Proces i normy


Proces zarządzania bezpieczeństwem informacji opiera się na cyklu PDCA (Plan-Do-Check-Act):

  • Planowanie (np. ustanowienie polityki, analiza ryzyka),
  • Wdrożenie zabezpieczeń,
  • Monitorowanie i audyt,
  • Doskonalenie

PDCA jest rdzeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i stosuje się go też w ISO/IEC 9001 (jakość) i ISO/IEC 22301 (ciągłość działania).


Normatywne podstawy to przede wszystkim:

  • PN-EN ISO/IEC 27001 — wymagania dla SZBI,
  • PN-EN ISO/IEC 27002 — dobre praktyki w zakresie zabezpieczeń,
  • PN-ISO/IEC 27005 — zarządzanie ryzykiem,
  • PN-ISO/IEC 20000-1 — zarządzanie usługami IT  .
  • ISO/IEC 27002:2022 – przebudowano strukturę (add: Threat Intelligence, Cloud, Physical Security Monitoring).
  • ISO/IEC 27017 – bezpieczeństwo w usługach chmurowych.
  • ISO/IEC 27018 – ochrona danych osobowych w chmurze publicznej.
  • ISO/IEC 27701 – rozszerzenie do 27001 dla zarządzania prywatnością (zgodne z RODO/GDPR).
  • ISO/IEC 27035 – zarządzanie incydentami.
  • ISO/IEC 22301 – zarządzanie ciągłością działania, często w pakiecie z SZBI.

Normy te:

  • mają charakter ogólny (można je dostosować do różnych organizacji),
  • wyposażone są w mierniki i wskaźniki skuteczności,
  • zapewniają zgodność z dobrymi praktykami branżowymi

Dodatkowo istnieją regulacje lokalne i sektorowe:

  • DORA (Digital Operational Resilience Act) – odporność cyfrowa w sektorze finansowym (UE, od 2025)
  • NIS2 (Network and Information Security Directive 2) – dyrektywa UE o bezpieczeństwie sieci i usług krytycznych
  • RODO (GDPR) – ochrona danych osobowych w UE
  • EBA Guidelines (European Banking Authority) – wytyczne dla instytucji finansowych
  • Rekomendacja D KNF – Polska – zarządzanie ryzykiem i bezpieczeństwem IT w bankach

Które:

  • precyzują wymagania dla wybranych branż i instytucji,
  • nakładają obowiązki prawne i nadzorcze (np. raportowanie incydentów, wdrażanie środków bezpieczeństwa),
  • uzupełniają normy międzynarodowe (ISO/NIST) o kontekst lokalny lub sektorowy,
  • zwiększają odpowiedzialność zarządczą i regulacyjną organizacji,
  • wymuszają stosowanie najlepszych praktyk w obszarze ochrony danych, ciągłości działania i odporności cyfrowej.