trarzh-TWenfrdeelitfarues

ISO 27001

Πιστοποιητικό συστήματος διαχείρισης ασφάλειας πληροφοριών ISO 27001

Σύστημα διαχείρισης ασφάλειας πληροφοριών ISO 27001

Τι είναι τα Δεδομένα και οι Πληροφορίες;

Πρώτον, ας δούμε τις βασικές έννοιες των πληροφοριών. Στους απλούστερους όρους, τα ακατέργαστα ακατέργαστα δεδομένα ονομάζονται δεδομένα. Η επεξεργασμένη μορφή των δεδομένων είναι πληροφορίες. Η έκφραση δεδομένων ή δεδομένων είναι μια αριθμητική και λογική τιμή.

Τα κύρια χαρακτηριστικά των πληροφοριών που πρέπει να προστατευθούν είναι:

  • Εμπιστευτικότητα των πληροφοριών: Η εμπιστευτικότητα των πληροφοριών αποκαλείται απρόσιτη και ανεξήγητη από πρόσωπα, οργανισμούς, οντότητες και διαδικασίες που δεν επιτρέπονται.
  • Ακεραιότητα της γνώσης: Αναφέρεται στη διατήρηση της ακρίβειας, της ακεραιότητας και των μοναδικών προσόντων της γνώσης.
  • Προσβασιμότητα των πληροφοριών: Είναι χαρακτηριστικό ότι οι πληροφορίες μπορούν να προσπελαστούν και να χρησιμοποιηθούν ανά πάσα στιγμή μόνο από εξουσιοδοτημένα άτομα.

Οι πληροφορίες μπορούν να ταξινομηθούν με διάφορους τρόπους. Ωστόσο, είναι βασικά δυνατή η ταξινόμηση ως εξής:

  • Οι εμπιστευτικές πληροφορίες είναι κρίσιμες για τις επιχειρήσεις. Μόνο τα μέλη της ομάδας διαχείρισης έχουν πρόσβαση σε αυτές τις πληροφορίες. Η πρόσβαση, η χρήση και η ανταλλαγή τέτοιων πληροφοριών από μη εξουσιοδοτημένα άτομα είναι ακατάλληλη για την επιχείρηση. Εν ολίγοις, είναι σημαντικό να διατηρήσετε αυτές τις πληροφορίες εμπιστευτικές.
  • Οι πληροφορίες που διατίθενται στην επιχείρηση είναι προσωπικές πληροφορίες που είναι προσβάσιμες μόνο στους ενδιαφερόμενους εργαζόμενους. Πληροφορίες που δεν πρέπει να έχουν πρόσβαση και να δουν άλλοι υπάλληλοι και τρίτοι εκτός της μονάδας. Είναι σημαντικό να διατηρούνται εμπιστευτικές οι πληροφορίες αυτές.
  • Οι προσωπικές πληροφορίες είναι οι προσωπικές πληροφορίες των εργαζομένων. Μόνο οι προσωπικές μελέτες που σχετίζονται με επιχειρηματικές δραστηριότητες καλύπτονται. Η διατήρηση και αποθήκευση προσωπικών πληροφοριών που δεν σχετίζονται με την εργασία δεν είναι σωστές. Είναι σημαντικό να είναι προσβάσιμες οι προσωπικές πληροφορίες.
  • Οι πληροφορίες που διαθέτει η εταιρεία προορίζονται αποκλειστικά για τη χρήση των εργαζομένων. Η ακεραιότητα και η προσβασιμότητα είναι απαραίτητες για αυτές τις πληροφορίες. Οι πληροφορίες που μοιράζονται μεταξύ των μονάδων εμπίπτουν στην κατηγορία αυτή.

Τι είναι το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO / IEC 27001;

Προκειμένου να εξασφαλιστεί η ασφάλεια κάθε είδους πληροφοριών, το πρότυπο του συστήματος ISO / IEC 2005 για την Ασφάλεια Πληροφοριών έχει δημοσιευθεί από τον Διεθνή Οργανισμό Τυποποίησης (ISO) και τη Διεθνή Ηλεκτροτεχνική Επιτροπή (IEC).

Στην πραγματικότητα, το ιστορικό αυτού του προτύπου αποτελεί το πρώτο μέρος του προτύπου BS 1995 που δημοσιεύθηκε από το British Standards Institute στο 7799 και το δεύτερο μέρος που δημοσιεύθηκε στο 1998. Αυτά τα πρότυπα αναθεωρήθηκαν μαζί στο 1999. Μέχρι το έτος 2000, δημοσιεύθηκε το πρότυπο ISO / IEC 17799. Στο 2002 ενημερώθηκε το πρότυπο BS 7799-2 και από το 2005 εκδόθηκαν τα ακόλουθα πρότυπα από τον Διεθνή Οργανισμό Τυποποίησης:

  • Πρότυπο ISO 7799: 2 αντί για BS 27001-2005
  • Πρότυπο ISO 17799: 2000 αντί για πρότυπο ISO 27002: 2005

Αυτά τα δύο πρότυπα αναθεωρήθηκαν πρόσφατα στο 2013.

