Polityka bezpieczeństwa informacji (IT) – co zawiera i dlaczego jest konieczna w firmie?

Ostatnia aktualizacja 2025-07-08

Polityka bezpieczeństwa informacji to kluczowy dokument dla każdej firmy, która poważnie podchodzi do kwestii ochrony zasobów informatycznych i infrastruktury sprzętowej. Dlaczego jest ważna i co powinna zawierać?

Czy w firmie w której pracujesz, jest wdrożona polityka bezpieczeństwa informacji?

W wielu firmach zagadnienia związane z cyberbezpieczeństwem są po prostu ignorowane. Przedsiębiorstwa nie mają zdefiniowanej polityki bezpieczeństwa informacji, a jak już ją mają, to… większość pracowników nie stosuje się w pełni do zaleceń w niej zawartych.
Najlepiej pokazują to badania przeprowadzone we wrześniu 2021 r. na zlecenie firmy Sophos wśród pracowników w Polsce, Czechach i na Węgrzech. [1] Niespełna połowa pracowników polskich firm (48%) uważała, że w ich firmie niezbędne jest wdrożenie polityki bezpieczeństwa informacji, ale już tylko 42% kadry deklarowała znajomość tych zasad i ich przestrzeganie. Aż co dziesiąty uczestnik ankiety przyznawał, że często nie stosował się do firmowej polityki bezpieczeństwa informacji.
Brak polityki bezpieczeństwa informacji to nie tylko problem małych i średnich firm. Zaskakująco często tego dokumentu nie posiadają duże, międzynarodowe przedsiębiorstwa. Polityki bezpieczeństwa informacji nie ma większość firm zgłaszających się do SEBITU. Najczęściej tego typu brak odkrywany jest w sytuacji krytycznej, po ataku celowanym, kiedy jest niestety za późno na jakiekolwiek reakcje. [2]
Warto pamiętać, że najsłabszym ogniwem zawsze pozostaje pracownik. Prawie 90% infekcji i włamań wynika właśnie z błędu ludzkiego, w tym ignorowania polityki i zasad bezpieczeństwa, o czym szerzej pisałem w artykule o szkoleniach z cyberbezpieczeństwa dla pracowników. Nie wystarczą zabezpieczenia systemowe (PAM, kontrola dostępu, WAF, MACsec itp.) ważne jest również przestrzeganie zasad bezpieczeństwa, które dotyczą całej kadry — od pracowników produkcji po managerów wyższego szczebla.

Przeczytaj również: Cyberataki i malware – rodzaje i metody działania przestępców

Co powinno podlegać szczególnej ochronie w firmie?

Co chronić w firmie, aby zminimalizować ryzyko ataku? Wszystko zależy od rodzaju prowadzonego biznesu. Do danych wymagających szczególnej ochrony należą najczęściej:

• dane osobowe (pracowników, klientów),
• informacje organizacyjne,
• dane dostępowe do sieci wewnętrznej, systemów IT,
• informacje finansowe, informacje o realizowanych kontraktach (zarówno planowane, bieżące, jak i historyczne),
• informacje stanowiące o przewadze konkurencyjnej przedsiębiorstwa,
• inne informacje oznaczone jako „informacji poufne” lub „dane poufne.

Jak widać dane, które musimy chronić, dotyczą wielu obszarów. Polityka bezpieczeństwa informacji powinna uwzględniać je wszystkie, szczególnie te ważne dla danego przedsiębiorstwa.

Czym jest polityka bezpieczeństwa informacji?

Polityka bezpieczeństwa informacji (w skrócie: PBI) to dokument, który określa najważniejsze zasady dotyczące ochrony zasobów fizycznych i informatycznych IT przedsiębiorstwa. Zawiera zbiór jasnych, precyzyjnych i dobrze zdefiniowanych reguł i wytycznych związanych z ochroną danych i zasobów informatycznych.

Polityka bezpieczeństwa informacji nie jest pojęciem jednoznacznym. Dotyczy wielu sfer działalności firmy. W praktyce możemy mieć do czynienia z kilkoma rodzajami dokumentów.

