Zarządzanie bezpieczeństwem informacji

Jakość – Normalizacja – Certyfikacja
Dodatek promocyjno-reklamowy do RZECZPOSPOLITEJ.
10 listopada 2006 r.

Umbrella – Stowarzyszenie Konsultantów finalizuje projekt Europejskiego Funduszu Społecznego dla spółek Grupy PKP w zakresie ISO 27001

Zarządzanie bezpieczeństwem informacji

Projekt Szkolenie kadr Grupy PKP w zakresie zarządzania bezpieczeństwem informacji wchodzi w ostatnią fazę realizacji. W projekcie bierze udział 15 spółek Grupy PKP w tym: PKP S.A., PKP Polskie Linie Kolejowe, PKP Przewozy Regionalne, PKP Energetyka, PKP Telekomunikacja Kolejowa oraz kilkanaście spółek przewozowych i remontowych Grupy PKP.

Dofinansowanie projektu zostało przyznane na wniosek Umbrelli w ramach programu SPORZL 2004-2006, a realizacja przebiega od 2005 roku na podstawie umowy trójstronnej pomiędzy PKP S.A, Związkiem Pracodawców Kolejowych i Umbrellą przy zapewnieniu niezbędnego współfinansowania wkładu własnego PKP przez Związek Pracodawców Kolejowych.

Umbrella opracowała kompleksowy cykl szkoleń z zakresu zarządzania bezpieczeństwem informacji obejmujący: Zarządy spółek PKP, dyrektorów, specjalistów od zarządzania personelem i finansami, informatyków, pracowników ochrony informacji niejawnych i bezpieczeństwa teleinformatycznego, audytorów systemów bezpieczeństwa informacji ISO 27001. Przeszkolonych zostanie około 940 pracowników Grupy PKP.

Potrzeba wdrożenia systemów zarządzania bezpieczeństwem informacji związana jest z trwającą od kilku lat reformą kolei polskich. Przeprowadzono restrukturyzację organizacyjną, własnościową i rozpoczęto intensywną restrukturyzację majątkową, by móc efektywnie rozporządzać majątkiem i rozwojem spółek Grupy PKP.

Rynek usług transportu kolejowego w Polsce otwiera się dla innych przewoźników kolejowych z krajów Unii Europejskiej. Silna konkurencja z Unii wymusza poprawę systemów zarządzania w spółkach.

Zarządy spółek Grupy PKP poszukiwały rozwiązań, które przyniosą spółkom wzrost konkurencyjności i zapewnią mocną pozycję na rynku. Należą do nich między innymi:

  • Realizacja założeń rządowego programu pn. „Program dalszej restrukturyzacji i prywatyzacji spółek Grupy PKP do 2006 roku” zatwierdzonego w grudniu 2003 r.
  • Duże inwestycje w informatykę i modernizację infrastruktury teleinformatycznej.
  • Wdrożenie systemów zarządzania jakością według norm ISO 9001.
  • Rozwój kompetencji kadry kierowniczej i specjalistów spółek Grupy PKP w zakresie bezpieczeństwa informacji i rozpoczęcie prac związanych z wdrożeniem systemów zarządzania bezpieczeństwem informacji.

Realizacja projektu Umbrelli, współfinansowanego przez fundusze UE, pozwoli na budowę zintegrowanych systemów zarządzania jakością i bezpieczeństwem informacji. Szereg spółek Grupy PKP już rozpoczęło prace związane z wdrażaniem systemu ISO 27001.

Czym jest bezpieczeństwo informacji?

Z dyskusji podczas wstępnych szkoleń wynika, że przeciętnemu pracownikowi bezpieczeństwo informacji kojarzy się z tajemnicą przedsiębiorcy, informatyką, wirusami oraz hakerami.

Tymczasem bezpieczeństwo informacji obejmuje o wiele szersze zagadnienia związane z systemem informacyjnym organizacji. Należą do nich wiedza posiadana przez kluczowych specjalistów, kadrę zarządzającą oraz informacje o technologiach, projektach, ofertach, umowach, klientach i dostawcach.

Normy serii ISO 27000 definiują bezpieczeństwo informacji jako zapewnienie dostępności, integralności i poufności informacji, czyli odnoszą się nie tylko do poufności informacji, lecz również ich dokładności, zgodności z przepisami prawa, wewnętrznymi zasadami oraz potrzebami biznesowymi. Informacje powinny być dostępne na czas, czyli wtedy, gdy osoby upoważnione ich potrzebują.

Zarządzanie bezpieczeństwem informacji wymaga zbudowania systemu opartego na identyfikacji aktywów informacyjnych, analizie ryzyka i ciągłym doskonaleniu.

W pierwszej kolejności niezbędne jest określenie, które informacje mają w firmie największą wartość i na jakie zagrożenia narażone są te informacje. Dla tych informacji przeprowadza się analizę ryzyk, będącą podstawą do optymalnego inwestowania w bezpieczeństwo i dalszego doskonalenia systemu zarządzania.

Za opracowanie systemu odpowiadają różne osoby w organizacji. Zarząd odpowiada za opracowanie polityki bezpieczeństwa, akceptację analizy ryzyk oraz zapewnienie zasobów niezbędnych do wdrożenia zabezpieczeń, HR za szkolenia i zarządzanie personelem, ochrona fizyczna za zapewnienie bezpieczeństwa fizycznego, a informatycy za bezpieczeństwo teleinformatyczne. Nie wolno zapominać o konieczności spełniania przepisów prawa, za co odpowiadają wszyscy pracownicy.

Wdrożony system należy systematycznie doskonalić, rejestrować incydenty i podejmować działania zapobiegawcze, by podnosić efektywność systemu zarządzania.

Informacja jest jednym z najważniejszych zasobów w każdej organizacji, w tym również spółkach Grupy PKP. Właściwe zarządzanie informacją i jakością jest niezbędnym warunkiem dalszego rozwoju organizacji – poznanie tych zagadnień jest podstawowym tematem projektu realizowanego przez Umbrellę.

Założone cele projektu są realizowane, a prace przebiegają zgodnie z harmonogramem. Zakończenie projektu planowane jest w lutym 2007 r. podczas konferencji pt.: „Bezpieczeństwo informacji w Grupie PKP” organizowanej przez Umbrellę i beneficjentów projektu.

Nowoczesna gospodarka stawia coraz większe wymagania efektywnym systemom zarządzania w przedsiębiorstwach. Rozwój, sprostanie konkurencji, utrzymanie pozycji na rynku w coraz większym stopniu zależą od posiadanej wiedzy, kompetencji oraz kwalifikacji pracowników. Realizowany przez Umbrellę projekt z zakresu zarządzania bezpieczeństwem informacji inwestuje w kapitał ludzki, tym samym zwiększając efektywność i konkurencyjność spółek Grupy PKP.

Paweł Kamecki

www.umbrella.org.pl