ISO 27001
Το ISO 27001 αποτελεί προδιαγραφή για την διαχείριση της ασφάλειας των πληροφοριών. Έχει εφαρμογή σε όλους τους τομείς της βιομηχανίας, εμπορίου και υπηρεσιών και η εφαρμογή του δεν περιορίζεται μόνο στις πληροφορίες που αποθηκεύονται σε Η/Υ. Απευθύνεται στην ασφάλεια των πληροφοριών με όποιον τρόπο και αν αυτές τηρούνται.
Οι πληροφορίες μπορεί να είναι καταγεγραμμένες ή εκτυπωμένες σε χαρτί, μπορεί να είναι αποθηκευμένες ηλεκτρονικά, μπορεί να αποστέλλονται με κανονικό ή με ηλεκτρονικό ταχυδρομείο, μπορεί να παρουσιάζονται σε φιλμ ή να διατυπώνονται προφορικά σε συζητήσεις. Οποιαδήποτε μορφή και εάν έχουν οι πληροφορίες, με οποιοδήποτε τρόπο και αν αυτές διαμοιράζονται ή αποθηκεύονται, το ISO 27001 βοηθάει έναν οργανισμό να τις προστατεύει επαρκώς.
Ασφάλεια της πληροφορίας μπορεί να χαρακτηριστεί η διατήρηση των:
Εμπιστευτικότητας - Η εξασφάλιση ώστε η πρόσβαση στην πληροφορία να είναι καταλλήλως εξουσιοδοτημένη.
Ακεραιότητας - Διαφύλαξη της ακρίβειας και πληρότητας της πληροφορίας, καθώς και των μεθόδων επεξεργασίας της.
Διαθεσιμότητας - Η εξασφάλιση του ότι οι εξουσιοδοτημένοι χρήστες της πληροφορίας έχουν πρόσβαση σε αυτήν όταν την χρειάζονται.
Το ISO 27001 εμπεριέχει αριθμό ελεγκτικών επιδιώξεων, σκοπών, σημείων και ελέγχους.
Τα ανωτέρω συμπεριλαμβάνουν:
Πολιτική Ασφάλειας, Ασφάλεια οργανισμού, Κατάταξη και έλεγχος των περιουσιακών στοιχείων, Ασφάλεια προσωπικού, Φυσική και περιβαλλοντική ασφάλεια, Διαχείριση επικοινωνίας και λειτουργιών, Έλεγχος πρόσβασης, Ανάπτυξη και συντήρηση συστημάτων, Διαχείριση της επιχειρησιακής συνέχειας, Συμμόρφωση.
Γιατί χρειάζεται η ασφάλεια πληροφοριών?
Είναι πλέον κοινώς και παγκοσμίως αποδεκτό ότι η πληροφορία είναι ένα από τα ζωτικά περιουσιακά στοιχεία των οργανισμών και επιχειρήσεων. Συνεπώς η εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα της κύριας επιχειρησιακής και πελατειακής πληροφορίας έχουν ζωτική σημασία για την επίτευξη ανταγωνιστικότητας, ρευστότητας, κερδοφορίας, νομικής συμμόρφωσης, και εμπορικής εικόνας. Το ISO 27001 σκοπεύει στο να βοηθάει έναν οργανισμό σε αυτό το έργο.
Είναι πολύ εύκολο κανείς να φανταστεί τις καταστροφικές συνέπειες που θα είχε για έναν οργανισμό εάν οι πληροφορίες του χάνονταν, καταστρέφονταν, αλλοιωνόταν, υπονομευόταν η κακομεταχειρίζονταν. Κάτι τέτοιο θα μπορούσε (και μπορεί) να οδηγήσει στην πλήρη κατάρρευση του οργανισμού.
Πως ξεκινά η εφαρμογή του ISO 27001? Τι εμπλέκεται?
