Doradca bezpieczeństwa DGA

 
Wywiad z Andrzejem Składankiem - Administratorem Bezpieczeństwa Informacji w Inforsys Sp. z o.o.

w Monday, 20 November 2006
przez Krzysztof Maćkowiak
w Publikacje > Wywiady

Andrzej Składanek - absolwent Wyższej Szkoły Przedsiębiorczości i Zarządzania im. Leona Koźmińskiego, słuchacz I edycji Studiów Podyplomowych "Zarządzanie Bezpieczeństwem Informacji" w Instytucie Organizacji i Zarządzania w Przemyśle ORGMASZ. Ukończył wiele kursów w tym akredytowane przez IRCA kursy audytora wiodącego ISO 9001:2000 i ISO 27001:2005.

W spółce Inforsys Sp. z o.o. pełni funkcję Administratora Bezpieczeństwa Informacji oraz Pełnomocnika ds. Systemu Zarządzania i jest odpowiedzialny za skuteczne działanie Zintegrowanego Systemu Zarządzania (ISO 9001:2000 i ISO 27001:2005).

Pełnił bezpośredni nadzór nad wdrożeniem oraz przygotowaniem do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji.


Dlaczego Państwa firma zdecydowała się na wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji?


Bezpieczeństwo informacji jest bardzo ważnym elementem w każdej firmie. W Inforsys jest to kwestia fundamentalna. Jako dostawca usług outsourcingowych z zakresu masowego przetwarzania dokumentów musimy mieć pewność, że dane powierzone nam przez Klientów są bezpieczne. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji jest pomocne w osiągnięciu tego celu - pozwala w sposób kompleksowy podejść do zagadnień związanych z bezpieczeństwem informacji.


Które z etapów wdrożenia systemu okazały się dla Państwa najbardziej pracochłonne?


Najbardziej pracochłonnym etapem było opracowanie dokumentacji. W Inforsys co prawda obowiązywało wiele zasad i procedur związanych z bezpieczeństwem informacji, jednak w większości funkcjonowały one jako niezależne dokumenty. Dużo pracy wymagało zebranie oraz odpowiednie opisanie poszczególnych procedur, tak aby stanowiły jedną, spójną całość.


Dlaczego zdecydowali się Państwo certyfikować system na zgodność z wymaganiami normy ISO/IEC 27001:2005?


Przede wszystkim chcieliśmy uzyskać niezależną ocenę naszego systemu wykonaną przez akredytowaną jednostkę certyfikującą. To bardzo ważne, aby na efekty naszej pracy spojrzał zewnętrzny specjalista.

Drugim ważnym powodem było formalne potwierdzenie naszej wiarygodności. Dodatkowo uzyskanie certyfikatu na zgodność z najnowszą normą podniosło wartość naszej firmy oraz zwiększyło jej konkurencyjność. Tym bardziej, że jesteśmy pierwszą firmą w branży, która posiada system certyfikowany na zgodność z wymaganiami normy ISO/IEC 27001:2005.


Czy musieli Państwo wprowadzić dużo zmian w organizacji, aby spełnić wymagania normy ISO/IEC 27001:2005?


Jesteśmy organizacją, która od wielu już lat funkcjonuje w oparciu o wewnętrzne procedury. W naszym przypadku zmiany polegały głównie na porządkowaniu istniejących już zasad i restrykcji. Zdecydowaną większość zabezpieczeń wdrożyliśmy już przed rozpoczęciem projektu. Jedyny problem polegał na tym, że nie były one zarządzane systemowo. Wcześniej nie wykonywaliśmy też formalnej oceny ryzyka i co się z tym wiąże nie zarządzaliśmy nim.


Czy planujecie Państwo dalszy rozwój wdrożonego SZBI?


Oczywiście! Zrobiliśmy dopiero pierwszy krok. Cały sens systemu zarządzania leży w jego ciągłym doskonaleniu. W chwili obecnej sukcesywnie zwiększamy poziom integracji systemu zarządzania bezpieczeństwem informacji z naszym systemem jakości. Oceniamy, że pozwoli to zwiększyć efektywność systemu.

W przyszłym roku planujemy wykorzystanie narzędzi Lean Six Sigma, w celu usprawnienia działania firmy, także w sferze bezpieczeństwa informacji.

(c) by Doradztwo Gospodarcze DGA S.A.