Αυτή η τυποποιημένη οικογένεια έχει εκδοθεί από το Τουρκικό Ινστιτούτο Τυποποίησης στη χώρα μας ως εξής:

  • Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Συστήματα διαχείρισης ασφάλειας πληροφοριών - Επισκόπηση και γλωσσάριο
  • TS EN ISO / IEC 27001 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Συστήματα διαχείρισης ασφάλειας πληροφοριών - Απαιτήσεις
  • TS EN ISO / IEC 27002 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Αρχές εφαρμογής για ελέγχους ασφάλειας πληροφοριών
  • TS ISO / IEC 27003 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Οδηγός εφαρμογής συστήματος διαχείρισης πληροφοριών
  • ISO / IEC 27004 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Διαχείριση ασφάλειας πληροφοριών - Μέτρηση
  • TS ISO / IEC 27005 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Διαχείριση κινδύνων ασφάλειας πληροφοριών
  • TS ISO / IEC 27006 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Απαιτήσεις για τους οργανισμούς που διενεργούν ελέγχους και πιστοποίηση συστημάτων διαχείρισης της ασφάλειας των πληροφοριών
  • TS ISO / IEC 27007 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Καθοδήγηση για τον έλεγχο των συστημάτων διαχείρισης της ασφάλειας των πληροφοριών
  • TSE ISO / IEC EN 27008 Τεχνολογία πληροφοριών - Τεχνικές ασφαλείας - Οδηγός ελέγχου ασφάλειας πληροφοριών για τους ελεγκτές

Τι είναι ο κίνδυνος, η διαχείριση κινδύνων και η απειλή;

Η φράση κινδύνου που τοποθετείται στη γλώσσα μας από τα γαλλικά ορίζεται ως ο κίνδυνος βλάβης. Ο κίνδυνος είναι η εμφάνιση ενός απροσδόκητου γεγονότος και η επίδρασή του. Ως εκ τούτου, ο κίνδυνος θεωρείται αρνητική κατάσταση, ένας κίνδυνος. Με τον τρόπο αυτό, προκειμένου να προστατευθούν από τις αρνητικές επιπτώσεις των κινδύνων και να αποφευχθεί οποιαδήποτε βλάβη, λαμβάνονται μέτρα λαμβάνοντας υπόψη διάφορες δυνατότητες. Η μέθοδος που περιλαμβάνει αυτές τις μελέτες και δραστηριότητες σχεδιασμού ονομάζεται διαχείριση κινδύνων.

Η διαχείριση κινδύνων είναι η διαδικασία εντοπισμού, μέτρησης, ανάλυσης και αξιολόγησης ορισμένων παραγόντων κινδύνου και ελαχιστοποίησης των πιθανών απωλειών προκειμένου να αποφευχθεί η διακοπή της λειτουργικότητας μιας επιχείρησης και να διασφαλιστεί ότι οι δραστηριότητες δεν θα επηρεαστούν αρνητικά. Ωστόσο, δεν είναι δυνατόν να εξαλειφθεί εντελώς ο κίνδυνος στις δραστηριότητες διαχείρισης κινδύνου.

Τα κύρια στοιχεία μιας μελέτης διαχείρισης κινδύνου είναι τα εξής:

  • Προσδιορισμός των στοιχείων ενεργητικού της επιχείρησης με πληροφοριακή αξία
  • Εντοπισμός εσωτερικών και εξωτερικών κινδύνων που απειλούν την επιχείρηση
  • Ανίχνευση αδύναμων και ανοιχτών σημείων που θέτουν σε κίνδυνο την επιχείρηση
  • Προσδιορισμός της πιθανότητας πραγματοποίησης κινδύνου
  • Προσδιορισμός των επιπτώσεων των κινδύνων στις δραστηριότητες της επιχείρησης και του συστήματος

Με το στοιχείο ενεργητικού, εννοούμε τα πάντα που αποτελούν μέρος του συστήματος και έχει αξία για την επιχείρηση. Ως εκ τούτου, τα περιουσιακά στοιχεία είναι πολύτιμα για την επιχείρηση και πρέπει να προστατεύονται.

Όσον αφορά το σύστημα τεχνολογίας των πληροφοριών, τα περιουσιακά στοιχεία δεν σημαίνουν μόνο λογισμικό και υλικό. Τα ακόλουθα περιλαμβάνονται στην έννοια της ύπαρξης: όλα τα είδη πληροφοριών, προσωπικοί υπολογιστές, εκτυπωτές, διακομιστές και όλα τα παρόμοια υλικά, λειτουργικά συστήματα, εφαρμογές που αναπτύσσονται, προγράμματα γραφείου και όλα τα παρόμοια λογισμικά, τηλέφωνα, καλώδια, γραμμές μόντεμ, συσκευές μεταγωγής και όλες τις άλλες συσκευές επικοινωνίας , όλα τα έγγραφα, τις υπηρεσίες που παράγονται και φυσικά τη φήμη και την εικόνα της επιχείρησης στην αγορά.