• Polityką bezpieczeństwa informacji dla całej organizacji, w której wyszczególnione są podstawowe procedury bezpieczeństwa wymagane od pracowników.
• Polityką bezpieczeństwa informacji dedykowaną określonemu systemowi. W tym przypadku zasady polityki bezpieczeństwa IT ograniczone są do konkretnego systemu informatycznego lub sieci wdrożonej w firmie.
• Polityką bezpieczeństwa informacji w rozumieniu Ustawy o Ochronie Danych Osobowych, która określa zasady ochrony danych osobowych i tajemnicy przedsiębiorstwa (np. informacji niejawnych).

Poza tym polityki bezpieczeństwa informacji mogą dotyczyć określonego, wąskiego zagadnienia, który jest związany z działalnością organizacji np.

• wytycznych związanych z kontrolą dostępu określających na jakich zasadach pracownicy mogą uzyskać dostęp do zasobów firmy;
• zasad reagowania na incydenty, w których otrzymujemy wytyczne jak reagować na każdorazowe naruszenie bezpieczeństwa i w trakcie jego trwania.

Dlaczego polityka bezpieczeństwa informacji jest tak ważna?

Z jednej prostej przyczyny. Jej brak lub niestosowanie się do wytycznych zawartych w polityce bezpieczeństwa informacji może doprowadzić do cyberataku i naruszenia bezpieczeństwa danych, a w efekcie do ogromnych strat finansowych i wizerunkowych firmy.

• Zapisane zasady w polityce bezpieczeństwa informacji porządkują i ujednolicają procedury. Mamy jasne i proste wytyczne, do których pracownicy mają się stosować i z których możemy ich rozliczać.
• W razie pojawienia się potencjalnego zagrożenia nie będzie chaosu informacyjnego i paniki.
• Wdrożenie polityki bezpieczeństwa informacji w firmie ma również wymiar edukacyjny – podnosi wiedzę pracowników z zakresu cyberbezpieczeństwa. W ten sposób mamy pewność, że w naszej firmie kadra jest uświadomiona i podchodzi do tych zagadnień z większym zaangażowaniem.

Przykład z życia

Co się dzieje, gdy polityki bezpieczeństwa informacji brak?

Wyobraźmy sobie firmę produkcyjną z branży spożywczej. Wszystko działa jak należy – produkcja idzie pełną parą, magazyn wysokiego składowania obsługiwany jest przez system WMS, a dział finansów właśnie przygotowuje faktury do wysyłki. Do czasu.

W piątek wieczorem – czyli w typowym momencie dla cyberataków – firma zostaje zaatakowana przez zorganizowaną grupę hakerską. Wykorzystują oni zaawansowaną technikę znaną jako atak Golden Ticket i szyfrują całą sieć korporacyjną. Zaczyna się paraliż.

• Dział finansów traci dostęp do systemu księgowego.
• System WMS nie działa – magazyn nie wydaje ani nie przyjmuje towaru.
• Kierownik IT nie może nawet wydrukować zamówienia na usługę wsparcia, bo… drukarka też padła.
• Każda decyzja wymaga zgody zarządu, który akurat przebywa za granicą.
  

I teraz najważniejsze: firma nie miała wdrożonej polityki bezpieczeństwa informacji, ani planu działania na wypadek incydentu. Nie było jasnych procedur, kto i na jakich zasadach może zlecać działania naprawcze. Każdy krok wymagał ustaleń, zebrań, konsultacji. Efekt? Firma „leżała” przez blisko dwa tygodnie, ponosząc ogromne straty operacyjne i wizerunkowe.

Co by się zmieniło, gdyby taka polityka była?

W dobrze przygotowanej firmie kierownik IT ma konkretne uprawnienia i procedury – może działać natychmiast: kontaktować się z zewnętrznym zespołem reagowania, uruchomić plan awaryjny (Disaster Recovery), wdrożyć scenariusze odzyskiwania danych. Bez czekania na podpisy i zgodę zarządu. Każdy wie, co robić – krok po kroku.

