Strona główna  /  Internet  /  Szbi – co to znaczy i skąd pochodzi ten skrót?

Szbi – co to znaczy i skąd pochodzi ten skrót?

Smartfon z otwartym czatem i emotikonami w dłoni użytkownika, na biurku obok laptopa i kawy w przytulnym wnętrzu.

Skrót SZBI oznacza System Zarządzania Bezpieczeństwem Informacji – spójny zestaw zasad, procedur i narzędzi, który ma chronić dane, ograniczać ryzyko i zapewniać zgodność z wymaganiami prawnymi. Pojęcie wywodzi się z normy ISO/IEC 27001 i zostało przejęte do polskich regulacji dotyczących ochrony danych i cyberbezpieczeństwa. Jeśli chcesz szybko zorientować się, co kryje się pod tym skrótem i jak powstał, przeczytaj dalszą część artykułu.

Co oznacza skrót SZBI?

SZBI to rozwinięcie nazwy System Zarządzania Bezpieczeństwem Informacji. Pod tą nazwą kryje się nie jeden dokument, ale całe podejście do ochrony informacji – od danych osobowych, przez informacje poufne, po tajemnicę przedsiębiorstwa. System obejmuje polityki, procedury, instrukcje, mechanizmy techniczne i sposób ich nadzorowania. Chodzi o to, aby poufność, integralność i dostępność informacji nie zależały od przypadku, lecz od jasno zaprojektowanego systemu.

Dobrze wdrożony SZBI ma trzy główne cele: ochrona danych, zarządzanie ryzykiem oraz zgodność z regulacjami prawnymi i umownymi. Ochrona oznacza zabezpieczenie informacji przed nieuprawnionym dostępem, zmianą lub zniszczeniem. Zarządzanie ryzykiem polega na świadomej decyzji, które zagrożenia akceptujesz, które minimalizujesz, a których unikasz. Zgodność to dopasowanie systemu do takich aktów jak RODO, ustawa o ochronie danych osobowych czy ustawa o krajowym systemie cyberbezpieczeństwa.

System Zarządzania Bezpieczeństwem Informacji (SZBI) to ustrukturyzowane podejście, które łączy procesy, technologię i ludzi, aby trwale chronić informacje i panować nad ryzykiem.

Bez formalnego systemu organizacje często działają reaktywnie – reagują dopiero po incydencie. SZBI wymusza inne podejście: cykliczne planowanie, wdrażanie, sprawdzanie i doskonalenie zabezpieczeń zgodnie z cyklem PDCA (Plan-Do-Check-Act). Dzięki temu bezpieczeństwo informacji staje się elementem zarządzania organizacją, a nie jednorazowym projektem.

Skąd pochodzi pojęcie System Zarządzania Bezpieczeństwem Informacji?

Termin SZBI nie wziął się z próżni. Najpierw pojawiły się normy międzynarodowe dotyczące ochrony informacji, a dopiero później podobne wymagania zaczęto wpisywać w przepisy krajowe. Dziś, w 2026 roku, to już spójny zestaw wymagań: od standardów ISO, przez RODO, po przepisy o krajowym systemie cyberbezpieczeństwa.

Norma ISO/IEC 27001 i PN-EN ISO/IEC 27001

Międzynarodowy standard ISO/IEC 27001 to źródło samej koncepcji systemu zarządzania bezpieczeństwem informacji. Jego korzenie sięgają brytyjskiego standardu BS 7799, opublikowanego po raz pierwszy w 1995 roku – to właśnie z niego wywodzi się idea formalnego systemu ochrony informacji. Pierwszą wersję ISO/IEC 27001 opublikowano w 2005 roku, później zaktualizowano ją w 2013 i 2022 roku, aby nadążyć za nowymi zagrożeniami i technologiami. Polska wersja funkcjonuje jako PN-EN ISO/IEC 27001 i jest bezpośrednim odniesieniem dla krajowych organizacji.

