Call Us: +30-210-3648111  -
ISO 27001:2013 Ασφάλεια Πληροφοριών


Τι είναι;
 
Το πρότυπο ISO 27001 αποτελεί αυτή τη στιγμή το de facto πρότυπο για την ασφάλεια των πληροφοριών. Το ISO 27001:2013 είναι έναiso27001 2013 διεθνές πρότυπο το οποίο προδιαγράφει τις απαιτήσεις τις οποίες πρέπει να πληροί ένα αποτελεσματικό Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ). Δίνει έμφαση στην προστασία τριών βασικών πτυχών της πληροφορίας: την Εμπιστευτικότητα, την Ακεραιότητα και την Διαθεσιμότητα, δηλαδή στην ικανότητα του οργανισμού να διατηρεί τις πληροφορίες μακριά από μη εξουσιοδοτημένα άτομα ή οντότητες ή διεργασίες, να διατηρεί τις πληροφορίες πλήρεις και ακριβείς και προστατευμένες από ενδεχόμενη αλλοίωση και να τις παρέχει εύχρηστες σε εξουσιοδοτημένους χρήστες.

Το ISO/IEC 27001 είναι το μόνο διεθνές πρότυπο που μπορεί να επιθεωρηθεί και το οποίο καθορίζει τις απαιτήσεις για ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ-ISMS). Το πρότυπο είναι σχεδιασμένο έτσι ώστε να διασφαλίζει την επιλογή επαρκών και ισορροπημένων ελέγχων ασφάλειας. Αυτή η επιλογή βοηθά ένα οργανισμό να προστατεύσει τα περιουσιακά του στοιχεία πληροφοριών και να τον εμπιστεύονται τα ενδιαφερόμενα μέρη και ιδιαίτερα οι πελάτες του.


Σε ποιους απευθύνεται;

Το πρότυπο ISO 27001:2013 μπορεί να το εφαρμόσει κάθε οργανισμός, ανεξάρτητα από το μέγεθος ή την δραστηριότητά του, που επιθυμεί να αποδεικνύει στους πελάτες, στους συνεργάτες, στους προμηθευτές ή στους μετόχους, την αποτελεσματικότητα του στη διαχείριση της ασφάλειας των πληροφοριών.
Όλοι οι μεγάλοι οργανισμοί, λαμβάνουν όλα τα αναγκαία μέτρα για την ασφαλή διακίνηση των δεδομένων τους συμπεριλαμβάνοντας τα προσωπικά δεδομένα των πελατών τους, στηριζόμενοι στη χρήση των βέλτιστων διεθνών πρακτικών επενδύοντας συστηματικά σε υποδομές στην οργάνωσή τους και την ευαισθητοποίηση του προσωπικού τους.


Πώς υλοποιείται;
 
Τα βασικά βήματα ανάπτυξης ενός συστήματος Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ) ISO 27001:2013 είναι τα εξής:
  • Προσδιορισμός των νομικών και κανονιστικών απαιτήσεων για τα παρεχόμενα προϊόντα/υπηρεσίες.
  • Αξιολόγηση της συμμόρφωσης των υφιστάμενων διαδικασιών διαχείρισης και των αρχείων της επιχείρησης με τις απαιτήσεις του προτύπου.
  • Αναθεώρηση των υφιστάμενων διαδικασιών και αρχείων στις περιπτώσεις όπου υπάρχει απόκλιση από τις απαιτήσεις του προτύπου και εισαγωγή νέων διαδικασιών και αρχείων στις περιπτώσεις όπου υπάρχει πλήρης έλλειψη.
  • Διατύπωση ενός σχεδίου αντιμετώπισης των κινδύνων, το οποίο να αναγνωρίζει τις κατάλληλες ενέργειες από τη μεριά του management, τους πόρους, τις αρμοδιότητες και τις προτεραιότητες για τη διαχείριση των κινδύνων.
  • Υλοποίηση του σχεδίου αντιμετώπισης των κινδύνων
  • Υλοποίηση των επιλεγμένων controls
  • Ορισμός μετρικών για την αποτελεσματικότητα των επιλεγμένων controls
  • Υλοποίηση trainings και awareness προγράμματα για τα εμπλεκόμενα μέλη
  • Εφαρμογή του συστήματος.
  • Ανασκόπηση και τροποποίηση συστήματος αν κριθεί απαραίτητο.
  • Διεξαγωγή εσωτερικής επιθεώρησης.
 
Τι οφέλη έχει;
 
Το Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ)
  • Βοηθά τον οργανισμό να προσδιορίζει και να ελέγχει ενδεχόμενους κινδύνους που αφορούν στην ασφάλεια των πληροφοριών.
  • Παρέχει μεγαλύτερη έμφαση στην επικοινωνία, διαχέοντας την ευθύνη για την ασφάλεια των πληροφοριών περαιτέρω σε ολόκληρη την επιχείρηση και τους επιχειρηματικούς εταίρους της.
  • Βοηθά τον οργανισμό να είναι σε συμμόρφωση με τη νομοθεσία ή τους κανονισμούς που σχετίζονται με την ασφάλεια των πληροφοριών
  • Βελτιστοποιεί τις επιχειρηματικές διεργασίες.
  • Παρέχει στον οργανισμό ένα ανταγωνιστικό πλεονέκτημα, ιδίως στις περιπτώσεις όπου η προστασία των πληροφοριών είναι κρίσιμος παράγοντας.
  • Αποδεικνύει ότι τα οργανωτικά ρίσκα έχουν αναγνωριστεί, αξιολογηθεί και διαχειριστεί ικανοποιητικά και σωστά
  • Αναδεικνύει την ύπαρξη ενός επίσημου και λειτουργικού συστήματος διαχείρισης ασφάλειας πληροφοριών
  • Αποδεικνύει τη δέσμευση της ανώτατης διοίκησης του οργανισμού στην ασφάλεια των πληροφοριών του
  • Αποδεικνύει ότι μέσω τακτικών αξιολογήσεων βοηθά τον οργανισμό να παρακολουθεί την απόδοσή του και να βελτιώνεται
  • Αναδεικνύει ότι όλες οι πληροφορίες που αποθηκεύονται, επεξεργάζονται ή επικοινωνούνται μέσω των πληροφοριακών συστημάτων έχουν αξία για τον οργανισμό
Το ISO/IEC 27001 χρησιμοποιεί την αξιολόγηση των ρίσκων ώστε να δημιουργηθεί ένα σύστημα διαχείρισης που παρέχει:
  • Μεγιστοποίηση της διαθεσιμότητας των συστημάτων
  • Διαβεβαίωση ότι η ακεραιότητα των συστημάτων, των συστημάτων επεξεργασίας και της πληροφορίας συντηρείται
  • Επιβεβαίωση ότι η εμπιστευτικότητα της πληροφορίας διατηρείται.