Metodyka TISM
TISM (Total Information Security Management) może być zastosowana do ochrony najcenniejszych informacji firmowych stanowiących tajemnicę przedsiębiorstwa oraz innych informacji prawnie chronionych. Metodyka opracowana została przez European Network Security Institute. Metodyka TISM pozwala zbudować modułową i hierarchiczną Politykę Bezpieczeństwa Informacji. Wiodącym celem metodyki jest stworzenie konkretnej struktury zarządzania, czyli określenie ról zarządzających i kontrolnych, niezbędnych dla podtrzymania procesów ochrony informacji. Wdrażana PBI określa podstawowe zasady ochrony informacji, niezależnie od formy ich przetwarzania. Podstawą jest opracowanie szczegółowych założeń bezpieczeństwa jakie muszą spełniać systemy, w których informacje chronione są lub będą przetwarzane, jak również określenie praw, obowiązków i odpowiedzialności osób dopuszczonych do informacji chronionych. Metodyka TISM jest z powodzeniem stosowana przy wdrożeniach Systemów Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnie z normą PN: ISO/IEC 27001:2014. Polityka Bezpieczeństwa Informacji tworzona wg metodyki TISM określa:
  • jakie grupy informacji będą podlegały ochronie;
  • w jakich systemach będą one mogły być przetwarzane;
  • kto i na jakich zasadach będzie mieć dostęp do informacji chronionych;
  • kto będzie odpowiedzialny za bezpieczeństwo informacji w organizacji;
  • kto będzie odpowiedzialny za zarządzanie grupami informacji chronionych;
  • kto będzie odpowiedzialny za zarządzanie bezpieczeństwem grup informacji chronionych;
  • kto będzie odpowiedzialny za bezpieczeństwo systemów przetwarzania grup informacji chronionych.
W metodyce zdefiniowano trzy podstawowe poziomy zarządzania bezpieczeństwem informacji:
  • Polityka Bezpieczeństwa Informacji – określenie wymagań bezpieczeństwa;
  • Grupa Informacji – uszczegółowienie wymagań dla grup informacji;
  • System przetwarzania – spełnienie wymagań bezpieczeństwa przez systemy.
W metodyce określono również następujące role związane z zarządzaniem bezpieczeństwem informacji:
  • Główny Administrator Informacji;
  • Główny Administrator Bezpieczeństwa Informacji;
  • Administrator Grupy Informacji;
  • Administrator Bezpieczeństwa Grupy Informacji;
  • Administrator Systemu;
  • Administrator Bezpieczeństwa Systemu;
  • Główny Administrator Bezpieczeństwa Systemów.