Οι κίνδυνοι υπόκεινται σε κάποια ταξινόμηση σε μελέτες διαχείρισης κινδύνου. Για παράδειγμα, αν το περιουσιακό στοιχείο είναι κατεστραμμένο στην ομάδα χαμηλού κινδύνου, το σύστημα πληροφοριών δεν θα υποστεί μεγάλη ζημιά και το σύστημα θα συνεχίσει να λειτουργεί. Η κατάσταση αυτή δεν βλάπτει τη φήμη της επιχείρησης. Το σύστημα πληροφοριών επηρεάζεται εάν το περιουσιακό στοιχείο είναι κατεστραμμένο στην ομάδα μεσαίου κινδύνου. Παρόλο που το σύστημα συνεχίζει να λειτουργεί, το περιουσιακό στοιχείο πρέπει να τεθεί σε λειτουργία. Αυτή η κατάσταση προκαλεί κάποια βλάβη στη φήμη της επιχείρησης. Το σύστημα πληροφοριών επηρεάζεται ιδιαίτερα εάν το περιουσιακό στοιχείο υποστεί βλάβη στην ομάδα υψηλού κινδύνου. Σχεδόν το ήμισυ του συστήματος καθίσταται άχρηστο. Προκειμένου το σύστημα να λειτουργήσει, το στοιχείο πρέπει να αντικατασταθεί. Η κατάσταση αυτή επηρεάζει σημαντικά τη φήμη της επιχείρησης. Στην ομάδα υψηλού κινδύνου, η παρουσία πληροφοριών έχει υποστεί σοβαρή ζημιά και στην περίπτωση αυτή έχει επηρεαστεί σημαντικά η λειτουργικότητα του συστήματος. Το σύστημα πληροφοριών δεν είναι διαθέσιμο. Η κατάσταση αυτή επηρεάζει πολύ καλά τη φήμη της εταιρείας στην αγορά.

Απειλή είναι η πιθανότητα οποιασδήποτε πηγή απειλής, είτε σκόπιμα είτε ως αποτέλεσμα ατυχήματος, να εκμεταλλευτεί μια ευπάθεια στο σύστημα και να βλάψει τα περιουσιακά στοιχεία. Οι φυσικές απειλές περιλαμβάνουν σεισμούς, κατολισθήσεις, πλημμύρες, αστραπές ή καταιγίδες. Οι περιβαλλοντικές απειλές περιλαμβάνουν την ατμοσφαιρική ρύπανση, τις παρατεταμένες διακοπές λειτουργίας και τις διαρροές. Οι απειλές που προκαλούνται από ανθρώπους προκαλούνται από ανθρώπους συνειδητά ή εν αγνοία τους. Για παράδειγμα, εισάγετε λανθασμένα δεδομένα στο σύστημα, επιθέσεις εξωτερικού δικτύου, εγκαταστήστε κακόβουλο λογισμικό στο σύστημα, κλέψτε τα διαπιστευτήρια χρήστη ή αποκτήστε πρόσβαση σε εξουσιοδοτημένα άτομα στο σύστημα.

Η διαφάνεια στα συστήματα πληροφοριών είναι μια αδυναμία, σφάλμα ή ελάττωμα που συναντάται στις διαδικασίες ασφάλειας συστημάτων, στην πράξη ή στους εσωτερικούς ελέγχους, οι οποίες παραβιάζουν την ασφάλεια των πληροφοριών. Αυτά τα ανοίγματα από μόνα τους δεν αποτελούν κίνδυνο. Πρέπει να υπάρχει απειλή για την πραγματοποίησή τους.

Ποιο είναι το πεδίο εφαρμογής του συστήματος διαχείρισης πληροφοριών ασφαλείας ISO 27001;

Οι επιχειρήσεις παράγουν ορισμένες πληροφορίες στο πλαίσιο των δραστηριοτήτων τους ανεξάρτητα από τον τομέα ή το μέγεθος στο οποίο λειτουργούν και οι πληροφορίες αυτές είναι πολύτιμες για κάθε επιχείρηση. Οι προσπάθειες για την προστασία των πληροφοριών θα είναι διαφορετικές από τις επιχειρήσεις στις επιχειρήσεις, αλλά γενικά το σύστημα θα καλύπτει τα ακόλουθα κύρια στοιχεία:

  • Η ανώτατη διοίκηση της επιχείρησης πρέπει να έχει καθορίσει και να εξηγήσει μια πολιτική που πρέπει να ακολουθείται στον τομέα της ασφάλειας των πληροφοριών.
  • Τα περιουσιακά στοιχεία της επιχείρησης πρέπει να απαριθμούνται και να ταξινομούνται ανάλογα με τη σημασία τους.
  • Πρέπει να αποτραπεί η πιθανότητα να κάνουν λάθη οι εργαζόμενοι.
  • Ο κίνδυνος κατάχρησης πληροφοριακών στοιχείων στην επιχείρηση πρέπει να μειωθεί.
  • Πρέπει να μειωθούν οι επιθέσεις στις πηγές πληροφοριών και ο κίνδυνος διαφθοράς ή αλλοίωσης των πληροφοριών.
  • Τα λειτουργικά συστήματα πληροφορικής πρέπει να είναι επαρκή και αξιόπιστα.
  • Μόνο τα εξουσιοδοτημένα άτομα πρέπει να έχουν πρόσβαση στις πληροφορίες.
  • Σε περίπτωση παραβίασης της ασφάλειας, θα πρέπει να είναι δυνατή η έγκαιρη και ταχεία ανταπόκριση ανάλογα με τη μορφή της εκδήλωσης.
  • Οι επιθέσεις στις πληροφορίες δεν πρέπει να διακόπτουν τις κύριες δραστηριότητες της επιχείρησης και πρέπει να είναι σε θέση να επιστρέψουν στο κανονικό περιβάλλον πολύ γρήγορα. Με άλλα λόγια, θα πρέπει να διασφαλιστεί η συνέχεια των δραστηριοτήτων.
  • Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών πρέπει να είναι σε επίπεδο επαρκές για την εκπλήρωση των υποχρεώσεων των κανονιστικών ρυθμίσεων μιας οντότητας.

