Praktyczne podejście do wdrażania systemów zarządzania bezpieczeństwem informacji w małych i średnich przedsiębiorstwach

Zaproponowano praktyczny sposób podejścia do wyboru strategii wdrażania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) na podstawie znanej metodyki SWOT. Dla celów analizy dokonano klasyfikacji czynników zewnętrznych (umożliwiających identyfikację szans i zagrożeń dla organizacji) oraz wewnętrznych (umożliwiających identyfikację silnych i słabych stron organizacji). Następnie zastosowano algorytm umożliwiający kwantyfikację czynników i uzyskanie wskaźnika dla wyboru najlepszej strategii dla danej organizacji. Dane zebrane na potrzeby analizy SWOT równolegle wykorzystano do przeprowadzenia wysokopoziomowej analizy ryzyka związanego z bezpieczeństwem informacji. Oszacowane poziomy ryzyka pozwalają określić priorytety działań w organizacji w obszarze zarządzania bezpieczeństwem informacji. W końcowej części artykułu przedstawiono zastosowanie proponowanego podejścia w wybranej organizacji.

A practical approach to the Information Security Management System (ISMS) strategy implementation based on SWOT methodology is proposed in this paper. A classification of external factors (allowing identification of opportunities and threats), and internal ones (allowing identification of strengths and weaknesses) for an organization, is presented. Next, a quantifying algorithm for these factors allows to determine the choice of optimal strategy for a given organization. Simultaneously, high-level information security risk analysis approach based on gathered data is performed. Estimated risk levels allow to indicate priorities for the organization activities determined at the strategy level. An example of application of the method proposed is presented in the final part.