Wraz ze wzrostem znaczenia informacji we współczesnym świecie oraz z rozwojem technik przetwarzania informacji istotnym zagadnieniem w dzisiejszym świecie jest zapewnienie bezpieczeństwa informacji. Informacje będące w posiadaniu firm i urzędów posiadają swoją realną wartość i mogą być podatne na zagrożenia takie jak, np.: kradzież, zniszczenie czy zafałszowanie.
Wraz z rozwojem informatyki i internetu pojawiły się takie nowe zagrożenia jak wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe, które mogą narazić instytucję na utratę konkurencyjności, reputacji oraz na duże straty finansowe.
W środkach masowego przekazu coraz częściej możemy usłyszeć o
incydentach związanych z naruszeniem bezpieczeństwa informacji.
Także na codzień w wielu instytucjach można zaobserwować wiele incydentów, które w skutek braku świadomości pracowników mogą doprowadzić do ujawnienia bądź utraty istotnych informacji. Przykładem tego są zagubienia nośników z danymi (pendrive'y, płyty optyczne, laptopy), karteczki z hasłami przyklejone do monitora, ekrany monitorów zwrócone w stronę klientów, dokumenty leżące na biurku, które mogą zostać zabrane przez osobę niepowołaną, dokumenty zawierające istotne informacje wyrzucone na śmietnik itp.
Ryzyko utraty informacji rośnie wraz ze wzrostem ilości przetwarzanych przez instytucję informacji i stosowaniem coraz bardziej skomplikowanych technologii informatycznych. Często aplikacje w trakcie projektowania nie uwzględniają wymagań bezpieczeństwa , często też oprogramowanie nie jest dostatecznie sprawdzone w trakcie fazy testów, co może powodować, że jest podatne na różnego rodzaju zagrożenia, np.: ujawnienie przetwarzanych informacji, możliwość podszycia się pod innego użytkownika itp.
Abstrahując od zagrożeń, do zapewnienia bezpieczeństwa przetwarzanych informacji firmy jak i urzędu są zobligowane przez ustawy takie jak m.in :
- Ustawa o ochronie danych osobowych.
- Ustawa o ochronie informacji niejawnych.
- Ustawa o dostępie do informacji publicznej.
- Ustawa o prawie autorskim i prawach pokrewnych.
(Obecnie w Polsce istnieje ponad dwieście aktów prawnych, które dotyczą ochrony informacji)
Praktycznie dla każdego rodzaju instytucji w chwili obecnej można zidentyfikować kilka lub kilkanaście przepisów prawnych, które zawierają w sobie wytyczne dot. bezpieczeństwa informacji. W każdym zawodzie stosuje się wymagania dotyczące "tajemnicy zawodowej", która to zobowiązuje do zapewnienia określonym danym odpowiedniej ochrony (przykładowe tajemnice zawodowe: lekarska, skarbowa, bankowa, adwokacka, handlowa itp.). Każda z powyższych ustaw (oraz towarzyszące rozporządzenia) narzuca na instytucję określone obowiązki w zakresie bezpieczeństwa informacji - obowiązki te dotyczą zarówno zachowania poufności określonych informacji, jak i ich dostępności i integralności.
Oprócz obowiązków, ustawy i rozporządzenia określają także kary, które grożą podmiotom nie przestrzegającym przepisów. Brak spełnienia tych obowiązków może być przyczyną konsekwencji prawnych - od kar finansowych aż do kary pozbawienia wolności.
Wymienione powyżej wymagania prawne powinny być przestrzegane w ramach jednego dobrze przemyślanego Systemu Zarządzania Bezpieczeństwem Informacji.
Sygnały płynące z innych krajów sugerują, że rządy państw będą tworzyły coraz więcej regulacji, które będą dotyczyły zapewnienia bezpieczeństwa informacji.
Istnieje wiele sposobów na ochronę przed czychającymi zagrożeniami oraz na dostosowanie się do wymogów prawnych. Ogólnie można je wszystkie określić terminem
" zarządzanie bezpieczeństwem informacji"