Παρόλο που το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 θεωρείται μόνο ως έργο τεχνολογίας της πληροφορίας στις επιχειρήσεις, είναι στην πραγματικότητα ένα έργο ασφάλειας πληροφοριών που αφορά ολόκληρη την επιχείρηση. Ως εκ τούτου, η ανώτερη διοίκηση είναι άμεσα υπεύθυνη για τη θέσπιση και τη λειτουργία του προτύπου ISO 27001. Σήμερα, το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 διαχειρίζεται συνολικά το σύνολο των ανθρώπινων πόρων, της ανώτερης διοίκησης, των συστημάτων πληροφορικής και των επιχειρηματικών διαδικασιών στην επιχείρηση.

Οι κύριοι στόχοι του προτύπου ISO 27001 είναι:

  • Για τον εντοπισμό τρωτών σημείων ασφαλείας των πληροφοριών, εάν υπάρχουν
  • Προσδιορισμός των κινδύνων που απειλούν τις πληροφορίες περιουσιακών στοιχείων
  • Να προσδιοριστούν οι μέθοδοι ελέγχου για να διασφαλιστεί η ασφάλεια των στοιχείων ενεργητικού
  • Εξασφάλιση της διεξαγωγής των απαραίτητων ελέγχων και διατήρηση των πιθανών κινδύνων σε αποδεκτό επίπεδο
  • Για να εξασφαλιστεί η συνέχεια των ελέγχων ασφαλείας της πληροφορίας στην επιχείρηση

Τι παράγει το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001;

Το πρότυπο ISO 27001 επιτρέπει τη θέσπιση μεθοδολογίας αξιολόγησης κινδύνου, την εκπόνηση εκθέσεων αξιολόγησης κινδύνου και την προετοιμασία σχεδίων επεξεργασίας κινδύνου.

Με την πάροδο του χρόνου, η φύση των απειλών και τρωτών σημείων που υπάρχουν στο σύστημα μπορεί να αλλάξει. Ή ως αποτέλεσμα των ελέγχων που πραγματοποιήθηκαν με το πρότυπο ISO 27001 που εφαρμόστηκε, οι κίνδυνοι μπορεί να μειωθούν ή η σοβαρότητα μπορεί να μειωθεί. Επομένως, οι δραστηριότητες παρακολούθησης των κινδύνων των επιχειρήσεων είναι σημαντικές. Οι επιχειρήσεις υποχρεούνται να διεξάγουν μελέτες αξιολόγησης κινδύνου σύμφωνα με την αποδεκτή μεθοδολογία εντός της περιόδου που έχουν καθορίσει.

Η πολιτική ασφάλειας πληροφοριών σύμφωνα με το πρότυπο ISO 27001 πρέπει να περιλαμβάνει κυρίως: φυσική και περιβαλλοντική ασφάλεια, ασφάλεια εξοπλισμού, λειτουργικά συστήματα και ασφάλεια τελικού χρήστη, ασφάλεια κωδικού πρόσβασης και ασφάλεια διακομιστή και συστήματος.

Το ζήτημα της φυσικής και περιβαλλοντικής ασφάλειας αφορά την παρεμπόδιση της μη εξουσιοδοτημένης πρόσβασης στο σύστημα και την προστασία των περιουσιακών στοιχείων από διάφορους κινδύνους. Σήμερα, η φυσική και περιβαλλοντική ασφάλεια έχει αποκτήσει όλο και μεγαλύτερη σημασία. Η παρουσία ιδιωτικών ομάδων ασφαλείας στην είσοδο του επιχειρηματικού κτιρίου, η αποθήκευση σημαντικών πληροφοριακών περιβαλλόντων και η πρόσβαση σε αυτά τα περιβάλλοντα με κρυπτογραφημένα συστήματα ασφαλείας είναι παραδείγματα τέτοιων μέτρων. Προκειμένου να προστατευθούν τα συστήματα πληροφοριών, είναι κοινό να εγκατασταθεί πρόσβαση με έλεγχο μέσω κάρτας και παρόμοια συστήματα φυσικής ασφάλειας. Αυτή η φυσική ασφάλεια των συνόρων καθορίζεται βάσει των αναγκών ασφάλειας των πληροφοριακών στοιχείων και των αποτελεσμάτων της εκτίμησης κινδύνου. Τα περιβάλλοντα με ιδιαίτερα επικίνδυνες πληροφορίες αποκλείονται από μη εξουσιοδοτημένη πρόσβαση μέσω καρτών ελέγχου ταυτότητας ή προστασίας PIN. Επιπλέον, πρέπει να ληφθούν και να εφαρμοστούν μέτρα φυσικής προστασίας για ζημίες που προκαλούνται από καταστροφές, όπως πυρκαγιές, πλημμύρες, σεισμούς, εκρήξεις ή κοινωνικές αναταραχές.

Σημασία του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001

Η ασφάλεια των πληροφοριών αποσκοπεί στη διασφάλιση της συνέχειας της εργασίας στις επιχειρήσεις, στην ελαχιστοποίηση της απώλειας σε περίπτωση αναπόφευκτου κινδύνου και στην προστασία της εμπιστευτικότητας, της προσβασιμότητας και της ακεραιότητας των πόρων σε όλες τις περιπτώσεις. Σήμερα, όχι μόνο με τους υπαλλήλους της, αλλά και με τους επιχειρηματικούς εταίρους, τους μετόχους και τους πελάτες, η δημιουργία ενός χώρου εμπιστοσύνης για την προστασία και εμπιστευτικότητα των πληροφοριών έχει στρατηγική σημασία για τη διαχείριση των επιχειρήσεων.

