SZBI i dokumentacja
SZBI — system zarządzania bezpieczeństwem informacji
SZBI to sposób, w jaki organizacja stale zarządza bezpieczeństwem informacji i systemów. Łączy odpowiedzialność zarządu, analizę ryzyka, procesy, ludzi, technologię, dokumentację, pomiary i doskonalenie. Nie jest pojedynczą polityką ani projektem kończącym się po audycie.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowied ź w 30 sekund
- SZBI określa, co chronimy, przed czym, kto odpowiada i jak sprawdzamy skuteczność
- musi obejmować rzeczywiste procesy oraz systemy w ustalonym zakresie
- dokumentacja opisuje zasady, ale dowody pokazują, że zasady działają
- system powinien być regularnie przeglądany przez kierownictwo
- certyfikat ISO 27001 może wspierać uporządkowanie, ale nie zastępuje indywidualnej oceny wymagań KSC
Co SZBI daje organizacji?
- porządkuje odpowiedzialność
- pozwala kierować budżet do najważniejszych ryzyk
- łączy bezpieczeństwo z ciągłością działania
- zmniejsza zależność od wiedzy pojedynczych osób
- ujednolica sposób obsługi incydentów, dostępów, zmian, podatności i dostawców
- zapewnia materiał dowodowy dla zarządu, audytora i organu nadzoru
- wymusza sprawdzanie, czy środki są skuteczne
- ułatwia uczenie się po incydentach i testach
Z czego składa się SZBI?
Kontekst i zakres
Organizacja określa usługi, procesy, lokalizacje, jednostki, systemy, dane i zależności objęte systemem. Zakres powinien być uzasadniony i spójny z działalnością objętą KSC. Nie może sztucznie wyłączać elementów niezbędnych do świadczenia usługi.
Przywództwo i governance
Zarząd ustanawia kierunek, cele, role i zasoby. Właściciele procesów oraz ryzyk podejmują decyzje w swoim zakresie. Funkcja bezpieczeństwa koordynuje metodykę i monitorowanie.
Zarządzanie ryzykiem
Ryzyko jest oceniane systematycznie, według zatwierdzonej metodyki. Dla ryzyk wybiera się działania: ograniczenie, unikanie, przeniesienie lub świadomą akceptację. Akceptacja musi odpowiadać poziomowi uprawnień.
Operacyjne środki bezpieczeństwa
Obejmują między innymi dostęp, aktywa, podatności, zmiany, monitoring, incydenty, ciągłość, dostawców, kryptografię, personel i ochronę fizyczną.
Ocena skuteczności i doskonalenie
Organizacja prowadzi pomiary, testy, audyty wewnętrzne, przeglądy zarządcze oraz działania korygujące. Sama obecność kontroli nie oznacza, że działa ona skutecznie. SZBI jest aktualizowany po zmianach organizacyjnych i technologicznych, incydentach, testach, audytach, zmianach prawa oraz pojawieniu się nowych zagrożeń.
Cykl działania
- 1
Zaplanuj
zakres, ryzyko, cele i plan działań
- 2
Wykonaj
procesy, szkolenia, zabezpieczenia i dokumentację
- 3
Sprawdź
KPI, KRI, testy, audyt, incydenty i dowody
- 4
Popraw
działania korygujące, zmiany priorytetów i aktualizacja systemu
Ten cykl powinien być widoczny w realnych kalendarzach i odpowiedzialnościach, a nie tylko opisany w polityce.
Zakres SZBI — pytania kontrolne
- Jakie usługi są objęte KSC?
- Które procesy biznesowe są konieczne do ich świadczenia?
- Jakie jednostki, lokalizacje i spółki uczestniczą?
- Jakie systemy IT, OT, dane i połączenia wspierają procesy?
- Jakie usługi zewnętrzne i chmurowe są niezbędne?
- Którzy pracownicy i podwykonawcy mają dostęp?
- Czy wyłączenie jest rzeczywiście niezależne od usługi objętej zakresem?
- Czy zakres jest spójny z BIA, mapą aktywów i umowami?
Trzy poziomy wdrożenia
Minimum rozsądne
- zatwierdzony zakres i polityka nadrzędna
- role i RACI
- metodyka oraz rejestr ryzyka
- podstawowe polityki operacyjne
- rejestry aktywów, dostawców i incydentów
- plan ciągłości i reagowania
- podstawowe mierniki
- coroczny przegląd zarządczy
- audyt wewnętrzny i działania korygujące
Poziom dojrzały
- mapa usług i kontroli
- integracja z zarządzaniem zmianą, projektami i zakupami
- cykliczne przeglądy ryzyka w biznesie
- automatyczne źródła danych do KPI
- rozwinięty model dostawców
- regularne ćwiczenia i testy scenariuszowe
- wspólna biblioteka dowodów
- raportowanie ryzyka do zarządu
Poziom podwyższony
- ciągłe monitorowanie ryzyka i kontroli
- zaawansowana korelacja zdarzeń
- red teaming lub purple teaming
- testy odporności łańcucha dostaw
- zaawansowane zarządzanie ekspozycją
- dedykowane zabezpieczenia OT i środowisk krytycznych
- model wielu spółek i wspólnych usług
- niezależne assurance dla zarządu
Najczęstsze błędy
- zakres opisany jednym zdaniem, bez mapy zależności
- role przypisane osobom bez mandatu i czasu
- rejestr ryzyka tworzony wyłącznie na potrzeby audytu
- dokumenty kopiowane z innej organizacji
- brak właścicieli dokumentów i zapisów
- brak powiązania BIA z backupem i DR
- brak mierników skuteczności
- audyt wewnętrzny wykonywany przez osoby audytujące własną pracę
- zamknięcie działań bez dowodu
- brak przeglądu po zmianie lub incydencie
Dowody działania SZBI
- zatwierdzenia i protokoły zarządu
- rejestr ryzyka i decyzje właścicieli
- wyniki przeglądów dostępów
- raporty z podatności i aktualizacji
- logi i raporty monitoringu
- wyniki testów backupu oraz DR
- rejestr i analizy incydentów
- wyniki szkoleń i oceny dostawców
- audyty, niezgodności i działania korygujące
- realizacja celów i KPI/KRI
Zbuduj działający system, nie segregator
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com