Polityka bezpieczeństwa informacji – czy jest obowiązkowa?

O tym, że polityka bezpieczeństwa informacji ma ogromne znaczenie – nie trzeba nikogo przekonywać. Pomaga zapobiegać wyciekom danych, zmniejsza ryzyko cyberataków i pozwala uporządkować działania związane z ochroną informacji w firmie. Ale jak to wygląda z punktu widzenia prawa? Czy każda firma musi mieć taki dokument?

Odpowiedź brzmi: powinna, ale nie musi.

W polskim ani europejskim prawie nie znajdziemy przepisu, który wprost nakładałby na wszystkie firmy obowiązek posiadania dokumentu o nazwie „polityka bezpieczeństwa informacji” czy „polityka ochrony danych osobowych”. Jednak nie oznacza to, że można temat zignorować.

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), administrator danych ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią bezpieczeństwo danych i umożliwią wykazanie zgodności z przepisami – to tzw. zasada rozliczalności. Co więcej, w artykule 24 RODO jasno wskazano, że jeśli jest to proporcjonalne do skali i rodzaju przetwarzania danych, środki te mogą obejmować wdrożenie wewnętrznych polityk ochrony danych.

Innymi słowy – polityka bezpieczeństwa informacji nie jest obowiązkowa z nazwy, ale w praktyce bardzo często okazuje się niezbędnym narzędziem, które ułatwia wdrażanie zasad RODO. Dzięki niej firma może nie tylko lepiej chronić dane, ale też udokumentować, że robi to w sposób świadomy i zgodny z przepisami.

To, czy dokument będzie wymagany, zależy m.in. od:

• rodzaju przetwarzanych danych (np. dane wrażliwe, dane klientów),
• charakteru działalności (np. sektor finansowy, medyczny, edukacja),
• skali działalności i współpracy z kontrahentami (szczególnie w UE),
• wyników przeprowadzonej analizy ryzyka.
  

Dobrze przygotowana polityka bezpieczeństwa infromacji, dostosowana do specyfiki firmy, nie tylko spełnia wymagania prawne, ale realnie pomaga w organizacji procesów, podnosi poziom świadomości wśród pracowników i ułatwia audyty.

Co zawiera polityka bezpieczeństwa informacji?

Nie istnieje szablon czy uniwersalny wzór polityki bezpieczeństwa informacji. Każdy tego typu dokument powinien być zawsze indywidualnie przygotowany dla wybranej organizacji. Przed zdefiniowaniem zbioru zasad i wytycznych należy przeprowadzić gruntowny audyt bezpieczeństwa aplikacji i infrastruktury sprzętowej IT, który pomoże nam wykryć luki zagrożenia i zdefiniować określone procedury zachowania w razie sytuacji kryzysowej.

Podstawowymi zasadami, na których opiera się polityka bezpieczeństwa informacji, są:

• Zasada poufności informacji (gwarantuje, że dostęp do określonych danych mają tylko i wyłącznie osoby do tego upoważnione)
• Zasada integralności informacji (dane nie mogą ulec modyfikacji przez osoby trzecie)
• Zasada dostępności systemów i danych (dane mogę być udostępnione tylko w określonym momencie i w określony sposób np. przez pracownika w godzinach jego pracy)

W polityce bezpieczeństwa informacji powinny być zawarte jasne i przejrzyste wskazówki dla pracowników, które definiują zagrożenia i ustalają zasady, które pomogą im zapobiec.