Τα προβλήματα ασφάλειας που αντιμετωπίζουν με διάφορους τρόπους όχι μόνο διακόπτουν τη συνέχεια των δραστηριοτήτων, αλλά προκαλούν επίσης απώλεια της αγοράς, δημιουργούν ανταγωνιστικές δυσκολίες και προκαλούν απώλεια εμπιστοσύνης έναντι των επιχειρηματικών εταίρων, των μετόχων και των πελατών. Το κόστος των δαπανών για την ανάκτηση αυτών των αριθμών είναι ακριβότερο από το κόστος των μέτρων για την αποφυγή της απώλειας τους.

Οι πληροφορίες για τις επιχειρήσεις, όπως και άλλα εμπορικά περιουσιακά στοιχεία, είναι ένα περιουσιακό στοιχείο που έχει αξία και επομένως πρέπει να προστατεύεται. Η πληροφόρηση έχει μεγάλη σημασία για την επιχείρηση να συνεχίσει τις δραστηριότητές της. Για το λόγο αυτό, είναι σημαντικό τα στοιχεία των πληροφοριών να διατηρούνται εμπιστευτικά, η ακεραιότητά τους να διατηρείται και να είναι διαθέσιμη ανά πάσα στιγμή, με λίγα λόγια, εξασφαλίζεται η ασφάλεια των πληροφοριών. Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO / IEC 27001 είναι το μόνο διεθνές και ελεγχόμενο σύστημα που καθορίζει τις ανάγκες των επιχειρήσεων προς αυτήν την κατεύθυνση.

Το πρότυπο ISO 27001 είναι ιδιαίτερα απαραίτητο σε τομείς όπου η επεξεργασία και η προστασία των πληροφοριών είναι υψίστης σημασίας, όπως οι δημόσιοι, οικονομικοί, υγειονομικοί και τεχνολογικοί τομείς. Αυτό το πρότυπο είναι επίσης σημαντικό για επιχειρήσεις που διαχειρίζονται πληροφορίες για άλλους ανθρώπους και οργανισμούς. Με αυτόν τον τρόπο, οι επιχειρήσεις παρέχουν στους πελάτες τους τη διαβεβαίωση ότι οι πληροφορίες τους προστατεύονται.

ISO 27001 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών είναι ένα σύστημα διαχείρισης που δημιουργείται από επιχειρήσεις με στόχο την παροχή ασφάλειας πληροφοριών, την εφαρμογή αυτού του προτύπου, την παρακολούθηση, την αναθεώρηση, τη διατήρηση και τη συνεχή βελτίωση της εφαρμογής. Στο πλαίσιο αυτό, διεξάγονται μελέτες ανάλυσης κινδύνου προκειμένου να προσδιοριστούν οι πόροι της επιχείρησης και να προσδιοριστούν οι πιθανοί κίνδυνοι. Οι μελέτες εκτίμησης κινδύνου είναι η σύγκριση του κινδύνου με συγκεκριμένα κριτήρια κινδύνου για τον προσδιορισμό της σημασίας του κινδύνου.

ISO 27001 Σχεδιασμός συστήματος διαχείρισης πληροφοριών

Η καθιέρωση του προτύπου ISO 27001 στην επιχείρηση εξαρτάται από ορισμένα βήματα. Δηλαδή,

  • Πρώτον, θα πρέπει να συλλέγονται πληροφορίες σχετικά με την υποδομή της επιχείρησης. Αυτές οι πληροφορίες σχετίζονται με τα πεδία δραστηριότητας της επιχείρησης, τη φύση του έργου, την αποστολή και τον διακανονισμό της επιχείρησης.
  • Στη συνέχεια, πρέπει να καθοριστούν τα ονόματα κλειδιών που θα χρησιμεύσουν στην εγκατάσταση του συστήματος. Σε αυτό το στάδιο, θα πρέπει να καθοριστούν οι υπεύθυνοι για τη διαχείριση του κινδύνου και ο σκοπός της εγκατάστασης του συστήματος.
  • Στη συνέχεια, η κατάσταση της ασφάλειας της επιχείρησης πρέπει να καθοριστεί στη σημερινή κατάσταση.
  • Στη συνέχεια θα πρέπει να συλλέγονται πληροφορίες, όπως τοποθεσίες, λειτουργίες, επιχειρηματικές λειτουργίες και τεχνολογίες πληροφοριών, οι οποίες θα καθορίζουν το πεδίο εφαρμογής του συστήματος.
  • Σε αυτό το στάδιο, πρέπει να καθοριστεί ο στόχος και το πεδίο εφαρμογής του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 και να καθοριστεί πρόγραμμα εργασίας.
  • Τέλος, στο τελευταίο στάδιο, θα πρέπει να καθοριστούν οι διαδικασίες που απαιτούνται για τη δημιουργία του συστήματος και τη συνέχεια του συστήματος.

