ISO 27001

06 Αυγ 2010

Τo ISO 27001, μέλος της οικογένειας ISO 27000:2005 είναι το πρότυπο που καθορίζει τις απαιτήσεις για το Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών, με σκοπό την εξασφάλιση ότι η επιχείρηση έχει καθορίσει και εφαρμόζει επαρκείς και κατάλληλους ελέγχους που σχετίζονται με την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα της πληροφορίας ώστε να προστατεύονται επαρκώς οι πληροφορίες και τα δεδομένα των «ενδιαφερόμενων μερών». Τα ενδιαφερόμενα μέρη μπορεί να είναι πελάτες, άλλες επιχειρήσεις, προσωπικό, συνεργάτες αλλά και η κοινωνία γενικότερα.

Τα απροστάτευτα συστήματα είναι τρωτά σε ενέργειες αλλοίωσης, υπονόμευσης,  προσβολής από ιούς. Η οποιαδήποτε παραβίαση σημαίνει ότι κρίσιμες πληροφορίες και δεδομένα μπορεί να κλαπούν, αλλοιωθούν ή και να χαθούν, με συνέπειες που πιθανόν να αποβούν καταστροφικές για την επιχείρηση.

Ένα πιστοποιημένο Σύστημα Διαχείρισης της Ασφάλειας Πληροφοριών, σύμφωνο με τις απαιτήσεις του ISO/IEC 27001:2005, αποδεικνύει τη δέσμευση μίας επιχείρησης και το γεγονός ότι παίρνει στα σοβαρά το θέμα της ασφάλειας πληροφοριών.

Το πρότυπο περιέχει 10 θεματικές ενότητες, οι οποίες εξετάζουν τις βασικές περιοχές διαχείρισης πληροφοριών:

  • Πολιτική Ασφαλείας Πληροφοριών: Λεπτομερής κατανόηση των επιχειρησιακών στόχων της εταιρίας και δημιουργία της κατάλληλης πολιτικής ασφάλειας πληροφοριών 
  • Υποδομή Ασφαλείας Πληροφοριών: Διαμόρφωση ενός διοικητικού πλαισίου το οποίο χρειάζεται για να αρχίσει να εφαρμόζεται και να ελέγχεται η ασφάλεια των πληροφοριών μέσα στην εταιρία
  • Κατάταξη και Έλεγχος Πόρων: Λεπτομερής καταγραφή των εταιρικών πόρων της εταιρίας και προσδιορισμός του επιπέδου ασφάλειας που απαιτείται για τους πόρους αυτούς
  • Ασφάλεια Προσωπικού: Μείωση κινδύνων από ανθρώπινο σφάλμα, κλοπή, απάτη ή κακή χρήση των εταιρικών πόρων, καθώς και διασφάλιση ότι το προσωπικό γνωρίζει την πολιτική ασφάλειας των πληροφοριών και την εφαρμόζει στην καθημερινή εργασία του
  • Φυσική και Περιβαλλοντική Ασφάλεια: Αποτροπή της αναρμόδιας πρόσβασης, της ζημία και της παρέμβασης στις επιχειρησιακές εγκαταστάσεις και τις πληροφορίες καθώς τυχόν απώλειας, ζημίας ή και διακοπής στις δραστηριότητες της επιχείρησης.
  • Διαχείριση Υπολογιστών και Δικτύων: Εξασφάλιση της σωστής και ασφαλούς λειτουργίας των δυνατοτήτων επεξεργασίας πληροφοριών, ελαχιστοποίηση κινδύνου να τεθούν τα συστήματα πληροφορικής εκτός λειτουργίας, προστασία της ακεραιότητας του λογισμικού και των πληροφοριών, εξασφάλιση της προστασίας των πληροφοριών στα δίκτυα και τη σχετική υποδομή
  • Έλεγχος Πρόσβασης: Έλεγχος πρόσβασης στις πληροφορίες, εξασφάλιση προστασίας των δικτύων, αποτροπή αναρμόδιας πρόσβασης σε υπολογιστές, ανίχνευση αναρμόδιων δραστηριοτήτων
  • Ανάπτυξη και Συντήρηση Συστήματος: Εξασφάλιση ότι η αναγκαία ασφάλεια εμπεριέχεται στα λειτουργικά σύστημα, να αποτρέψει την απώλεια, την τροποποίηση ή την κακή χρήση των στοιχείων χρηστών εφαρμογών, να εξασφαλίσει ότι τα προγράμματα και οι δραστηριότητες υποστήριξης διευθύνονται με έναν ασφαλή τρόπο
  • Σχεδιασμός Εταιρικής Συνέχειας: Διαμόρφωση τρόπου αντίδρασης σε διακοπές επιχειρησιακών δραστηριοτήτων και κρίσιμων επιχειρησιακών διαδικασιών που είναι αποτελέσματα σημαντικών αποτυχιών ή καταστροφών
  • Συμμόρφωση: Αποφυγή παραβιάσεων εγκληματικού ή αστικού δικαίου, νομικών, ρυθμιστικών ή συμβατικών υποχρεώσεων και οποιωνδήποτε απαιτήσεων ασφάλειας

ErgoQ

Πείτε μας την γνώμη σας: