa przed nieuprawnionym udostepnieniem informacji. W dokumencie tym określa się nie tylko zalecenia dotyczące systemów informatycznych i ich zabezpieczeń, ale także kwestie obiegu dokumentów wewnątrz jednostki, klasyfikację poziomów dostępu do pomieszczeń, w których są przechowywane i przetwarzane chronione informacje.

Przy opracowywaniu PBI niezwykle ważne jest zdefiniowanie pojęcia bezpieczeństwa informacji. Przez pojęcie to należy rozumieć zachowanie poufności, integralności i dostępności informacji. Samą informację, dane – niezależnie od formy ich utrwalenia (nośniki: dokumenty, pliki) należy traktować jako aktywo.

Precyzowanie polityki bezpieczeństwa informacji  należy do ścisłego kierownictwa przedsiębiorstwa (zarząd firmy, menedżerowie), natomiast wdrażanie założeń określonych przez kierownictwo należy do upoważnionych przez nich osób, np. administratorów systemów informatycznych.

Aby PBI mogła spełniać swoje funkcje w poprawny sposób, należy wypełnić pewne warunki:

  • musi zostać udokumentowana i udostępniona wszystkim zainteresowanym osobom w przedsiębiorstwie;
  • powinna być napisana w sposób jasny, zwięzły i zrozumiały, tak aby każda osoba zobowiązana do jej przeczytania była w stanie ją zrozumieć.
  • należy pamiętać o możliwościach finansowych przedsiębiorcy, oraz o tym, aby efektem funkcjonowania systemu bezpieczeństwa informacji nie było uniemożliwienie działania przedsiębiorcy.

Dobrze przygotowana PBI powinna:

  • ujmować ogólne zasady wytwarzania, przetwarzania, przesyłania i  przechowywania informacji w aspekcie zapewnienia jej bezpieczeństwa oraz organizację i zasady sprawnego zarządzania tym procesem; powinna być zrozumiała i jasna, w związku z tym należy zawrzeć w niej definicje używanych pojęć,
  • przedstawiać, w jakim celu przedsiębiorstwo dokonuje zmian określonych w PBI,
  • zawierać opis podziału odpowiedzialności i kompetencji (przypisanie właścicieli),
  • uwzględniać też normy oraz zalecenia międzynarodowe i krajowe (odstawą prawną opracowania PBI w instytucji są obowiązujące ustawy oraz rozporządzenia (dokumenty wyższego rzędu) dotyczące m.in. ochrony informacji niejawnych, podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych, ochrony danych osobowych i ochrony praw autorskich – patrz jw. wskazane na wstępie akty prawne),
  • być bowiem ciągle uaktualniana, modyfikowana i dostosowywana do potrzeb danego przedsiębiorstwa.

W szczególności polityka bezpieczeństwa określa:

  • zabezpieczenia fizyczne - mające na celu zabezpieczenie okien, drzwi, ścian, instalacji, montaż alarmów, czujników, telewizji przemysłowej,
  • zabezpieczenia wykorzystujące metody i środki informatyki - wśród których należy wyróżnić rozwiązania sprzętowe oraz programowe,
  • zabezpieczenia organizacyjne - polegające na przeprowadzeniu zmian organizacyjnych mających na celu zwiększenie poziomu bezpieczeństwa systemu (zaprojektowanie regulaminów i procedur pracy, procedury postępowania awaryjnego, odpowiedzialność pracowników),
  • zabezpieczenia administracyjne - do mechanizmów tych należy zaliczyć przede wszystkim system certyfikacji potwierdzający przydatność do pracy w warunkach danego przedsiębiorstwa (certyfikaty mogą dotyczyć osób, sprzętu, technologii, oprogramowania),
  • rozwiązania prawne - uregulowania w prawie karnym stojące na straży bezpieczeństwa informacji dotyczące przede wszystkim poufności informacji, oszustw, manipulacji, wandalizmu, itp.

Politykę bezpieczeństwa przedsiębiorstwa kształtuje co do zasady organ zarządzający, a więc zarząd oraz managerowie odpowiedzialni za bezpieczeństwo w ścisłej współpracy z administratorami systemów informacyjnych.  Strategie realizacji Polityki Bezpieczeństwa określają administratorzy systemów.
W przedsiębiorstwie mikro dzieje się to niejako jednoosobowo.
Szerzej nt. PBI patrz też: Polityka bezpieczeństwa informacji

Zgodnie z przyjętą polityką bezpieczeństwa, określonym pracownikom, służbom przypisuje się odpowiedzialność za poszczególne aktywa (informacje, dokumenty, systemy informacyjne, informatyczne itp.) stosownie do właściwych struktur organizacyjnych w przedsiębiorstwie. Właściciele aktywów określają zasady postępowania ze swoimi aktywami: co wolno, czego nie wolno, komu i w jaki sposób oraz są odpowiedzialni za codzienną ochronę swoich aktywów. Dzieje się to już na poziomie operacyjnego zarządzania tymi aktywami. Szczególnie istotnym elementem jest ustalenie oraz przekazanie odpowiednich zakresów odpowiedzialności wszystkim pracownikom i innym osobom mającym wpływ na bezpieczeństwo (współpracownikom, kontrahentom, klientom itp.). Dla określenia zakresów odpowiedzialności można przykładowo przyjąć:

  1. Zarząd odpowiada za:
  • całość bezpieczeństwa informacji; za nadzór nad realizacją Polityki Bezpieczeństwa Informacji oraz innych dokumentów wewnętrznych związanych z ochroną informacji;
  • decydowanie o współpracy w zakresie bezpieczeństwa z innymi podmiotami;
  • wyrażanie zgody na udostępnienie stronom trzecim informacji stanowiących tajemnicę firmy;
  1. Pełnomocnik ds. Bezpieczeństwa Informacji jest odpowiedzialny za:
  • nadzór nad przestrzeganiem zasad ochrony informacji obowiązujących w firmie;
  • koordynację zapewnienia bezpieczeństwa informacji oraz związanych z nim polityk i procedur;
  • podejmowanie odpowiednich działań w przypadku wykrycia naruszeń bezpieczeństwa informacji lub prób takich naruszeń;
  • zapewnienie przetwarzania danych osobowych zgodnie z Ustawą o ochronie danych osobowych oraz innymi przepisami prawa;
  • monitorowanie zmian w przepisach prawnych dotyczących sposobu zabezpieczenia danych oraz dostosowanie systemu do wymagań prawnych
  1. Właściciele aktywów – odpowiadają za:
  • bezpieczeństwo informacji w zakresie nad którym sprawują nadzór;
  • przeciwdziałanie dostępowi do informacji chronionych osób niepowołanych;
  • podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie;
  1. Administrator Sieci i Systemów:
  • uczestniczy w opracowaniu szczególnych wymagań bezpieczeństwa i procedur bezpieczeństwa;
  • nadzoruje i kontroluje konfigurację systemu w zakresie dostępu do sieci teleinformatycznej
  1. Kierownicy komórek organizacyjnych/działów/pionów odpowiadają za:
  • przestrzeganie zasad ochrony informacji przez nich samych jak i przez podległych im pracowników,
  • identyfikowanie zagrożeń zachowania bezpieczeństwa informacji
  1. Pracownicy - odpowiedzialność za bezpieczeństwo informacji w przedsiębiorstwie ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Każdy pracownik zobowiązany jest dbać o bezpieczeństwo powierzonych mu do przetwarzania, archiwizowania lub przechowywania informacji zgodnie z obowiązującymi przepisami wewnętrznymi

Może zaoszczędzimy Ci czasu? Może podejmiesz szybciej lepszą decyzję?
przekaż darowiznę Pomóż młodym mikro firmom.

6% od dochodu - odlicza płatnik podatku od osób fizycznych
10% od dochodu - odlicza płatnik podatku od osób prawnych
Dlaczego warto?
Dowód wpłaty jest dokumentem uprawniającym do odliczeń w rocznym zeznaniu podatkowym (podstawa - Ustawa o PIT)

 
Akademia Liderów Fundacja dr Bogusława Federa
Przedsiębiorczość i Innowacje
Rozwijamy Mikro Firmy

Pomóż Nam Działać Szybciej !
Przekaż ico-1procent-min Wpisz KRS 0000318482

Porady i wzory dokumentów przygotowywane na zlecenie Fundacji Akademii Liderów w ramach nieodpłatnej działalności pożytku publicznego są finansowane z 1 % Podatku otrzymanego od użytkowników serwisu.

Porady i wzory dokumentów opracowywane na zlecenie Fundacji przez zespól prawników Kancelarii Juris są zgodne z obowiązującym prawem i podlegają ochronie prawa autorskiego.
Zarządzający serwisem Mikroporady.pl nie odpowiadają za opinie i poglądy autorów.

 
 

Pomóż Nam Działać Szybciej. Jeśli nie My razem, to kto? Bo kiedy, jeśli nie teraz?

Serwis Mikroporady.pl od ponad 2 lat cotygodniowo wysyła 2 biuletyny aktualizacyjne z nowymi wzorami dokumentów i poradami do 60.000 zarejestrowanych użytkowników

Przekaż ico-1procent Podatku PIT

KRS: 0000318482 - Wpisz w Deklaracji

Dlaczego warto?

wpłać darowiznę

Odlicz Darowiznę od Dochodu: • do 6% dochodu - osoby fizyczne
• do 10% dochodu - osoby prawne



Wspieraj Mikroporady.pl

Najmniejsze i rodzinne Firmy są najważniejszym „nerwem” naszej gospodarki a mają ograniczony dostęp do fachowej pomocy. My to zmieniamy - przygotowujemy dla nich kompleksowe wsparcie – wzory umów z orzecznictwem i komentarzami, porady, instrukcje,regulaminy, kazusy. W odpowiedzi na przesyłane pytania udzielamy dodatkowych porad, wyjaśnień i interpretacji.

Bez ograniczeń i bezpłatnie, bo chcemy żyć w świecie, gdzie solidarnie wspiera się słabszych. Jest to możliwe dzięki zaangażowaniu ludzi takich jak Ty. Liczy się każda pomoc, jednorazowa wpłata lub comiesięczna.

dalej
 

Zapisz się na Biuletyn

Co tydzień bezpłatny Biuletyn Aktualizacyjny z nowymi wzorami dokumentów, instrukcjami, poradami, przygotowywanymi przez zespół prawników z aktualnym stanem prawnym.

Fundacja Akademia Liderów i Mikroporady ® udzielają pomocy mikro firmom bezpłatnie i bez ograniczeń.
Nie wyświetlamy żadnych reklam, nie pobieramy opłat od użytkowników, nie udostępniamy pozostawionych danych.

 
x

Jeśli czytasz teraz nasze Porady i pomagają, wspomóż nas darowizną 30 zł.