Η ανάπτυξη ενός Συστήματος Διαχείρισης της Ασφάλειας Πληροφοριών (ΣΔΑΠ) που να ικανοποιεί τις απαιτήσεις του προτύπου ISO 27001 εμπλέκει τρία στάδια:
- Την δημιουργία ενός πλαισίου διαχείρισης της πληροφορίας. Αυτό προσδίδει κατεύθυνση, επιδιώξεις και στόχους της ασφάλειας πληροφοριών, και ορίζει την πολιτική στην οποία δεσμεύεται η διοίκηση.
- Εντοπισμός και αξιολόγηση της επικινδυνότητας (των ρίσκων) ασφαλείας. Οι απαιτήσεις της ασφάλειας εντοπίζονται μέσα από μία μεθοδική διαδικασία αξιολόγησης της επικινδυνότητας της ασφάλειας. Τα αποτελέσματα αυτής της αξιολόγησης βοηθούν στην καθοδήγηση και προσδιορισμό της κατάλληλης διαχειριστικής ενέργειας καθώς και τις προτεραιότητες για την διαχείριση της επικινδυνότητας ασφάλειας πληροφοριών.
- Επιλογή και εφαρμογή ελέγχων και ελεγκτικών μεθόδων. Όταν έχουν εντοπιστεί οι απαιτήσεις για την ασφάλεια, τότε θα πρέπει να επιλεγούν και εφαρμοστούν οι κατάλληλοι έλεγχοι (ή ελεγκτικές μέθοδοι). Οι έλεγχοι αυτοί χρειάζονται για να εξασφαλίσουν ότι η επικινδυνότητα μειώνεται σε αποδεκτά επίπεδά τα οποία με την σειρά τους είναι σύμφωνα με τις συγκεκριμένες επιδιώξεις και στόχους που έχουν τεθεί για την ασφάλεια. Έλεγχοι και ελεγκτικές μέθοδοι μπορεί να έχουν την μορφή πολιτικής, πρακτικών, διαδικασιών, οργανικών δομών και λειτουργιών λογισμικού. Αυτοί θα διαφοροποιούνται σε κάθε οργανισμό.Οι δαπάνες για τους απαιτούμενου ελέγχους ή ελεγκτικά σημεία πρέπει να ορίζονται σε συνάρτηση τις αρνητικές συνέπειες που τυχόν προκύψουν από αποτυχία της ασφάλειας.
Ένα τμήμα του προτύπου είναι αφιερωμένο στο να παρέχει σχετική καθοδήγηση.
Η υιοθέτηση του ISO 27001 δεν είναι δυνατόν να θωρακίσει εντελώς τον οργανισμό σας από τυχόν παραβίαση της ασφάλειας πληροφοριών. Αυτό που μπορεί να κάνει όμως είναι να μειώσει κατά πολύ την πιθανότητα να συμβεί κάτι τέτοιο, καθώς και τις επιπτώσεις, κόστος και αναστάτωση που θα επιφέρει σε περίπτωση που συμβεί.
Αξιολόγηση / Έλεγχος Συστήματος κατά ISO 27001
Όταν η τεκμηρίωση του συστήματος διαχείρισης ασφάλειας πληροφοριών (ΣΔΑΠ) σύμφωνα με τις απαιτήσεις του ISO 27001 ολοκληρωθεί, και όταν η εφαρμογή του συστήματος έχει ξεκινήσει, τότε έχουν δημιουργηθεί οι προϋποθέσεις για την εξωτερική αξιολόγηση. Η εξωτερική αξιολόγηση πρέπει να γίνεται από ανεξάρτητο και διαπιστευμένο φορέα πιστοποίησης.
