Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001

ISO 27001 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, το οποίο είναι το πολυτιμότερο περιουσιακό στοιχείο ιδρυμάτων και ατόμων. Το απόρρητο, η ακεραιότητα και η προσβασιμότητα πρέπει να προστατεύονται συνεχώς ως προς τις ιδιότητες. Η προστασία μπορεί να είναι δυνατή μόνο εάν τα άτομα γνωρίζουν απειλές και κινδύνους που σχετίζονται με την ασφάλεια των πληροφοριών, τις πολιτικές ή τους κανόνες ασφάλειας των πληροφοριών, πώς να αντιμετωπίσουν αυτές τις απειλές και πώς να διατηρήσουν τους πιθανούς κινδύνους στο χαμηλότερο δυνατό επίπεδο κινδύνου, καθώς και κάποια φυσικά και συστημικά προφυλάξεις.

Ασφάλεια πληροφοριών ; συνέχιση των επιχειρήσεων, ελαχιστοποίηση των απωλειών σε αναπόφευκτες καταστάσεις καταστροφής, προστασία του απορρήτου, της προσβασιμότητας και της ακεραιότητας των πόρων που θεωρούνται ως δομικά στοιχεία των εταιρειών σε κάθε περίπτωση. Προσφέρει μια δομή που συμμορφώνεται με τα πρότυπα που είναι αποδεκτά από ολόκληρο τον κόσμο στον τομέα της ασφάλειας των πληροφοριών, η οποία έχει γίνει απαραίτητη στον επιχειρηματικό κόσμο. Η σωστή κατανόηση της έννοιας του συστήματος διαχείρισης ασφάλειας πληροφοριών 27001 και των προτύπων από τα οποία εξαρτάται θα αυξήσει σημαντικά το όφελος αυτής της δομής.

 

Ιστορικό ISO 27001

Οι ρίζες αυτού του προτύπου ανάγονται στις εποχές DTI και CCSC στο Ηνωμένο Βασίλειο. Ιδρύθηκε τον Μάιο του 1987, το CCSC είχε δύο λειτουργίες: Πρώτον, ήταν να βοηθήσει τους προμηθευτές προϊόντων ασφάλειας παρέχοντας ένα παγκόσμια υιοθετημένο πρόγραμμα αναβάθμισης ασφαλείας και εισάγοντας μια απαίτηση πιστοποίησης. Η δεύτερη λειτουργία του ήταν να παρέχει στους χρήστες έναν καλό κωδικό ασφαλείας, ο οποίος είχε ως αποτέλεσμα τη δημοσίευση του "Κωδικού πρόσβασης εργασίας του χρήστη". Αυτή η δημοσίευση αναπτύχθηκε αργότερα από το NCC (Εθνικό Κέντρο Υπολογιστών) και στη συνέχεια μια ομάδα χρηστών, κυρίως από τη βρετανική βιομηχανία, δοκίμασε αν αυτοί οι κωδικοί ήταν σημαντικοί και εύχρηστοι. Τα αποτελέσματα δημοσιεύονται στο βρετανικό εγχειρίδιο προτύπων.

Η τελευταία έκδοση του προτύπου εξακολουθεί να ισχύει με το όνομα ISO 27001: 2013.

Ποια είναι τα οφέλη του ISO 27001

Αποδεικνύει ότι οι εσωτερικοί σας έλεγχοι έχουν πραγματοποιηθεί ανεξάρτητα και πληρούν τις απαιτήσεις εταιρικής διακυβέρνησης και συνέχειας της επιχείρησης.

Οφέλη για τον οργανισμό.

  • Προστασία του απορρήτου των στοιχείων ενεργητικού,

  • Διασφάλιση αποτελεσματικής διαχείρισης κινδύνων με τον εντοπισμό απειλών και κινδύνων,

  • Προστασία του εταιρικού κύρους,

  • Διασφάλιση της συνέχειας των επιχειρήσεων,

  • Έλεγχος πρόσβασης σε πόρους πληροφοριών,

  • Αύξηση του επιπέδου ευαισθητοποίησης για την ασφάλεια του προσωπικού, των εργολάβων και των υπεργολάβων και ενημέρωσή τους για σημαντικά θέματα ασφάλειας,

  • Καθιέρωση ρεαλιστικού συστήματος ελέγχου για να διασφαλιστεί ότι οι ευαίσθητες πληροφορίες χρησιμοποιούνται κατάλληλα σε αυτοματοποιημένα και χειροκίνητα συστήματα,

  • Διασφάλιση της ακεραιότητας και της ακρίβειας των στοιχείων ενεργητικού,

  • Αποτροπή του προσωπικού από την υποψία κακοποίησης και παρενόχλησης από άλλους,

  • Διασφάλιση ότι οι ευαίσθητες πληροφορίες είναι κατάλληλα διαθέσιμες σε τρίτους και ελεγκτές.

