Dowiedz się, jak łatwo stworzyć SZBI dzięki naszemu generatorowi. Wygeneruj dokumenty opisujące cele, procesy i zasoby w zarządzaniu bezpieczeństwem informacji.

Struktura pytań do stworzenia Zakresu SZBI – System Zarządzania Bezpieczeństwem Informacji ISO 27001

1. Cel SZBI
• Pytanie: Jakie cele ma osiągnąć system zarządzania bezpieczeństwem informacji w Twojej organizacji?
(Przykład odpowiedzi: “Zapewnienie poufności, integralności i dostępności informacji w procesach obsługi klienta.”)
2. Obszary organizacyjne
• Pytanie: Które działy, zespoły lub funkcje w organizacji są objęte SZBI?
(Przykład odpowiedzi: “Dział IT, dział finansowy, dział obsługi klienta.”)
3. Procesy objęte SZBI
• Pytanie: Jakie kluczowe procesy operacyjne są objęte SZBI?
(Przykład odpowiedzi: “Przetwarzanie danych klientów, zarządzanie infrastrukturą IT, obsługa incydentów.”)
4. Zasoby (aktywa)
• Pytanie: Jakie zasoby są istotne dla bezpieczeństwa informacji?
(Przykład odpowiedzi: “Serwery, systemy CRM, nośniki danych, dokumentacja papierowa.”)
5. Lokalizacje
• Pytanie: Gdzie fizycznie znajduje się infrastruktura lub zespoły objęte SZBI?
(Przykład odpowiedzi: “Główna siedziba w Warszawie, centrum danych w Krakowie.”)
6. Systemy i technologie
• Pytanie: Jakie systemy i technologie są objęte SZBI?
(Przykład odpowiedzi: “System ERP, poczta e-mail, platforma e-commerce.”)
7. Zewnętrzni dostawcy i partnerzy
• Pytanie: Czy SZBI obejmuje współpracę z zewnętrznymi dostawcami lub partnerami? Jeśli tak, to z kim?
(Przykład odpowiedzi: “Dostawca usług chmurowych, partner logistyczny.”)
8. Wyłączenia (jeśli dotyczy)
• Pytanie: Czy są jakieś obszary, procesy lub lokalizacje wyłączone z SZBI? Jeśli tak, to dlaczego?
(Przykład odpowiedzi: “Procesy marketingowe – brak przetwarzania informacji wrażliwych.”)
9. Analiza ryzyka
• Pytanie: Jakie są potencjalne zagrożenia i ryzyka związane z bezpieczeństwem informacji w Twojej organizacji?
(Przykład odpowiedzi: “Ryzyko utraty danych na skutek ataku ransomware, ryzyko nieautoryzowanego dostępu do wrażliwych danych klientów.”)
• Pytanie: Jakie działania zostały podjęte w celu oceny i minimalizacji ryzyka?
(Przykład odpowiedzi: “Przeprowadzono audyt bezpieczeństwa IT, wdrożono zabezpieczenia na poziomie sieci, przeprowadzono szkolenia dla pracowników.”)
10. Oświadczenie o Stosowalności (SOA)
• Pytanie: Czy organizacja posiada Oświadczenie o Stosowalności (SOA)? Jeśli tak, jakie kontrole bezpieczeństwa zostały uznane za stosowne w Twojej organizacji?
(Przykład odpowiedzi: “Kontrola dostępu, szyfrowanie danych wrażliwych, monitorowanie zdarzeń związanych z bezpieczeństwem.”)
• Pytanie: Jakie kontrole bezpieczeństwa nie zostały uznane za stosowne i dlaczego?
(Przykład odpowiedzi: “Nie wdrożono kontroli dostępu na poziomie aplikacji, ponieważ systemy nie przechowują wrażliwych danych.”)

Kontakt do Audytora ISO 27001