Przejdź do treści
Filar III / Gotowość organizacyjna11.03.2026 · 3 min

SZBI w JST bez certyfikacji: jak uporządkować polityki, role i przeglądy (bez formalnej certyfikacji)

SZBI w JST bez certyfikacji powinien spinać polityki, role, rejestry i przeglądy w jeden system pracy. Bez tego dokumentacja nie prowadzi do decyzji.

Ilustracja: SZBI w JST z politykami, rolami i cyklem przeglądów bezpieczeństwa informacji.

SZBI w JST bez certyfikacji ma sens tylko wtedy, gdy nie kończy się na segregatorze. Działający system zarządzania bezpieczeństwem informacji powinien łączyć polityki, role, rejestry, przeglądy i decyzje kierownicze w jedną powtarzalną praktykę organizacyjną.

Jeśli chcesz zobaczyć, jak to wpisuje się w szerszy system wdrożenia etapami, zajrzyj na stronę O systemie. W warstwie wdrożeniowej najważniejszy jest moduł System zarządzania bezpieczeństwem informacji.

Co powinien spinać minimalny SZBI w JST

  • Polityki i procedury napisane pod realny sposób pracy jednostki.
  • Role i odpowiedzialności przypisane do konkretnych obszarów.
  • Rejestry, które pokazują stan aktywów, ryzyk, dostępów, incydentów i testów.
  • Cykliczne przeglądy, w których zapadają decyzje, a nie tylko powstają notatki.

Jeżeli któryś z tych elementów wypada, organizacja nie ma systemu, tylko zestaw osobnych dokumentów.

Jak uporządkować polityki i role

Dobra polityka nie powinna być przepisem przepisanym z normy. Powinna wskazywać, kto odpowiada za konkretny obszar, jaki ma cel i gdzie zostawia dowód wykonania. Dlatego role warto układać wokół obszarów takich jak poczta, dostępy uprzywilejowane, dostawcy, ciągłość działania i incydenty.

W praktyce pomaga tu połączenie z modułami Dostawcy i łańcuch dostaw IT, Cyberbezpieczeństwo w zamówieniach publicznych oraz Szkolenia i świadomość cyberbezpieczeństwa.

Rejestry i przeglądy: serce systemu

System zarządzania działa wtedy, gdy dane z rejestrów trafiają do decyzji. Rejestr aktywów, rejestr ryzyk, rejestr incydentów czy rejestr testów nie powinny istnieć obok siebie. Powinny być omawiane w cyklu kwartalnym albo miesięcznym, w zależności od wagi obszaru.

Dobrym uzupełnieniem jest artykuł Rejestr aktywów i podatności w JST, bo pokazuje, jak nadać sens danym technicznym.

Jak połączyć SZBI z codzienną praktyką

Największa przewaga podejścia opartego na praktykach ISO, bez certyfikacji polega na tym, że można skupić się na działaniu. Jeżeli dostawca otrzymuje dostęp, jeżeli kupowany jest nowy system, jeżeli wystąpił incydent albo wykonywany jest test odtwarzeniowy, SZBI powinno dawać jasną ścieżkę: kto decyduje, jaki jest wzór dokumentu i gdzie trafia wynik.

Z tego powodu w spójnym modelu ten obszar łączy się równocześnie z Ciągłością działania IT, Obsługą incydentów cyberbezpieczeństwa i modułami zakupowo-dostawczymi.

Plan startu na 7 dni

  1. Wskaź właścicieli kluczowych obszarów bezpieczeństwa.
  2. Ustal listę rejestrów, które mają znaczenie zarządcze.
  3. Zdefiniuj trzy wskaźniki przeglądowe dla kierownictwa.
  4. Ustal kalendarz przeglądów i jedno miejsce raportowania.

FAQ: SZBI bez certyfikacji

Czy bez certyfikacji da się mieć wartościowy SZBI?

Tak. Certyfikat nie jest warunkiem sprawności systemu. Warunkiem jest to, żeby polityki, role, rejestry i przeglądy realnie prowadziły do decyzji i działań.

Jak uniknąć nadmiaru dokumentów?

Twórz tylko te dokumenty, które mają właściciela, moment użycia i miejsce w cyklu przeglądów. Dokument bez zastosowania operacyjnego staje się balastem.

Co czytać dalej?

Jeśli chcesz domknąć temat odporności usług, przejdź do tekstu Ciągłość działania w JST. Jeżeli chcesz najpierw ustawić priorytety całego programu, zobacz artykuł Cyberbezpieczeństwo w samorządzie: jak ustawić priorytety.

Powiązane moduły

Najpełniejszy zestaw dla tego obszaru tworzą System zarządzania bezpieczeństwem informacji, Dostawcy i łańcuch dostaw IT, Cyberbezpieczeństwo w zamówieniach publicznych i Szkolenia i świadomość cyberbezpieczeństwa.