SZBI – System Zarządzania Bezpieczeństwem Informacji

System Zarządzania Bezpieczeństwem Informacji

Treść dyrektywy NIS2
Menu

Dokumentacja SZBI

Dokumentacja jest kluczowym elementem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO 27001. Odpowiednio przygotowana dokumentacja pozwala na formalizację procesów, zapewnienie ich powtarzalności oraz dostarczenie dowodów zgodności z wymaganiami normy podczas audytów.

NOWOŚĆ!

Szablony Kompletnej Dokumentacji SZBI i NIS2:

Sprawdź ofertę

Wymagana dokumentacja według ISO 27001

Norma ISO 27001 wymaga dokumentowania określonych informacji, aby SZBI mógł być skutecznie wdrożony, utrzymywany i audytowany. Poniżej przedstawiono listę wymaganej dokumentacji:

1. Dokumentacja obowiązkowa

Norma ISO 27001 jednoznacznie wymaga następującej dokumentacji:

  • Zakres SZBI (klauzula 4.3)
  • Polityka bezpieczeństwa informacji (klauzula 5.2)
  • Proces oceny ryzyka (klauzula 6.1.2)
  • Deklaracja Stosowania (Statement of Applicability) (klauzula 6.1.3 d)
  • Plan postępowania z ryzykiem (klauzula 6.1.3 e)
  • Cele bezpieczeństwa informacji (klauzula 6.2)
  • Dowody kompetencji osób pracujących w obszarze bezpieczeństwa informacji (klauzula 7.2)

2. Dokumentacja procesów

Oprócz dokumentacji obowiązkowej, norma wymaga od organizacji dokumentowania procesów związanych z bezpieczeństwem informacji:

  • Sterowanie dokumentacją (klauzula 7.5)
  • Ocena ryzyka i postępowanie z ryzykiem (klauzula 6.1)
  • Audyt wewnętrzny (klauzula 9.2)
  • Działania korygujące (klauzula 10.1)
  • Monitorowanie, pomiary, analiza i ocena (klauzula 9.1)
  • Przegląd zarządzania (klauzula 9.3)

3. Zapisy

Organizacja powinna prowadzić zapisy, które stanowią dowód funkcjonowania SZBI:

  • Wyniki oceny ryzyka
  • Wyniki audytów wewnętrznych
  • Działania podejmowane w wyniku przeglądów zarządzania
  • Dowody przeprowadzonych szkoleń
  • Wyniki działań korygujących
  • Zapisy dotyczące incydentów bezpieczeństwa

Struktura dokumentacji SZBI

Dokumentacja SZBI jest zazwyczaj zorganizowana w hierarchiczną strukturę. Poniżej przedstawiono typową strukturę dokumentacji:

1. Dokumentacja najwyższego poziomu

  • Polityka bezpieczeństwa informacji – dokument najwyższego poziomu, który określa podejście organizacji do bezpieczeństwa informacji, cele, zasady i odpowiedzialności.
  • Zakres SZBI – dokument określający granice, w których funkcjonuje SZBI, w tym procesy, lokalizacje, aktywa i systemy objęte SZBI.
  • Deklaracja Stosowania – dokument, który wymienia wszystkie zabezpieczenia z Załącznika A normy ISO 27001 i określa, które z nich zostały wdrożone, a które nie, wraz z uzasadnieniem.

2. Procedury

Procedury to dokumenty, które szczegółowo opisują, jak realizowane są procesy związane z bezpieczeństwem informacji. Typowe procedury w SZBI to:

  • Procedura oceny ryzyka
  • Procedura audytu wewnętrznego
  • Procedura działań korygujących
  • Procedura zarządzania incydentami
  • Procedura kontroli dostępu
  • Procedura zarządzania zmianami
  • Procedura kopii zapasowych
  • Procedura zarządzania ciągłością działania
  • Procedura zarządzania dostawcami

3. Instrukcje i wytyczne

Instrukcje i wytyczne to dokumenty operacyjne, które szczegółowo opisują, jak wykonywać konkretne zadania związane z bezpieczeństwem informacji:

  • Instrukcje bezpiecznego korzystania z systemów informatycznych
  • Wytyczne dotyczące bezpiecznego korzystania z urządzeń mobilnych
  • Instrukcje tworzenia i zarządzania hasłami
  • Wytyczne dotyczące bezpiecznej pracy zdalnej
  • Instrukcje reagowania na incydenty

4. Zapisy

Zapisy to dokumenty, które dostarczają dowodów na to, że procesy SZBI są realizowane zgodnie z dokumentacją. Przykłady zapisów to:

  • Rejestry incydentów bezpieczeństwa
  • Raporty z audytów
  • Protokoły z przeglądów zarządzania
  • Listy obecności na szkoleniach
  • Raporty z oceny ryzyka
  • Umowy o zachowaniu poufności
  • Rejestr aktywów informacyjnych

Zasady zarządzania dokumentacją

Norma ISO 27001 wymaga, aby organizacja ustanowiła udokumentowane informacje wymagane przez normę oraz te określone przez organizację jako niezbędne dla skuteczności SZBI. Zarządzanie dokumentacją powinno obejmować:

  • Identyfikację i opis dokumentów (tytuł, data, autor, numer wersji)
  • Format i nośniki (papierowe, elektroniczne)
  • Przegląd i zatwierdzanie dokumentów pod kątem przydatności i adekwatności
  • Dystrybucję, dostęp, wyszukiwanie i wykorzystanie dokumentów
  • Przechowywanie i konserwację, w tym zachowanie czytelności
  • Nadzór nad zmianami (kontrola wersji)
  • Przechowywanie i usuwanie dokumentów

Wskazówki dotyczące dokumentacji SZBI

  • Dokumentacja powinna być prosta, jasna i zrozumiała dla użytkowników
  • Unikaj nadmiernej biurokracji – dokumentuj tylko to, co jest naprawdę potrzebne
  • Wykorzystuj istniejącą dokumentację, jeśli jest odpowiednia
  • Regularnie przeglądaj i aktualizuj dokumentację
  • Zapewnij, że dokumentacja jest dostępna dla osób, które jej potrzebują, ale chroniona przed nieautoryzowanym dostępem
  • Wykorzystuj narzędzia elektroniczne do zarządzania dokumentacją, aby ułatwić dystrybucję, wyszukiwanie i kontrolę wersji

Podsumowanie

Dokumentacja SZBI jest kluczowym elementem, który pozwala na skuteczne wdrożenie, utrzymanie i doskonalenie systemu zarządzania bezpieczeństwem informacji. Odpowiednio przygotowana dokumentacja:

  • Zapewnia spójne i powtarzalne podejście do bezpieczeństwa informacji
  • Ułatwia komunikację i szkolenie
  • Dostarcza dowodów zgodności z wymaganiami normy ISO 27001
  • Pozwala na skuteczne zarządzanie wiedzą w organizacji

Aby dowiedzieć się więcej o etapach wdrażania SZBI, zapoznaj się z sekcją Etapy Wdrażania SZBI.

Aby przyspieszyć proces tworzenia dokumentacji SZBI, warto skorzystać z gotowych szablonów i narzędzi, takich jak ISO 27001 Toolkit oferowany przez Smartech IT.