  • Αποδεικνύει ανεξάρτητα τη συμμόρφωση με τους ισχύοντες νόμους και κανονισμούς.

  • Σας προσφέρει ανταγωνιστικό πλεονέκτημα πληρώντας τις συμβατικές απαιτήσεις και φροντίζοντας για την ασφάλεια των πληροφοριών των πελατών σας.

  • Επαληθεύει ανεξάρτητα ότι οι οργανωτικοί σας κίνδυνοι έχουν καθοριστεί, αξιολογηθεί και διαχειριστεί σωστά καθώς διαμορφώνονται οι διαδικασίες, οι διαδικασίες και τα έγγραφά σας για την ασφάλεια των πληροφοριών.

  • Η τακτική διαδικασία αξιολόγησης σας βοηθά να παρακολουθείτε και να βελτιώνεται συνεχώς την απόδοσή σας. Αποδεικνύει τη δέσμευση της ανώτερης διεύθυνσής σας για την ασφάλεια των πληροφοριών τους.

Με το σύστημα ασφάλειας πληροφοριών του ιδρύματος και των υπαλλήλων του.

  • Αυξάνεται η ευαισθητοποίηση και τα κίνητρα των στοιχείων ενεργητικού,

  • Τα στοιχεία πληροφοριών του μπορούν να προστατευτούν

  • Η επιχειρηματική συνέχεια διασφαλίζεται,

  • Δημιουργείται μια υγιής δομή με πελάτες και προμηθευτές,

  • Παρέχεται ανταγωνιστικό πλεονέκτημα,

  • Διασφαλίζεται η νομική συμμόρφωση.

ISO 27001 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών-ISMS

Το ISO/IEC 27001 είναι το μόνο διεθνές ελεγχόμενο πρότυπο που καθορίζει τις απαιτήσεις του συστήματος διαχείρισης της ασφάλειας πληροφοριών (ISMS). Έχει σχεδιαστεί για να διασφαλίζει ότι επιλέγονται επαρκείς και αναλογικοί έλεγχοι ασφαλείας. Το ISO 27001 απαιτεί από τους οργανισμούς να προετοιμάσουν σχέδια διαχείρισης κινδύνου και αντιμετώπισης κινδύνων, ρόλους και ευθύνες, σχέδια συνέχειας των επιχειρήσεων, διαδικασίες διαχείρισης επεισοδίων έκτακτης ανάγκης και να τηρούν αρχεία στην πράξη. Το ίδρυμα θα πρέπει να δημοσιεύσει μια πολιτική ασφάλειας πληροφοριών που θα περιλαμβάνει όλες αυτές τις δραστηριότητες και να ευαισθητοποιήσει το προσωπικό του σχετικά με την ασφάλεια των πληροφοριών και τις απειλές. Η διαχείριση της ασφάλειας των πληροφοριών, ως μια ζωντανή διαδικασία στην οποία μετρούνται οι επιλεγμένοι στόχοι ελέγχου και η καταλληλότητα και η απόδοση των ελέγχων παρακολουθούνται συνεχώς, μπορεί να επιτευχθεί μόνο με την ενεργό υποστήριξη της διοίκησης και τη συμμετοχή του προσωπικού. Αυτό, Σας βοηθά να προστατεύσετε τα στοιχεία των πληροφοριών σας και να χτίσετε εμπιστοσύνη στα ενδιαφερόμενα μέρη, ειδικά στους πελάτες σας. Αυτό το πρότυπο υιοθετεί μια προσέγγιση διαδικασίας για τη δημιουργία, εφαρμογή, λειτουργία, παρακολούθηση, ανασκόπηση, συντήρηση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Το ISO/IEC 27001 είναι κατάλληλο για όλους τους οργανισμούς, μεγάλους ή μικρούς, από οποιαδήποτε χώρα ή βιομηχανία στον κόσμο. Αυτό το πρότυπο είναι ιδιαίτερα απαραίτητο σε τομείς όπου η προστασία των πληροφοριών είναι υψίστης σημασίας, όπως οι τομείς της χρηματοδότησης, της υγειονομικής περίθαλψης, της κυβέρνησης και της πληροφορικής. Το ISO/IEC 27001 είναι επίσης απαραίτητο για οργανισμούς που διαχειρίζονται πληροφορίες για λογαριασμό άλλων, όπως εταιρείες εξωτερικής ανάθεσης πληροφοριών και μπορεί να χρησιμοποιηθεί για να καθησυχάσει τους πελάτες ότι οι πληροφορίες τους προστατεύονται. Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS): Για τη δημιουργία, εκτέλεση, λειτουργία, παρακολούθηση, έλεγχο ασφάλειας πληροφοριών, Μέρος ολόκληρου του συστήματος διαχείρισης που βασίζεται στην προσέγγιση επιχειρηματικού κινδύνου, για τη διατήρηση και βελτίωσή του. Ανάλυση κινδύνου: Η συστηματική χρήση πληροφοριών για τον εντοπισμό πηγών και τον υπολογισμό του κινδύνου. Εκτίμηση κινδύνου: Ολόκληρη η διαδικασία, συμπεριλαμβανομένης της ανάλυσης κινδύνου και της βαθμολόγησης κινδύνου. Βαθμολογία κινδύνου: Η διαδικασία σύγκρισης του εκτιμώμενου κινδύνου με τα δεδομένα κριτήρια κινδύνου προκειμένου να προσδιοριστεί η σημασία του κινδύνου. Διαχείριση κινδύνου: Συντονισμένες δραστηριότητες που χρησιμοποιούνται για τον έλεγχο και την κατεύθυνση ενός οργανισμού σε σχέση με τον κίνδυνο. Επεξεργασία κινδύνου: Η διαδικασία επιλογής και εφαρμογής των απαραίτητων μέτρων για την αλλαγή του κινδύνου. Δήλωση εφαρμογής: Τεκμηριωμένη δήλωση σχετικά με το ISMS του οργανισμού και επεξήγηση των εφαρμοζόμενων στόχων και ελέγχων ελέγχου. 

