Informacja a ochrona danych

Systemowe zarządzanie bezpieczeństwem ochrony danych musi uwzględnić wiele wymagań i wytycznych, w tym regulacji prawnych i oczekiwań interesariuszy. Jednocześnie powinno opierać się na dobrych praktykach, regulowanych przez standardy, nieustannie doskonalone wobec wyzwań współczesności. Wśród bardziej rozpoznawalnych regulacji, które mogą zostać wykorzystane do ustanowienia i wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI), są międzynarodowe normy ISO/IEC 27001 oraz ISO/IEC 27032. Celowe jest podjęcie próby ukazania złożoności współcześnie występujących zagadnień dotyczących bezpieczeństwa informacji w ujęciu układu zabezpieczeń w ramach bezpieczeństwa organizacyjnego, informatycznego i fizycznego z którym musi się zmierzyć wyznaczony w organizacji inspektor ochrony danych.

Coraz częściej menedżerowie oraz inspektorzy ochrony danych zwracają uwagę na wartość, jaką ma informacja (również w kontekście ochrony danych osobowych) dla przedsiębiorstwa. Telepraca, zwiększona mobilność pracowników, outsourcing, zatrudnianie na kontraktach, płaskie struktury w organizacjach, zwinne systemy zarządzania, podejście procesowe, nieustannie zmieniające się stosunki w biznesie trwające przez bardzo krótki okres, przedsięwzięcia międzyorganizacyjne podejmowane w obszarach nie tylko nowych technologii, zróżnicowane wymagania prawne z zakresu ochrony danych – to dzisiejsza rzeczywistość, z jaką muszą zmierzyć się organizacje i wyznaczeni w nich inspektorzy ochrony danych. 

Międzynarodowe normy wspomniane wyżej (podobnie jak inne standardy bezpieczeństwa) nie stawiają konkretnych wymagań w odniesieniu do koniecznych zabezpieczeń, jednak wymagają zapewnienia adekwatnego poziomu bezpieczeństwa wobec celów stawianych przez organizację w tym względzie. Wzrasta liczba certyfikowanych SZBI zgodnych z ISO/IEC 27001 (w 2017 r. było to 39 501 certyfikatów na świecie i 705 w Polsce). Liczba przeprowadzonych dotychczas na świecie i w Polsce akredytowanych certyfikacji systemu zarządzania bezpieczeństwem informacji nie dorówna liczbie systemów zarządzania jakością (ISO 9001) (w 2017 r. było to 1 056 855 certyfikatów na świecie i 11 846 w Polsce), czy zarządzania środowiskowego (ISO 14001) (w 2017 r. było to 358 953 certyfikatów na świecie i 2885 w Polsce). 

Wynika to przede wszystkim z wymagań rynku, ze złożoności samego zagadnienia systemowego zarządzania bezpieczeństwem informacji, nakładów, jakie trzeba ponieść, ale także z celów nadrzędnych wdrażania zabezpieczeń, pozostających często w sprzeczności z transparentnością poziomu bezpieczeństwa w organizacji (certyfikat).