Ο κύκλος, ο οποίος παραδοσιακά ισχύει για όλα τα συστήματα διαχείρισης της ποιότητας, συμβαίνει επίσης εδώ:

  • Σχέδιο (Δημιουργία Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών)
  • Εφαρμογή (Εφαρμογή και λειτουργία του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών)
  • Έλεγχος (Παρακολούθηση και αναθεώρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών)
  • Λάβετε προφυλάξεις (Συντήρηση και βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών)

Φυσικά, με τη δημιουργία ενός τέτοιου συστήματος, οι επιχειρήσεις κερδίζουν τεράστια οφέλη. Για παράδειγμα,

  • Η οικονομική οντότητα αναγνωρίζει την ύπαρξη και τη σημασία όλων των στοιχείων ενεργητικού.
  • Προστατεύει τα πληροφοριακά στοιχεία χρησιμοποιώντας τις συγκεκριμένες μεθόδους ελέγχου και προστασίας.
  • Με αυτόν τον τρόπο διασφαλίζεται η συνέχεια της εργασίας. Όταν αντιμετωπίζεται οποιοσδήποτε κίνδυνος, αποτρέπεται η διακοπή των δραστηριοτήτων.
  • Με αυτό το σύστημα, η εταιρεία κερδίζει την εμπιστοσύνη των συνδεδεμένων μερών καθώς θα προστατεύει την πληροφόρηση των προμηθευτών εταιρειών και πελατών.
  • Η προστασία των πληροφοριών δεν αφήνεται στην τύχη.
  • Η επιχείρηση ενεργεί πιο συστηματικά από τους ανταγωνιστές της κατά την αξιολόγηση των πελατών της.
  • Η κινητοποίηση των εργαζομένων στην επιχείρηση αυξάνεται.
  • Καθώς θα εξασφαλιστούν νομικές ρυθμίσεις, θα αποφευχθούν πιθανές νομικές συνέπειες.
  • Η φήμη της επιχείρησης στην αγορά αυξάνεται και η επιχείρηση είναι ένα βήμα μπροστά στην καταπολέμηση των ανταγωνιστών της.

Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 απαιτεί την εξέταση και αξιολόγηση όλων των στοιχείων ενεργητικού της επιχείρησης και γίνεται ανάλυση κινδύνου λαμβάνοντας υπόψη τις αδυναμίες και τις απειλές αυτών των περιουσιακών στοιχείων. Προκειμένου να επιτευχθεί αυτό, μια επιχείρηση πρέπει να επιλέξει μια μέθοδο διαχείρισης του κινδύνου κατάλληλη για τη διάρθρωσή της και να σχεδιάσει τον κίνδυνο. Το πρότυπο περιλαμβάνει στόχους ελέγχου και μεθόδους ελέγχου για την επεξεργασία κινδύνου.

Σύμφωνα με το πρότυπο ISO 27001, οι επιχειρήσεις υποχρεούνται να καταρτίζουν σχέδια διαχείρισης κινδύνου και διαχείρισης κινδύνου, να προσδιορίζουν τα καθήκοντα και τις ευθύνες, να προετοιμάζουν τα σχέδια συνέχειας των επιχειρήσεων, να προετοιμάζουν διαδικασίες διαχείρισης έκτακτων περιστατικών και να τηρούν μητρώα κατά τη διάρκεια της εφαρμογής.

Οι επιχειρήσεις πρέπει επίσης να εκδίδουν πολιτική ασφάλειας πληροφοριών που να καλύπτει όλες αυτές τις δραστηριότητες. Όλα τα ανώτερα στελέχη και οι υπάλληλοι πρέπει επίσης να γνωρίζουν την ασφάλεια των πληροφοριών και τις απειλές. Κατά την εφαρμογή του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001, οι επιλεγμένοι στόχοι ελέγχου πρέπει να μετρηθούν και η καταλληλότητα και η απόδοση των ελέγχων να παρακολουθούνται συνεχώς. Αυτή η διαδικασία πρέπει να είναι μια διαδικασία διαβίωσης, η διαχείριση της ασφάλειας των πληροφοριών, η ενεργή υποστήριξη των ανώτερων στελεχών και η συμμετοχή όλων των εργαζομένων. Οι αιτούσες επιχειρήσεις μπορούν να λαμβάνουν συμβουλές και υποστήριξη εμπειρογνωμόνων για τη διαχείριση κινδύνων, τη χάραξη πολιτικής, την τεκμηρίωση διαδικασιών ασφάλειας, τον εντοπισμό και την εφαρμογή κατάλληλων μεθόδων ελέγχου.

Εν ολίγοις, το πρότυπο ISO 27001 είναι ένα σύστημα που ορίζει την συνολική ασφάλεια πληροφοριών και τον τρόπο εξασφάλισης της ασφάλειας των πληροφοριών ως διαδικασία διαβίωσης. Τα βήματα εγκατάστασης αυτού του συστήματος μπορούν να περιγραφούν ως εξής:

  • Ταξινόμηση των στοιχείων ενεργητικού
  • Αξιολόγηση των στοιχείων ενεργητικού σύμφωνα με τα κριτήρια εμπιστευτικότητας, ακεραιότητας και προσβασιμότητας
  • Ανάλυση κινδύνου
  • Προσδιορισμός των μεθόδων ελέγχου που πρέπει να εφαρμόζονται σύμφωνα με τα αποτελέσματα της ανάλυσης κινδύνου
  • Ολοκλήρωση της τεκμηρίωσης
  • Εφαρμογή καθορισμένων μεθόδων ελέγχου
  • Διεξαγωγή μελετών εσωτερικού ελέγχου
  • Διατηρεί τα αρχεία που απαιτούνται από το πρότυπο
  • Διεξαγωγή συνεδριάσεων ανασκόπησης διαχείρισης
  • Διεξαγωγή μελετών πιστοποίησης

Απειλές και αδυναμίες που σχετίζονται με την ηλεκτρονική επικοινωνία

Στο πλαίσιο των σχετικών νομικών κανονισμών, υπάρχουν ορισμένα πράγματα που πρέπει να κάνουν οι επιχειρήσεις προκειμένου να διασφαλίσουν την ασφάλεια των πληροφοριών:

  • Διατηρήστε αρχεία των αρχείων καταγραφής IP που χρησιμοποιούνται από τους υπολογιστές
  • Διατηρήστε αρχεία σχετικά με το ποιους υπαλλήλους έχουν διευθύνσεις IP για το παρελθόν
  • Διατηρείτε αρχεία καταγραφής των εκδρομών των εργαζομένων στο Διαδίκτυο
  • Διατηρήστε αρχεία καταγραφής ηλεκτρονικού ταχυδρομείου που αποστέλλονται από τους υπαλλήλους
  • Διατηρώντας αρχεία των σελίδων στο διαδίκτυο που απασχολούν οι εργαζόμενοι και πόσο καιρό έχουν ξοδέψει στο παρελθόν
  • Παρέχετε περιορισμένη πρόσβαση στην πρόσβαση στο Διαδίκτυο φιλτράροντας ανά περιεχόμενο
  • Εξασφαλίζοντας την ακεραιότητα όλων των ληφθέντων αρχείων και αποδεικνύοντας ότι δεν έχουν αλλοιωθεί

Στο πλαίσιο αυτό, οι κύριες απειλές για την ηλεκτρονική επικοινωνία των εργαζομένων είναι:

  • Οι εργαζόμενοι που εισέρχονται σε μια περιοχή ευαισθησίας ασφαλείας χωρίς άδεια ή υπερβαίνουν τα υπάρχοντα όρια αδειοδότησης
  • Οι εργαζόμενοι προσπαθούν να διακόψουν την εμπιστευτικότητα, την ακεραιότητα και τη συνέχεια των δεδομένων χωρίς άδεια ή με υπέρβαση των υφιστάμενων ορίων εξουσιοδότησης διαγράφοντας, προσθέτοντας, τροποποιώντας, καθυστερώντας, αποθηκεύοντας σε άλλο μέσο ή αποκαλύπτοντας πληροφορίες
  • Προσπαθώντας να αποτρέψουμε, εν όλω ή εν μέρει, τα εξαρτήματα υλικού και λογισμικού από την εκπλήρωση των απαιτήσεων που ορίζονται σύμφωνα με τους νομικούς κανονισμούς και τα εγχώρια και ξένα πρότυπα
  • Παροχή της εντύπωσης ότι η ηλεκτρονική επικοινωνία πραγματοποιείται με το σωστό μέρος παραπλανούν τον χρήστη
  • Παρακολούθηση ηλεκτρονικών επικοινωνιών με χρήση παράνομων μεθόδων
  • Ισχυρίζοντας ότι αυτές οι πληροφορίες ελήφθησαν από κάποιον άλλο, δημιουργώντας λανθασμένες πληροφορίες ή στέλνοντας αυτές τις λανθασμένες πληροφορίες σε άλλο μέρος
  • Να καταστεί η υποδομή ηλεκτρονικών επικοινωνιών εν μέρει ή εντελώς ακατάλληλη ή να καταναλωθούν οι πόροι για την εν λόγω υποδομή κατά τρόπο που παρεμποδίζει την παροχή υπηρεσιών

Εν τω μεταξύ, μερικά αδύνατα σημεία για την ηλεκτρονική επικοινωνία μπορούν να αναφερθούν ως εξής:

  • Απρόβλεπτες μελλοντικές απειλές
  • Σφάλματα κατά το σχεδιασμό ενός συστήματος ή πρωτοκόλλου
  • Προβλήματα κατά την εγκατάσταση ενός συστήματος ή πρωτοκόλλου
  • Λάθη που προκαλούνται από προγραμματιστές λογισμικού
  • Σφάλματα χρήστη
  • Ανικανότητες ή μη συμμόρφωση που προκύπτουν κατά τη χρήση του συστήματος

Πρότυπη δομή του συστήματος διαχείρισης πληροφοριών ασφαλείας ISO 27001

Το πρότυπο ISO 27001 αναθεωρήθηκε πρόσφατα στο 2013. Σε αυτή την έκδοση, οι ρήτρες του προτύπου έχουν ως εξής:

  1. έκταση
  2. Αναφερόμενα πρότυπα και έγγραφα
  3. Όροι και συνταγές
  4. Το πλαίσιο της οργάνωσης
  • Κατανόηση της οργάνωσης και του πλαισίου της
  • Κατανόηση των αναγκών και προσδοκιών των ενδιαφερόμενων μερών
  • Προσδιορισμός του πεδίου εφαρμογής του συστήματος διαχείρισης της ασφάλειας των πληροφοριών
  • Σύστημα διαχείρισης ασφάλειας πληροφοριών
  1. ηγεσία
  • Ηγεσία και δέσμευση
  • Πολιτικά
  • Εταιρικοί ρόλοι, ευθύνες και αρχές
  1. σχεδίαση
  • Δραστηριότητες που αφορούν τους κινδύνους και τις ευκαιρίες
  • Στόχοι ασφάλειας των πληροφοριών και σχεδιασμός για την επίτευξη αυτών των στόχων
  1. Destek
  • πόροι
  • προσόντα
  • επίγνωση
  • επικοινωνία
  • Γραπτές πληροφορίες
  1. λειτουργίας
  • Επιχειρησιακός προγραμματισμός και έλεγχος
  • Αξιολόγηση κινδύνου ασφάλειας πληροφοριών
  • Επεξεργασία κινδύνου ασφάλειας πληροφοριών
  1. Αξιολόγηση απόδοσης
  • Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση
  • Εσωτερικός έλεγχος
  • Επισκόπηση διαχείρισης
  1. αποκατάστασης
  • Μη συμμόρφωση και διορθωτικές ενέργειες
  • Συνεχής βελτίωση