Οφέλη από τη δημιουργία συστήματος διαχείρισης ασφάλειας πληροφοριών ISO 27001

  • Αναγνώριση στοιχείων ενεργητικού: Ο οργανισμός συνειδητοποιεί ποια περιουσιακά στοιχεία πληροφοριών υπάρχουν και την αξία τους.

  • Να μπορεί να προστατεύει τα περιουσιακά του στοιχεία: Καθορίζει τους ελέγχους και τις μεθόδους προστασίας που θα καθιερώσει και το προστατεύει με την εφαρμογή του.

  • Επιχειρηματική συνέχεια: Εγγυάται την επιχείρησή της για πολλά χρόνια. Επιπλέον, σε περίπτωση καταστροφής, θα έχει τη δυνατότητα να συνεχίσει την εργασία του.

  • Η ειρήνη με τα σχετικά μέρη: Δεδομένου ότι οι πληροφορίες τους θα προστατεύονται, ειδικά οι προμηθευτές τους, κερδίζει την εμπιστοσύνη των σχετικών μερών.

  • Προστατεύει τις πληροφορίες χάρη σε ένα σύστημα και δεν τις αφήνει στην τύχη.

  • Εάν αξιολογεί τους πελάτες, αξιολογείται καλύτερα από τους ανταγωνιστές του.

  • Αυξάνει τα κίνητρα των εργαζομένων.

  • Αποτρέπει τη νομική άσκηση.

  • Παρέχει υψηλό κύρος.

ISO 27001 Στάδια εγκατάστασης συστήματος ασφάλειας πληροφοριών

  • Ταξινόμηση περιουσιακών στοιχείων,

  • Αξιολόγηση περιουσιακών στοιχείων σύμφωνα με κριτήρια εμπιστευτικότητας, ακεραιότητας και προσβασιμότητας,

  • Ανάλυση κινδύνου,

  • Καθορισμός των ελέγχων που θα εφαρμοστούν σύμφωνα με τα αποτελέσματα ανάλυσης κινδύνου,

  • Δημιουργία τεκμηρίωσης,

  • εφαρμογή ελέγχων,

  • εσωτερική εξέταση,

  • τήρηση αρχείων,

  • διοικητική ανασκόπηση,

  • Πιστοποίηση

 

Λογότυπο ISO 27001 - RTA

ΠΑΤΗΣ

Λογότυπο ISO 27001 Μπορεί να χρησιμοποιηθεί μόνο σύμφωνα με τις οδηγίες χρήσης του λογότυπου .

Το λογότυπο ISO 27001: 2013 μπορεί να χρησιμοποιηθεί μόνο από ιδρύματα / οργανισμούς πιστοποιημένους από τον RTA.