Struktura normy opiera się na tzw. High-Level Structure – wspólnej ramie dla systemów ISO (np. z ISO 9001). Klauzule 4–10 opisują cały „szkielet” SZBI:

  • Klauzula 4 – Kontekst organizacji: identyfikacja wewnętrznych i zewnętrznych czynników wpływających na bezpieczeństwo informacji, interesariuszy oraz precyzyjne określenie zakresu SZBI.
  • Klauzula 5 – Przywództwo: wymagania dotyczące bezpośredniego zaangażowania najwyższego kierownictwa, ustanowienia polityki bezpieczeństwa oraz jasnego przypisania ról i odpowiedzialności.
  • Klauzula 6 – Planowanie: identyfikacja ryzyk oraz szans, wyznaczenie mierzalnych celów SZBI i zaplanowanie działań zaradczych.
  • Klauzula 7 – Wsparcie: zapewnienie odpowiednich zasobów, budowanie kompetencji i świadomości pracowników, komunikacja oraz zarządzanie udokumentowanymi informacjami.
  • Klauzula 8 – Działania operacyjne: operacyjne planowanie, wdrażanie i nadzorowanie procesów bezpieczeństwa oraz bieżące zarządzanie ryzykiem.
  • Klauzula 9 – Ocena efektów działania: systematyczne monitorowanie i pomiary, audyty wewnętrzne oraz przeglądy zarządzania przez kierownictwo.
  • Klauzula 10 – Doskonalenie: działania korygujące w odpowiedzi na niezgodności i ciągłe udoskonalanie SZBI.

Załącznik A, w wersji z 2022 roku, zawiera 93 środki bezpieczeństwa pogrupowane w cztery obszary: organizacyjne (A.5), ludzkie (A.6), fizyczne (A.7) i technologiczne (A.8). To właśnie te kontrole, powiązane z normą ISO/IEC 27002, organizacje dobierają na podstawie wyników analizy ryzyka. Aktualizacja z 2022 roku wprowadziła przy tym nowe, istotne zabezpieczenia, dotyczące m.in. korzystania z usług chmurowych, ochrony danych osobowych i prywatności oraz mechanizmów zapobiegania utracie danych (DLP – Data Loss Prevention).

Załącznik A ISO/IEC 27001:2022 redukuje liczbę zabezpieczeń z 114 do 93 i grupuje je w 4 kategorie, porządkując podejście do ochrony informacji.

Dzięki temu, że ISO/IEC 27001 opiera się na strukturze High-Level Structure (HLS), SZBI można łatwo zintegrować z innymi systemami zarządzania funkcjonującymi już w organizacji – np. ISO 9001 (zarządzanie jakością) czy ISO 22301 (zarządzanie ciągłością działania). W praktyce oznacza to możliwość stworzenia jednego, spójnego systemu zarządzania, zamiast kilku równoległych, rozłącznych struktur.

Wymogi prawa krajowego

W Polsce pojęcie SZBI szczególnie mocno pojawia się przy podmiotach publicznych i tzw. podmiotach ważnych dla krajowego systemu cyberbezpieczeństwa. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wraz z załącznikiem nr 4, opisuje minimalny katalog środków, które taki system powinien obejmować. Reguluje to wprost: SZBI nie jest dobrowolnym rozwiązaniem, lecz wymogiem należytej staranności przy ochronie systemów informacyjnych.

Ustawa o ochronie danych osobowych nakazuje z kolei ustanowić politykę bezpieczeństwa danych osobowych oraz Instrukcję zarządzania systemem informatycznym (IZSI). Wytyczne Krajowych Ram Operacyjności wymagają wprowadzenia Polityki Bezpieczeństwa Informacji (PBI) w jednostkach realizujących zadania publiczne. W praktyce te dokumenty stają się częściami większej całości, którą spina formalnie opisany SZBI.

Z czego składa się SZBI w organizacji?

System zarządzania bezpieczeństwem informacji przypomina układ nerwowy organizacji – obejmuje dokumenty, procesy, ludzi i technologię. Bez spójności między tymi elementami łatwo o „paraliż”, czyli sytuację, w której dokumenty są poprawne na papierze, ale codzienna praktyka wygląda zupełnie inaczej.

