System Zarządzania Bezpieczeństwem Informacji w Grupie PKP z certyfikacją ISO
Strategia Grupy PKP zakłada realizację wielu różnych celów. Jednym z nich jest zapewnienie bezpieczeństwa stosowanych rozwiązań teleinformatycznych i bezpieczeństwa informacji zgodnego z międzynarodowym standardem ISO/IEC 27001. Po około 1,5 roku intensywnych prac nad stworzeniem grupowego Systemu Zarządzania Bezpieczeństwem Informacji, sześć Spółek Grupy: PKP S.A., PKP Intercity, PKP LHS, TK Telekom, PKP Energetyka oraz PKP SKM wdrożyło SZBI i w maju 2015 roku pozytywnie przeszło grupowy audyt certyfikujący potwierdzający posiadanie funkcjonującego systemu zgodnego z wymogami ISO 27001. Audytorzy skrupulatnie kontrolowali, w jakim stopniu przyjęta dokumentacja systemu zarządzania bezpieczeństwem odpowiada wymogom normy ISO 27001 oraz czy Spółki demonstrują jego praktyczne wdrożenie.
System Zarządzania Bezpieczeństwem Informacji (SZBI)
System Zarządzania Bezpieczeństwem Informacji zgodny z ISO/IEC 27001 stanowi zbiór wymagań umożliwiający ustanowienie, a następnie doskonalenie systemu bezpieczeństwa sprawiając, że ochrona informacji w organizacji z roku na rok jest coraz lepsza. Wprowadzenie odpowiednich procedur bezpieczeństwa w ramach SZBI pomaga w optymalizacji funkcjonowania organizacji i jej systemów - począwszy od ich wdrożenia po utrzymanie. Wdrożenie SZBI w Spółkach Grupy podyktowane było m.in.: zredukowaniem popełnianych błędów w zakresie bezpieczeństwa informacji, ustanowieniem środków bezpieczeństwa dla zasobów informatycznych jako integralnej części biznesu, poprawę kontroli nad zagrożeniami związanymi z bezpieczeństwem informacji, dzięki systematycznemu zarządzaniu ryzykiem w Grupie i wzrost świadomości konieczności zapewnienia bezpieczeństwa informacji wśród pracowników.
Norma
Międzynarodowa norma ISO 27001 pomaga ustalić zagrożenia towarzyszące technologiom informatycznym i szeroko pojętemu bezpieczeństwu informacji związanego z codzienną działalnością biznesową. W normie określono wymagania dotyczące inicjowania działań, wdrażania, utrzymania i nieprzerwanego doskonalenia systemu zarządzania bezpieczeństwem informacji w ramach organizacji. Zawiera ona również wymagania dotyczące szacowania ryzyka związanego z bezpieczeństwem informatycznym i postępowaniem z nim dostosowanym do potrzeb danej organizacji.
Dzięki wdrożeniu SZBI i uzyskaniu certyfikacji ISO osiągnęliśmy wymierne korzyści, m.in.:
- Uzyskanie certyfikacji na zgodność z najnowszą wersją brytyjskiej, uznawanej na arenie międzynarodowej, normy ISO 27001:2014, stając się prekursorem i spełniając jeszcze wyższe standardy systemu bezpieczeństwa w porównaniu do poprzednio obowiązującej treści normy.
- Zwiększenie zaufania ze strony klientów i partnerów biznesowych.
- Zdefiniowanie standardów i wytycznych dla zarządzania bezpieczeństwem w Grupie PKP dzięki przyjętemu przez Spółki wspólnemu podejściu do bezpieczeństwa informacji.
- Wprowadzenie podwójnego systemu kontroli organizacji pod względem bezpieczeństwa. Obejmuje on audyty wewnętrzne przeprowadzane przez przeszkolonych pracowników Spółki, jak również audyty kontrolne dokonywane co roku przez jednostkę certyfikującą. Dzięki temu istnieją 2 punkty kontrolne dla systemu zarządzania bezpieczeństwem informacji oraz dla ustanowionych środków ochrony zapewniając możliwość wychwytywania luk w systemie, a tym samym zaplanowania odpowiedniego ich zabezpieczania. To zaś w bezpośredni sposób wpływa na zwiększenia poziomu bezpieczeństwa informacji w Grupie PKP.
- Zwiększenie poziomu świadomości wśród pracowników o konieczności zarządzania bezpieczeństwem informacji oraz o obowiązujących regulacjach i standardach w Spółkach.
Bezpieczeństwo priorytetem
„Certyfikat na zgodność z ISO 27001 jest potwierdzeniem dla klientów i partnerów biznesowych, że bezpieczeństwo informacji jest priorytetem dla Grupy PKP. Jako jedna z pierwszych dużych korporacji certyfikowaliśmy się na zgodność z najnowszą wersją brytyjskiej, uznawanej na arenie międzynarodowej normy ISO 27001:2014, będąc prekursorem i spełniając jeszcze wyższe standardy systemu bezpieczeństwa w porównaniu do poprzednio obowiązującej treści normy. Jednak uzyskanie certyfikacji ISO 27001 to dopiero początek. W przyszłym roku czeka nas audyt nadzoru, w którym należy wykazać, że system jest udoskonalany i ewentualne wykryte w nim luki są zarządzane odpowiednio dobranymi zabezpieczeniami podnoszącymi bezpieczeństwo informacji. Dzięki SZBI i uzyskanej certyfikacji Spółki Grupy udowodniły, że jesteśmy organizacją godną zaufania, która również w zakresie szeroko pojętego bezpieczeństwa podnosi swoje standardy na poziom międzynarodowy.” – tak podsumowuje uzyskanie certyfikacji ISO 27001 Adam Filutowski, Dyrektor Zarządzający ds. Informatyki i Telekomunikacji Grupy PKP.