W dokumencie mogą być omówione następujące kwestie:

• sposoby ochrony dostępu do danych na stacjach roboczych;
• zasady ustalania i wykorzystywana haseł przez pracowników;
• odpowiedzialność pracowników za dane dostępowe do systemów i odpowiedzialności za dane poufne;
• edukacja pracowników w zakresie bezpieczeństwa;
• ustalenia związane z przetwarzaniem, udostępnieniem poufnych danych;
• sposoby i wytyczne związane z monitoringiem bezpieczeństwa;
• regulacje dotyczące ochrony danych osobowych;
• kwestie ochrony sieci lokalnej (LAN);
• zabezpieczenia systemów IT / serwerów;
• wytyczne dotyczące dokumentowania incydentów bezpieczeństwa;
• zasady korzystania z firmowej infrastruktury IT w celach prywatnych;
• tworzenie kopii zapasowych;
• publiczne udostępnianie infrastruktury IT;
• procedury reagowania na naruszenie bezpieczeństwa;
• regulacje dotyczące dostępu do systemów IT po rozwiązaniu umowy o pracę;
• metody weryfikacji przestrzegania polityki bezpieczeństwa informacji przez pracowników.

W zależności od potrzeb polityka bezpieczeństwa informacji może być wzbogacona o dokumentację dodatkową, która uszczegóławia pewne zagadnienia np. metody uwierzytelniania do sieci WLAN czy sposoby korzystania z kont uprzywilejowanych.

Polityka bezpieczeństwa informacji, a akty prawne

Warto nadmienić, że polityka bezpieczeństwa informacji nie jest dokumentem prawnie wymaganym. Nie musimy jej posiadać, jednak jest to rekomendowane. Jej wdrożenie i zdefiniowanie należy do wewnętrznych procedur przedsiębiorstwa. W przygotowaniu polityki bezpieczeństwa informacji należy opierać się na konkretnych ustawach i stosować się do dyrektyw Unii Europejskiej.
Podstawową normą standaryzującą systemy zarządzania bezpieczeństwem informacji jest ISO 27001. Omawia aż 11 kluczowych obszarów bezpieczeństwa i zawiera specyfikację Systemów Zarządzania Bezpieczeństwem Informacji (SZBI).

Do pozostałych dokumentów i ustaw należą między innymi:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
• Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, (art. 10 ustawy wg którego operatorzy mają obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej).
• Ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne, a obowiązki dostawców usług zaufania – rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
• Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
• Unijna dyrektywa PSD2 (Payment Services Directive 2), która dotyczy głównie sektora finansów i bankowości.

Kto powinien zająć się wdrożeniem polityki bezpieczeństwa informacji?

Jak wspomniałem wcześniej, polityka bezpieczeństwa informacji to kluczowy dokument, który pomaga zabezpieczyć infrastrukturę sprzętową i dane przechowywane w firmie. Polityka musi być ściśle dopasowana do specyfiki prowadzonego biznesu i struktury firmy. Zawsze powinna być poprzedzona audytem, który warto zlecić firmie zewnętrznej.
W związku, z tym że wytyczne i zasady zawarte w dokumencie obejmują kilka obszarów bezpieczeństwa prace nad przygotowaniem spójnej polityki powinny być też poprzedzone rozmowami z poszczególnymi działami firmy. Przy przygotowywaniu dokumenty należy skonsultować się m.in. z działem finansów, kadr czy zasobów ludzkich, aby uwzględnić wszystkie potencjalne luki i zagrożenia.
Zazwyczaj pieczę nad przygotowaniem, rozwojem i aktualizacją polityki bezpieczeństwa informacji sprawuje główny specjalista do spraw bezpieczeństwa w firmie. Jeżeli takiej osoby/stanowiska nie ma, najlepiej zlecić tego typu zadanie firmie zewnętrznej, która będzie wykonywać audyt.

Co dalej po wdrożeniu polityki bezpieczeństwa informacji? Czas na SZBI

Polityka bezpieczeństwa informacji jest istotna we wszystkich firmach, którym zależy na odpowiednim przetwarzaniu i ochronie danych – zarówno tych mniej, jak i bardziej newralgicznych, mających znaczenie dla bezpieczeństwa organizacji. Jednak sama polityka bezpieczeństwa informacji może okazać się niewystarczająca, zwłaszcza w dobie dynamicznego rozwoju technologii i rosnących zagrożeń cybernetycznych.

W wielu jednostkach i organizacjach konieczne może być bardziej złożone i kompleksowe podejście do zarządzania bezpieczeństwem informacji. Takie podejście oferuje właśnie System Zarządzania Bezpieczeństwem Informacji (SZBI). Czym jest on w praktyce?