Dokumenty i polityki

Podstawą jest dokumentacja SZBI. Typowo obejmuje ona m.in. politykę bezpieczeństwa informacji, politykę bezpieczeństwa danych osobowych (PBDO), instrukcję zarządzania systemem informatycznym (IZSI), procedury reagowania na incydent bezpieczeństwa, reguły tworzenia kopii bezpieczeństwa czy instrukcje szacowania ryzyka. Dla lepszego porównania warto spojrzeć na prostą tabelę:

Rodzaj dokumentu Główny zakres Typowa podstawa
Polityka bezpieczeństwa danych osobowych (PBDO) Zasady przetwarzania danych osobowych, role, środki ochrony Ustawa o ochronie danych osobowych, RODO
Polityka Bezpieczeństwa Informacji (PBI) Całość informacji w organizacji, w tym informacje niejawne i poufne Krajowe Ramy Operacyjności, wymagania SZBI
Dokumentacja SZBI Opis całego systemu: polityki, procedury, zakres, odpowiedzialności PN-EN ISO/IEC 27001, załącznik nr 4 do nowelizacji KSC

Nie chodzi o to, aby dokumentów było jak najwięcej. Ważne, by były spójne, aktualne i odzwierciedlały realne procesy. Dlatego tworzenie dokumentacji SZBI zwykle zaczyna się od audytu zerowego – wstępnej oceny stanu bezpieczeństwa oraz przeglądu istniejących regulacji.

Procesy i środki techniczne

Drugim filarem SZBI są procesy i konkretne zabezpieczenia techniczne. Trudno mówić o systemie, jeśli analiza ryzyka jest jednorazowym arkuszem w Excelu, a uprawnienia użytkowników nikt nie weryfikuje. Dobrą praktyką jest oparcie się na kilku stałych elementach:

  • regularna analiza ryzyka dla systemów informacyjnych, obejmująca poufność, integralność i dostępność informacji,
  • mechanizmy kontroli dostępu oparte na zasadzie minimalnych uprawnień, z okresową weryfikacją dostępów,
  • cyklicznie wykonywane kopie zapasowe, logicznie i fizycznie odseparowane od systemów produkcyjnych,
  • aktualne oprogramowanie antywirusowe i proces monitorowania cyklu życia oprogramowania,
  • regularne szkolenia użytkowników systemów informacyjnych z zasad cyberhigieny i reagowania na incydenty.

Coraz częściej organizacje sięgają też po systemy klasy SIEM do zbierania i analizy logów bezpieczeństwa czy rozwiązania IDPS wspierające wykrywanie i blokowanie ataków w czasie rzeczywistym. Uzupełnieniem są testy penetracyjne i uporządkowany proces zarządzania łatami, który zamyka znane luki w oprogramowaniu.

Jak SZBI łączy się z RODO i krajowym systemem cyberbezpieczeństwa?

Wiele osób pyta: czy wystarczy mieć politykę bezpieczeństwa dla danych osobowych, aby mówić o SZBI? Odpowiedź brzmi – nie. PBDO i IZSI to tylko fragment większej układanki. System zarządzania bezpieczeństwem informacji obejmuje wszystkie kategorie informacji i integruje wymagania różnych regulacji.

RODO wymaga, aby administrator wdrożył środki techniczne i organizacyjne adekwatne do ryzyka. SZBI jest naturalnym sposobem, by to wykazać – pokazuje proces analizy ryzyka, dobór zabezpieczeń, zasady nadawania uprawnień, reagowanie na incydenty i ciągłe doskonalenie. Dzięki temu łatwiej uzasadnić, że organizacja działa „z należytą starannością”.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wraz z załącznikiem nr 4, precyzuje z kolei, jak powinien wyglądać SZBI w podmiotach publicznych i tzw. podmiotach ważnych. Wymagane jest m.in. formalne ustanowienie zasad zarządzania bezpieczeństwem informacji, opis ról i odpowiedzialności, mechanizmy kontroli dostępu, regularne tworzenie kopii zapasowych, nadzór nad usługami zewnętrznymi, a także przegląd SZBI co najmniej raz w roku.

Wymogi SZBI w sektorze publicznym należy traktować jako obowiązek zapewnienia należytej staranności w ochronie systemów informacyjnych i danych obywateli.

Takie podejście ma wymiar nie tylko prawny, ale też operacyjny. Dobrze działający system wspiera ciągłość działania i odporność organizacji na incydenty, co ma ogromne znaczenie przy usługach publicznych oraz infrastrukturze krytycznej.

Jak zacząć budowę SZBI w swojej organizacji?

