Przejdź do treści
nis2.org.plby AYO Solutions

SZBI i dokumentacja

SZBI — system zarządzania bezpieczeństwem informacji

SZBI to sposób, w jaki organizacja stale zarządza bezpieczeństwem informacji i systemów. Łączy odpowiedzialność zarządu, analizę ryzyka, procesy, ludzi, technologię, dokumentację, pomiary i doskonalenie. Nie jest pojedynczą polityką ani projektem kończącym się po audycie.

Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0

Odpowiedź w 30 sekund

  • SZBI określa, co chronimy, przed czym, kto odpowiada i jak sprawdzamy skuteczność
  • musi obejmować rzeczywiste procesy oraz systemy w ustalonym zakresie
  • dokumentacja opisuje zasady, ale dowody pokazują, że zasady działają
  • system powinien być regularnie przeglądany przez kierownictwo
  • certyfikat ISO 27001 może wspierać uporządkowanie, ale nie zastępuje indywidualnej oceny wymagań KSC

Co SZBI daje organizacji?

  • porządkuje odpowiedzialność
  • pozwala kierować budżet do najważniejszych ryzyk
  • łączy bezpieczeństwo z ciągłością działania
  • zmniejsza zależność od wiedzy pojedynczych osób
  • ujednolica sposób obsługi incydentów, dostępów, zmian, podatności i dostawców
  • zapewnia materiał dowodowy dla zarządu, audytora i organu nadzoru
  • wymusza sprawdzanie, czy środki są skuteczne
  • ułatwia uczenie się po incydentach i testach

Z czego składa się SZBI?

Kontekst i zakres

Organizacja określa usługi, procesy, lokalizacje, jednostki, systemy, dane i zależności objęte systemem. Zakres powinien być uzasadniony i spójny z działalnością objętą KSC. Nie może sztucznie wyłączać elementów niezbędnych do świadczenia usługi.

Przywództwo i governance

Zarząd ustanawia kierunek, cele, role i zasoby. Właściciele procesów oraz ryzyk podejmują decyzje w swoim zakresie. Funkcja bezpieczeństwa koordynuje metodykę i monitorowanie.

Zarządzanie ryzykiem

Ryzyko jest oceniane systematycznie, według zatwierdzonej metodyki. Dla ryzyk wybiera się działania: ograniczenie, unikanie, przeniesienie lub świadomą akceptację. Akceptacja musi odpowiadać poziomowi uprawnień.

Operacyjne środki bezpieczeństwa

Obejmują między innymi dostęp, aktywa, podatności, zmiany, monitoring, incydenty, ciągłość, dostawców, kryptografię, personel i ochronę fizyczną.

Ocena skuteczności i doskonalenie

Organizacja prowadzi pomiary, testy, audyty wewnętrzne, przeglądy zarządcze oraz działania korygujące. Sama obecność kontroli nie oznacza, że działa ona skutecznie. SZBI jest aktualizowany po zmianach organizacyjnych i technologicznych, incydentach, testach, audytach, zmianach prawa oraz pojawieniu się nowych zagrożeń.

Cykl działania

  1. 1

    Zaplanuj

    zakres, ryzyko, cele i plan działań

  2. 2

    Wykonaj

    procesy, szkolenia, zabezpieczenia i dokumentację

  3. 3

    Sprawdź

    KPI, KRI, testy, audyt, incydenty i dowody

  4. 4

    Popraw

    działania korygujące, zmiany priorytetów i aktualizacja systemu

Ten cykl powinien być widoczny w realnych kalendarzach i odpowiedzialnościach, a nie tylko opisany w polityce.

Zakres SZBI — pytania kontrolne

  • Jakie usługi są objęte KSC?
  • Które procesy biznesowe są konieczne do ich świadczenia?
  • Jakie jednostki, lokalizacje i spółki uczestniczą?
  • Jakie systemy IT, OT, dane i połączenia wspierają procesy?
  • Jakie usługi zewnętrzne i chmurowe są niezbędne?
  • Którzy pracownicy i podwykonawcy mają dostęp?
  • Czy wyłączenie jest rzeczywiście niezależne od usługi objętej zakresem?
  • Czy zakres jest spójny z BIA, mapą aktywów i umowami?

Trzy poziomy wdrożenia

Minimum rozsądne

  • zatwierdzony zakres i polityka nadrzędna
  • role i RACI
  • metodyka oraz rejestr ryzyka
  • podstawowe polityki operacyjne
  • rejestry aktywów, dostawców i incydentów
  • plan ciągłości i reagowania
  • podstawowe mierniki
  • coroczny przegląd zarządczy
  • audyt wewnętrzny i działania korygujące

Poziom dojrzały

  • mapa usług i kontroli
  • integracja z zarządzaniem zmianą, projektami i zakupami
  • cykliczne przeglądy ryzyka w biznesie
  • automatyczne źródła danych do KPI
  • rozwinięty model dostawców
  • regularne ćwiczenia i testy scenariuszowe
  • wspólna biblioteka dowodów
  • raportowanie ryzyka do zarządu

Poziom podwyższony

  • ciągłe monitorowanie ryzyka i kontroli
  • zaawansowana korelacja zdarzeń
  • red teaming lub purple teaming
  • testy odporności łańcucha dostaw
  • zaawansowane zarządzanie ekspozycją
  • dedykowane zabezpieczenia OT i środowisk krytycznych
  • model wielu spółek i wspólnych usług
  • niezależne assurance dla zarządu

Najczęstsze błędy

  • zakres opisany jednym zdaniem, bez mapy zależności
  • role przypisane osobom bez mandatu i czasu
  • rejestr ryzyka tworzony wyłącznie na potrzeby audytu
  • dokumenty kopiowane z innej organizacji
  • brak właścicieli dokumentów i zapisów
  • brak powiązania BIA z backupem i DR
  • brak mierników skuteczności
  • audyt wewnętrzny wykonywany przez osoby audytujące własną pracę
  • zamknięcie działań bez dowodu
  • brak przeglądu po zmianie lub incydencie

Dowody działania SZBI

  • zatwierdzenia i protokoły zarządu
  • rejestr ryzyka i decyzje właścicieli
  • wyniki przeglądów dostępów
  • raporty z podatności i aktualizacji
  • logi i raporty monitoringu
  • wyniki testów backupu oraz DR
  • rejestr i analizy incydentów
  • wyniki szkoleń i oceny dostawców
  • audyty, niezgodności i działania korygujące
  • realizacja celów i KPI/KRI

Zbuduj działający system, nie segregator

Powiązane materiały

Źródła i podstawa opracowania

Igor Bielecki

CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA

O zespole

Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.

Porozmawiajmy o Twojej sytuacji

Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.

igor.bielecki@gmail.com