WYBRANE ASPEKTY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI W URZĘDACH MARSZAŁKOWSKICH WprowadzeniePrzez "System Zarządzania Bezpieczeństwem Informacji" (SZBI, ang. Information Security Management System) rozumie się (według definicji zawartych w normach ISO/IEC z serii 27000), część systemu zarządzania, opierającą się na koncepcji zarzą-dzania ryzykiem biznesowym, a odpowiedzialną za ustanowienie, wdrożenie, funkcjonowanie, monitorowanie, przeglądy, utrzymanie i doskonalenie bezpieczeństwa informacji, przy czym sam system zarządzania jest rozumiany jako zbiór wytycznych, polityk, procedur, procesów i związanych z nimi zasobów (a więc zarówno zasobów materialnych, takich jak komputery czy maszyny, zasobów ludzkich -jak pracownicy wraz z ich umiejętnościami i doświadczeniem, jak i zasobów niematerialnych -jak programy komputerowe czy kultura organizacyjna) mających na celu zapewnienie organizacji spełnie-nia swoich zadań (por. ISO/IEC 27000:2009, Gillies, 2011, s. 367-376, Humphreys, 2007.Na podkreślenie zasługują przynajmniej dwa elementy definicji normatywnych: podejście systemowe, w szczególności związane z tym, że SZBI tworzą nie tylko same "papierowe" zapisy (procedury, normy, zarządzenia itd.) ale i wszelkie zasoby mające związek z bezpieczeństwem informacji oraz oparcie bezpieczeństwa informacji na koncepcji zarządzania ryzykiem biznesowym (por. PN-ISO 31000:2012). Zgodnie z tym podejściem, elementami zarzą-dzania ryzkiem (rozumianym w ogólności jako skutek niepewności, a w szcze- 39Dominika Lisiak-Felicka, Maciej Szmit gólności -w odniesieniu do ryzyka zagrożeń -jako kombinacja prawdopodobieństwa zmaterializowania się potencjalnego zagrożenia i jego skutków, a więc jako wartość oczekiwana potencjalnych strat wynikających ze zrealizowania się potencjalnego zagrożenia) jest jego oszacowanie oraz zaplanowanie odpowiedniego postępowania z nim (a więc podjęcie decyzji o jego uniknięciu, akceptacji, przeniesieniu itp.), przy czym oczywiście podejście biznesowe prowadzi do wniosku, że wartość środków poniesionych na wybrany sposób postąpienia z danym ryzykiem nie może przekraczać spodziewanej wartości strat wynikłych z konsekwencji ewentualnego zmaterializowania się zagrożeń (por. np. Staniec, Zawiła-Niedźwiecki, 2008, s. 201-228). Ten ostatni element może budzić wątpliwość w odniesieniu do zarządzania bezpieczeń-stwem informacji w organizacjach niebiznesowych, w tym w urzędach administracji państwowej i samorządowej. O ile bowiem dla organizacji gospodarczej stosunkowo łatwo (przynajmniej co do zasady) jest oszacować ekonomiczną wartość naruszenia bezpieczeństwa poszczególnych informacji (zob. np. McCandless, World's Biggest Data Breaches & Hacks, Białas, 2007), o tyle administracja państwowa, rządowa czy samorządowa nie kieruje się zasadą maksymalizacji zysku. Jednostki samorządu terytorialnego (w kontekście prowadzonego badania -samorządy województw, których zarządy wykonują zadania przy pomocy urzędów marszałkowskich), finansowane są z budżetu państwa (w postaci dotacji celowej i subwencji ogólnej) oraz z do...
Aim/purpose–The paper contains descriptive exploratory research on the implementa-tion of General Data Protection Requirements (GDPR) in a group of Polish public ad-ministration offices. The purpose of this research is to investigate the current state of personal data protection in the entities surveyed.Design/methodology/approach–The diagnostic survey method using the Computer Assisted Web Interview was employed. The survey was conducted in local government administration offices a year and a half after the GDPRimplementation.Findings–All marshal offices and the majority of districts (about 80%) confirmed that they comply with all the GDPR requirements. The situation was slightly worse in munic-ipal offices –about 23% of them declared that they do not complywith all the GDPR requirements. In officials’ opinion this situation may be improved by conducting training for employees, employee engagement, and appropriate support of the office manage-ment. Another aspect that draws attention is a very small budget dedicated to the GDPR implementation and maintenance in most of the offices surveyed.Research implications/limitations–The limitation of the findings is the relatively low responsiveness of the questionnaire survey.Originality/value/contribution–The research concerns a relatively new subject. The state of personal data protection in public administration in Poland after 18 months of the GDPR implementation was analyzed. So far, there is no comprehensive research that has been conducted into this field in local government administration.
The article is devoted to the issues related to an information security management in medical entities. The healthcare entities have been amongst the prime targets for hackers for several years. According to the IBM report “The 2016 X-Force Cyber Security Intelligence Index” in 2015 most of the attacks were carried out against these entities. The years 2016 and 2017 also witnessed spectacular cyberattacks, for example: medical records breach of 3.3 million people because of an unauthorized access to a server in the US, some WannaCry ransomware attacks on the UK hospitals, some MongoDB Database Leaks in the US or NotPetya ransomware attacks in the US hospitals. Entities performing medical activity are processing personal data concerning health that is classified as a “sensitive data” and needs a special protection. The article presents the results of the survey – interviews with IT managers (or designated persons) in entities performing medical activity in Lodz Voivodeship in Poland. The aim of the research was analysis and evaluation of information security management in these entities. The interviews had been performed between December, 2017 and January, 2018. As the results of the research, the ways of information security management were identified (in particular such aspects as: characteristics of the information security teams, information security management system auditing, risk management, information security incidents, budgets for information security, training and the General Data Protection Regulation implementation). The paper also describes the types of information that should be protected in healthcare entities and characteristic of surveyed entities that subordinate to the local government of Lodz Voivodeship in Poland.
scite is a Brooklyn-based organization that helps researchers better discover and understand research articles through Smart Citations–citations that display the context of the citation and describe whether the article provides supporting or contrasting evidence. scite is used by students and researchers from around the world and is funded in part by the National Science Foundation and the National Institute on Drug Abuse of the National Institutes of Health.
customersupport@researchsolutions.com
10624 S. Eastern Ave., Ste. A-614
Henderson, NV 89052, USA
Copyright © 2024 scite LLC. All rights reserved.
Made with 💙 for researchers
Part of the Research Solutions Family.