Myśl o pełnym systemie zgodnym z PN-EN ISO/IEC 27001 potrafi przytłoczyć. W praktyce wiele organizacji zaczyna od prostszego pytania: gdzie dzisiaj faktycznie jesteśmy z bezpieczeństwem informacji? Odpowiedź daje audyt wstępny i pierwsza, nawet uproszczona analiza ryzyka.

Pierwsze kroki

Początek prac nad Systemem Zarządzania Bezpieczeństwem Informacji zwykle obejmuje kilka kroków:

  1. Inwentaryzacja aktywów informacyjnych – identyfikacja danych, systemów, procesów, urządzeń i osób, które mają wpływ na bezpieczeństwo informacji.
  2. Wstępna analiza ryzyka – wskazanie zagrożeń, podatności i potencjalnych skutków, z naciskiem na poufność, integralność i dostępność.
  3. Przegląd istniejących dokumentów – sprawdzenie, czy funkcjonują polityki bezpieczeństwa informacji, procedury reagowania na incydenty, instrukcje pracy z systemami.
  4. Opracowanie lub aktualizacja polityki bezpieczeństwa informacji jako dokumentu nadrzędnego, który nadaje kierunek całemu SZBI.

Na podstawie wniosków z audytu i analizy ryzyka powstaje spójna dokumentacja SZBI. Właśnie wtedy często okazuje się, że niektóre procedury istnieją nieformalnie – pracownicy od dawna stosują dobre praktyki, ale nikt nie opisał ich w sposób systemowy. Ujęcie tych działań w procedurach i instrukcjach porządkuje odpowiedzialność i ułatwia nadzór.

Rola kierownictwa i szkoleń

Bez realnego zaangażowania kierownictwa SZBI pozostaje zbiorem dokumentów. Norma ISO/IEC 27001 wyraźnie wymaga, aby najwyższe kierownictwo określiło cele bezpieczeństwa, zapewniło zasoby i brało udział w przeglądach systemu. To właśnie na tym poziomie zapada decyzja, jaki poziom ryzyka jest akceptowalny i które inwestycje w zabezpieczenia mają priorytet.

Drugim krytycznym elementem są szkolenia użytkowników systemów informacyjnych. Nawet najlepiej zaprojektowane kontrole techniczne nie zadziałają, jeśli pracownicy nie rozumieją zasad tworzenia haseł, zgłaszania incydentów czy pracy z nośnikami danych. Program szkoleń powinien obejmować nie tylko specjalistów IT, ale też kadrę zarządzającą i użytkowników biznesowych, a jego efekty warto mierzyć za pomocą wybranych wskaźników efektywności (KPI).

Cykl życia SZBI zamyka audyt wewnętrzny i przegląd systemu przez kierownictwo. Wyniki audytów, doświadczenia z incydentów oraz zmiany w otoczeniu prawnym prowadzą do aktualizacji dokumentów i procesów. Ten powtarzalny cykl PDCA sprawia, że system nie zamienia się w martwą teczkę na półce, lecz realnie wspiera ochronę informacji – dokładnie o to chodzi w skrócie SZBI.

Certyfikacja SZBI – na czym polega formalne potwierdzenie zgodności?

Dla wielu organizacji naturalnym kolejnym krokiem po wdrożeniu SZBI jest uzyskanie certyfikatu ISO/IEC 27001. Certyfikacja nie tworzy systemu za organizację, ale stanowi zewnętrzne potwierdzenie, że SZBI działa zgodnie z wymaganiami normy.

Typowa ścieżka certyfikacji wygląda w uproszczeniu następująco:

  1. Przygotowanie do certyfikacji – wdrożenie SZBI zgodnego z PN-EN ISO/IEC 27001, stworzenie i uporządkowanie dokumentacji, przeprowadzenie audytów wewnętrznych oraz przeglądu zarządzania.
  2. Audyt etapu 1 – jednostka certyfikująca ocenia gotowość organizacji: przegląda kluczowe dokumenty, zakres SZBI, podejście do analizy ryzyka i planowanie działań.
  3. Audyt etapu 2 – szczegółowe sprawdzenie funkcjonowania systemu w praktyce: wywiady z pracownikami, przegląd zapisów, obserwacja procesów i wdrożonych zabezpieczeń.
  4. Decyzja certyfikacyjna i wydanie certyfikatu – przy pozytywnym wyniku audytów organizacja otrzymuje certyfikat ważny zwykle trzy lata.
  5. Audyty nadzoru – co roku jednostka certyfikująca weryfikuje, czy SZBI jest utrzymywany i doskonalony; po upływie cyklu trzyletniego przeprowadza się audyt recertyfikacyjny.

