ISO 27001:2013 - Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS)

Imprus - Συμβουλευτικές υπηρεσίες - Επιχειρήσεις - Καλαμάτα - Αθήνα - Διαχείριση Ποιότητας - ISO 27001 2013

Το ISO/IEC 27001 είναι το πρότυπο που καθορίζει τις απαιτήσεις για ένα Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών (ISMS) και βοηθά έναν οργανισμό να διαχειριστεί και να προστατεύσει επαρκώς τις πληροφορίες και τα δεδομένα όλων των ενδιαφερόμενων μερών που σχετίζονται με τις δραστηριότητές του.

Η εφαρμογή του προτύπου διασφαλίζει ότι η επιχείρηση έχει καθορίσει και διενεργεί τους κατάλληλους ελέγχους για την προστασία των δεδομένων, που αφορούν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών.

Το πρότυπο ISO/IEC 27001 μπορεί να το εφαρμόσει κάθε οργανισμός, ανεξάρτητα από το μέγεθος ή την δραστηριότητά του, που επιθυμεί να αποδεικνύει στους πελάτες, στους συνεργάτες, στους προμηθευτές ή στους μετόχους, την αποτελεσματικότητά του στην ορθή διαχείριση της ασφάλειας των πληροφοριών. Η εφαρμογή του προτύπου θεωρείται επιβεβλημένη ιδιαίτερα σε επιχειρήσεις που η ασφάλεια των δεδομένων είναι κρίσιμη και καθοριστική για την επιβίωσή τους (π.χ. τράπεζες, Νοσοκομεία, ασφαλιστικές εταιρείες κλπ).

Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) κατά το ISO/IEC 27001 είναι ένα σύνολο μέτρων και εταιρικών διαδικασιών με στόχο την προστασία των δεδομένων από τους πλέον πιθανούς και σοβαρούς κινδύνους, ώστε να ελαχιστοποιήσουμε τις πιθανότητες:

  • να χαθούν και να μη μπορούμε να δουλέψουμε και να εξυπηρετήσουμε τους πελάτες μας
  • να διαρρεύσουν σε τρίτους που μπορούν να μας βλάψουν
  • να αλλοιωθούν προκαλώντας μας ζημιά.

Τα μέτρα ασφάλειας και οι εταιρικές διαδικασίες αφορούν την τεχνολογική προστασία της εταιρείας (back-up, firewalls, κρυπτογράφηση, κλπ.), τις επιχειρησιακές λειτουργίες (φυσική ασφάλεια, πρόσβαση προσωπικού σε δεδομένα, διαχείριση προσωπικού και υπεργολάβων, κλπ.) και τις πρακτικές των χρηστών (κωδικοί, δικαιώματα, κλπ.).

Σχεδιασμός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO/IEC 27001

Κατά τη φάση του σχεδιασμού, πραγματοποιείται ανάλυση και εκτίμηση επικινδυνότητας και διαμορφώνονται και υλοποιούνται τα εξής:

  • Έγκριση από τη διοίκηση του οργανισμού
  • Καθορισμός του πεδίου εφαρμογής (υπολογιστικά συστήματα, δεδομένα κλπ.)
  • Μελέτη ανάλυσης και αποτίμησης επικινδυνότητας (Risk Assessment & Vulnerability Assessment)
  • Καθορισμός απαιτήσεων ασφάλειας
  • Δημιουργία Πολιτικής Ασφάλειας

Υλοποίηση Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO/IEC 27001

Στη φάση της υλοποίησης και με βάση τα αποτελέσματα της ανάλυσης επικινδυνότητας, ακολουθεί νέα μελέτη που αποσκοπεί στη μείωση της επικινδυνότητας με την επιλογή και υλοποίηση των κατάλληλων μέτρων προστασίας. Αναλυτικότερα, διαμορφώνονται και υλοποιούνται μεταξύ άλλων τα εξής:

  • Σχέδιο Διαχείρισης Επικινδυνότητας
  • Κατανομή ρόλων και αρμοδιοτήτων
  • Υλοποίηση μέτρων ασφαλείας
  • Δράσεις ενημέρωσης και κατάρτισης του προσωπικού
  • Υλοποίηση διαδικασιών έγκαιρης ανίχνευσης και αντιμετώπισης περιστατικών ασφαλείας

Οφέλη πιστοποίησης ISO/IEC 27001

Η απόκτηση πιστοποίησης ISO/IEC 27001 απαιτεί συμμόρφωση με την ισχύουσα νομοθεσία, όπως ο κανονισμός GDPR της ΕΕ. Αυτό έχει θετικό αντίκτυπο στη διαχείριση κινδύνων και στην εταιρική διακυβέρνηση. Αποτελεί άμεση απόδειξη για  πελάτες και άλλα ενδιαφερόμενα μέρη ως προς την εφαρμογή ελέγχων και διαδικασιών που απαιτούνται για την προστασία των δεδομένων τους, αποτρέποντας πιθανές παραβιάσεις. Επιπλέον επιτυγχάνονται τα εξής:

  • βελτιώνει την αξιοπιστία και ενισχύει την εμπιστοσύνη πελατών
  • αποδεικνύει τη δέσμευση της ανώτερης διοίκησης για την ασφάλεια των πληροφοριών ενός οργανισμού
  • δέσμευση του προσωπικού και βελτίωση της κουλτούρας ασφάλειας των πληροφοριών στην εργασία
  • παρέχει την ευκαιρία για τη συνεχή βελτίωση μέσω των συστηματικών επιθεωρήσεων
  • εξασφάλιση της αποτελεσματικής ολοκλήρωσης των θεμάτων διαχείρισης της ασφάλειας των πληροφοριών με άλλα διαχειριστικά συστήματα (π.χ. ISO 9001)
  • μείωση του κόστους – από άμεσα κόστη π.χ. κλοπή φορητού υπολογιστή, και από έμμεσα κόστη π.χ. φήμη, νομικές απώλειες
  • παροχή ανταγωνιστικού πλεονεκτήματος και αναβάθμιση της εικόνας του οργανισμού.

Η IMPRUS αναλαμβάνει για λογαριασμό της επιχείρησής σας:

  • Την ανάπτυξη, παρακολούθηση και συμβουλευτική υποστήριξη Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών με βάση τις απαιτήσεις του διεθνούς προτύπου ISO/IEC 27001.
  • Τη διενέργεια εσωτερικής επιθεώρησης του εφαρμοζόμενου συστήματος και την προετοιμασία της εταιρείας σας για επιθεώρηση και πιστοποίηση από διαπιστευμένο φορέα
  • Τη διενέργεια ετήσιων εκπαιδευτικών προγραμμάτων του προσωπικού της επιχείρησης σας, σε θέματα Διαχείρισης Ασφάλειας Πληροφοριών.