Πιστοποίηση συστήματος διαχείρισης ασφάλειας πληροφοριών ISO 27001

Μετά την εγκατάσταση του συστήματος διαχείρισης πληροφοριών ασφαλείας ISO 27001, οι επιχειρήσεις θα θέλουν να αποκτήσουν πιστοποιητικό ISO 27001 προκειμένου να αποδείξουν την κατάσταση αυτή στους πελάτες, τους ανταγωνιστές τους και τους σχετικούς επίσημους και ιδιωτικούς οργανισμούς. Ωστόσο, ο σκοπός της εγκατάστασης αυτού του συστήματος δεν πρέπει να είναι μόνο η κατοχή αυτού του εγγράφου. Διαφορετικά, το σύστημα δεν μπορεί να αναμένεται να παρέχει τα πλεονεκτήματα που περιγράφονται παραπάνω.

Σύμφωνα με τις μεθόδους ελέγχου που καθορίζονται κατά τη διάρκεια της διαδικασίας εφαρμογής, την προστασία των πληροφοριακών στοιχείων, τον έλεγχο των κινδύνων που απειλούν τα πληροφοριακά περιουσιακά στοιχεία, τη λήψη μέτρων για την εξάλειψη ή τον μετριασμό των κινδύνων, την εκτίμηση των νέων κινδύνων που προκύπτουν με την πάροδο του χρόνου και την αξιολόγηση των κινδύνων αυτών, εάν υπάρχουν κίνδυνοι που δεν μπορούν να αποφευχθούν αλλά αποδεκτοί. Για αυτούς, απαιτούνται εγκρίσεις ανώτατης διοίκησης. Αυτή η διαδικασία θα συνεχιστεί όσο υπάρχει η επιχείρηση.

Οι επιχειρήσεις που πληρούν τις απαιτήσεις του προτύπου ISO 27001 και εφαρμόζουν το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών μπορούν τώρα να ζητήσουν πιστοποιητικό ISO 27001 εφαρμόζοντας σε ένα φορέα πιστοποίησης. Σε αυτό το σημείο, είναι εξαιρετικά σημαντικό ο οργανισμός πιστοποίησης να είναι διαπιστευμένος από έναν τοπικό ή ξένο φορέα διαπίστευσης. Διαφορετικά, οι εκθέσεις και τα έγγραφα που πρόκειται να εκδοθούν δεν μπορούν να έχουν ισχύ.

Το πρώτο στάδιο της πιστοποίησης γίνεται μέσω της υπάρχουσας εργασίας τεκμηρίωσης. Σε αυτό το στάδιο, αντιμετωπίζονται μεμονωμένα η πολιτική ασφάλειας των πληροφοριών, οι εκθέσεις αξιολόγησης κινδύνου, τα σχέδια δράσης κινδύνου, η δήλωση συμμόρφωσης, οι διαδικασίες ασφάλειας και οι οδηγίες εφαρμογής που καταρτίζει η επιχείρηση. Αν εντοπιστεί κάποια μη συμμόρφωση στα έγγραφα αυτά, αναμένεται να ολοκληρωθεί πριν προχωρήσετε στο δεύτερο στάδιο.

Μετά την ολοκλήρωση του πρώτου σταδίου, ο οργανισμός πιστοποίησης διορίζει έναν ή περισσότερους ελεγκτές και ξεκινά εργασίες ελέγχου στο περιβάλλον εργασίας της επιχείρησης. Σε αυτούς τους επιτόπιους ελέγχους παρατηρείται κατά πόσον οι έλεγχοι ασφάλειας πληροφοριών που καθορίζονται από την οντότητα ανάλογα με το πεδίο δραστηριότητας συμμορφώνονται με τις απαιτήσεις του προτύπου ISO 27001. Μετά την ολοκλήρωση των ελέγχων του δεύτερου σταδίου, οι ελεγκτές συντάσσουν έκθεση και την υποβάλλουν στον οργανισμό πιστοποίησης.

Ο οργανισμός πιστοποίησης διεξάγει μελέτες αξιολόγησης βάσει αυτής της έκθεσης και προετοιμάζει το Πιστοποιητικό Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 εάν το κρίνει κατάλληλο και το παραδίδει στην επιχείρηση. Η διάρκεια ισχύος του πιστοποιητικού είναι τρία έτη. Ωστόσο, μετά την έκδοση αυτού του εγγράφου, οι ενδιάμεσοι έλεγχοι διεξάγονται μία ή δύο φορές το χρόνο, σύμφωνα με το αίτημα της επιχείρησης. Μετά από τρία χρόνια, πρέπει να διεξαχθούν εκ νέου μελέτες πιστοποίησης.

πιστοποίηση

Η εταιρεία, η οποία παρέχει υπηρεσίες ελέγχου, επιτήρησης και πιστοποίησης σε διεθνώς αναγνωρισμένα πρότυπα, παρέχει επίσης υπηρεσίες περιοδικών επιθεωρήσεων, δοκιμών και ελέγχου.

Επικοινωνήστε μαζί μας

Διεύθυνση:

Κεντρικό Γραφείο Mh, Gencosman Cd, No 11
Gungoren - Κωνσταντινούπολη

Τηλέφωνο:

+ 90 (212) 702 40 00

Whatapp:

+ 90 (532) 281 01 42

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ:

[Προστατεύεται email]

έρευνα