Dobrze przygotowany SZBI ułatwia przejście przez proces certyfikacji – audytorzy nie skupiają się wtedy na brakach formalnych, ale na faktycznym działaniu systemu i jego skuteczności. Certyfikat może być wymagany w przetargach, umowach z kluczowymi klientami czy przy świadczeniu usług dla administracji publicznej, dlatego dla wielu organizacji staje się realnym wyróżnikiem konkurencyjnym.

FAQ – najczęściej zadawane pytania

Co oznacza skrót SZBI i jakie są jego główne cele?

SZBI to System Zarządzania Bezpieczeństwem Informacji. Jego trzy główne cele to: ochrona danych (zabezpieczenie informacji przed nieuprawnionym dostępem, zmianą lub zniszczeniem), zarządzanie ryzykiem (świadome podejmowanie decyzji, które zagrożenia akceptujesz, minimalizujesz lub których unikasz) oraz zgodność z regulacjami prawnymi i umownymi, takimi jak RODO czy ustawa o krajowym systemie cyberbezpieczeństwa.

Z jakiej normy wywodzi się koncepcja SZBI?

Koncepcja SZBI wywodzi się z międzynarodowej normy ISO/IEC 27001. Jej korzenie sięgają brytyjskiego standardu BS 7799 opublikowanego w 1995 roku. W Polsce system ten funkcjonuje jako krajowa norma pod nazwą PN-EN ISO/IEC 27001.

Ile środków bezpieczeństwa zawiera Załącznik A do normy ISO/IEC 27001:2022 i jak są one pogrupowane?

Załącznik A w wersji z 2022 roku zawiera 93 środki bezpieczeństwa. Zostały one pogrupowane w cztery obszary: organizacyjne (A.5), ludzkie (A.6), fizyczne (A.7) oraz technologiczne (A.8).

Jakie pierwsze kroki należy podjąć, aby zacząć budowę SZBI w swojej organizacji?

Budowę SZBI należy rozpocząć od: 1) inwentaryzacji aktywów informacyjnych (identyfikacji danych, systemów, procesów, urządzeń i osób), 2) przeprowadzenia wstępnej analizy ryzyka pod kątem poufności, integralności i dostępności, 3) przeglądu istniejących dokumentów i procedur bezpieczeństwa, oraz 4) opracowania lub zaktualizowania polityki bezpieczeństwa informacji jako dokumentu nadrzędnego.

Na czym polega ścieżka certyfikacji SZBI na zgodność z ISO/IEC 27001?

Proces certyfikacji składa się z pięciu głównych etapów: przygotowania do certyfikacji (wdrożenie SZBI, audyty wewnętrzne, przegląd zarządzania), audytu etapu 1 (ocena gotowości i dokumentacji przez jednostkę certyfikującą), audytu etapu 2 (szczegółowe sprawdzenie działania systemu w praktyce poprzez wywiady i obserwacje), decyzji o wydaniu certyfikatu na okres 3 lat oraz corocznych audytów nadzoru weryfikujących utrzymanie systemu.

Czym różni się podejście SZBI od tradycyjnego, reaktywnego działania w obszarze bezpieczeństwa?

Bez formalnego systemu organizacje często działają reaktywnie, czyli reagują dopiero po wystąpieniu incydentu. SZBI wprowadza podejście systemowe oparte na cyklu PDCA (Plan-Do-Check-Act), które wymusza cykliczne planowanie, wdrażanie, sprawdzanie i ciągłe doskonalenie zabezpieczeń, czyniąc bezpieczeństwo stałym elementem zarządzania.

Redakcja cyfrowademokracja.pl

Nasza redakcja to zespół ludzi z pasją, którzy chcą dzielić się z innymi swoją wiedzą na temat pracy i nauk o społeczeństwie. Znajdziesz tutaj także artykuły o turystyce i zdrowiu a także szeroko pojętej elektronice i nowych technologiach. Zostań z nami na dłużej!

Może Cię również zainteresować

Potrzebujesz więcej informacji?