Podobnie jak w przypadku planu awaryjnego (Disaster Recovery) – który pomaga firmie odzyskać sprawność po awarii lub cyberataku – polityka bezpieczeństwa nie tylko porządkuje działania na co dzień, ale także pozwala przygotować się na sytuacje kryzysowe.

System Zarządzania Bezpieczeństwem Informacji (SZBI), jak sama nazwa wskazuje, to znacznie więcej niż pojedynczy dokument. To całościowe, dobrze zorganizowane podejście do ochrony informacji w firmie. Obejmuje nie tylko zestaw procedur i wytycznych, ale także powiązane z nimi procesy, struktury organizacyjne, role, odpowiedzialności, a także techniczne środki ochrony. 

Dla firm, które poważnie podchodzą do tematu, wdrożenie takiego systemu to nie tylko sposób na zwiększenie bezpieczeństwa, ale też dowód wiarygodności wobec klientów i partnerów biznesowych.

SZBI, a nowe regulacje – czyli NIS2 w praktyce

Wraz z wejściem w życie unijnej dyrektywy NIS2, część firm została zobowiązana do wdrożenia konkretnych rozwiązań w zakresie cyberbezpieczeństwa – w tym właśnie Systemu Zarządzania Bezpieczeństwem Informacji. Dotyczy to m.in. firm z sektora:

• infrastruktury krytycznej (transport, energetyka, zdrowie),
• usług cyfrowych i technologii,
• logistyki i łańcucha dostaw.
  

W ramach wymagań NIS2 firmy muszą opracować i utrzymywać m.in.:

• polityki bezpieczeństwa informacji,
• plany ciągłości działania i Disaster Recovery,
• procedury reagowania na incydenty,
• szkolenia pracowników,
• dokumentację zgodności i audyty.

Więcej o NIS2 przeczytasz w naszym przewodniku: NIS2 – co musisz wiedzieć i jak się przygotować?

Chcesz zdefiniować politykę bezpieczeństwa informacji w firmie?

Zapraszam do kontaktu telefonicznego +48 22 299 25 15 lub pozostaw wiadomość przez formularz kontaktowy. Wybierzemy najlepszą opcję pod względem potrzeb biznesowych.

Przypisy:

1. Zabezpieczenia: znamy, często stosujemy [dostęp 27.05.2022r.]
2. CRN Vademecum Q1/2022 [dostęp 27.05.2022r.]

Piotr Tamulewicz, doradca ds. rozwiązań IT w SEBITU.

Średnia Ocena: 5.0 z 5 (1 ocen)

5 gwiazd

1

4 gwiazdy

0

3 gwiazdy

0

2 gwiazdy

0

1 gwiazda

0

Kinga Andrzejewska

Czas realizacji

Ile czasu trwa przygotowanie Polityki Bezpieczeństwa Informacji i ile czasu trwa wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji?

1 miesiąc temu

Piotr Tamulewicz

Czas realizacji

Przygotowanie Polityki Bezpieczeństwa Informacji zajmuje od kilku tygodni (najczęściej 3-6 tygodni), wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji od kilku miesięcy (najczęściej jest to około roku). Termin realizacji takich zleceń w znaczy stopniu zależy od organizacji pracy ze strony Zamawiającego (wolne terminy na spotkania, dyspozycyjność osób kontaktowych) i szybkości wymiany informacji, przesyłania niezbędnych d0okumentów potrzebnych do wykonania zlecenia.

1 miesiąc temu

Recenzja: Polityka bezpieczeństwa informacji (IT) – co zawiera i dlaczego jest konieczna w firmie?. Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Twoja ocena

Twoja opinia

Twój komentarz *

Imię *

Email *

Zapamiętaj moje dane w tej przeglądarce podczas pisania kolejnych komentarzy.

Przesyłając swój adres email, jednocześnie wyrażam zgodę na przetwarzanie danych osobowych zgodnie z polityką prywatności i wysyłkę newslettera.