Ο επιλεγμένος (από την επιχείρηση) φορέας πιστοποίησης θα ξεκινήσει αξιολογώντας την τεκμηρίωση του συστήματος (Στάδιο 1ο). Αυτό περιλαμβάνει την διατυπωμένη πολιτική, τους σκοπούς και επιδιώξεις του ΣΔΑΠ, την τεκμηρίωση που αφορά την αξιολόγηση επικινδυνότητας, το σχέδιο χειρισμού της επικινδυνότητας, την Δήλωση Εφαρμοσιμότητας και τις τεκμηριωμένες διαδικασίες ασφάλειας. Οι αξιολογητές θα εξετάσουν επίσης τους ελέγχους και ελεγκτικά σημεία που ορίσατε και εφαρμόζετε όπως και κατά πόσον αυτά είναι κατάλληλα για το μέγεθος και είδος της επιχείρησής σας. Αυτή η διαδικασία πραγματοποιείται συνήθως στα γραφεία σας διότι έτσι είναι πιο επωφελές για όλους.
Ακολουθεί η πρακτική αξιολόγηση / έλεγχος της εφαρμογής του συστήματος (Στάδιο 2ο), όπου ο φορέας πιστοποίησης επισκέπτεται την επιχείρηση και αξιολογεί κατά πόσον οι εφαρμοζόμενες πρακτικές, τα τηρούμενα αρχεία / εγγραφές και τρόπος εργασίας είναι σύμφωνα με τις τεκμηριωμένες διαδικασίες και τους επιχειρησιακούς στόχους.
Μετά από μία θετική αξιολόγηση, ο φορέας πιστοποίησης εκδίδει το πιστοποιητικό ISO 27001. Ακολουθούν περιοδικές αξιολογήσεις (συνήθως κάθε έτος ή δύο φορές το χρόνο) που στοχεύουν στη διασφάλιση της συνεχούς τήρησης του συστήματος.
Πλεονεκτήματα πιστοποίησης κατά ISO 27001
Μία επιχείρηση που έχει πιστοποιηθεί από ανεξάρτητο φορέα πιστοποίησης αποδεικνύει ότι έχει αντιμετωπίσει, εφαρμόζει και ελέγχει την ασφάλεια των πληροφοριών. Τα πλεονεκτήματα όμως δεν σταματούν εκεί.
Η πιστοποίηση προσφέρει και τα ακόλουθα πλεονεκτήματα:
Τονώνει την εμπιστοσύνη των πελατών, εργαζομένων, συνεργατών, φορέων και γενικά όλων των ενδιαφερομένων με την επίγνωση ότι η διαχείριση των πληροφοριών και συστημένων τους είναι ασφαλής.
Προβάλει σημαντική αξιοπιστία και εμπιστοσύνη.
Μπορεί να οδηγήσει σε σημαντική μείωση κόστους. Ακόμα και μία απώλεια πληροφοριών μπορεί να επιφέρει σε σημαντικά έξοδα και κόστη.
Σημαίνει ότι οι σχετικοί νόμοι και κανονισμοί τηρούνται.
Διασφαλίζει ότι υπάρχει δέσμευση ως προς την ασφάλεια πληροφοριών από όλους και σε όλα τα επίπεδα του οργανισμού.
Γιατί να επιλέξετε την ISONIKE για την αξιολόγηση και πιστοποίησή σας κατά ISO 27001
Η ικανοποίηση των πελατών αποτελεί ένα ιδιαίτερα σημαντικό θέμα για την ISONIKE. Για αυτόν τον λόγο όλες οι προσπάθειες της ISONIKE στοχεύουν και συντελούν προς αυτήν την κατεύθυνση και είμαστε περήφανοι που το αποτέλεσμα είναι ιδιαίτερα θετικό. Η φιλική προσέγγιση που έχει και η διαφοροποίηση της από διάφορες εφαρμοζόμενες γραφειοκρατικές μεθόδους έχουν συντελέσει καθοριστικά σε ραγδαία συνεχή αύξηση νέων πελατών προερχόμενους από συστάσεις ικανοποιημένων πελατών και συμβούλων.
Η ISONIKE προσλαμβάνει και συνεργάζεται με αξιολογητές που έχουν αποδεδειγμένη θετική εμμονή με αυτήν την προσέγγιση, και η ανάθεση των αξιολογήσεων στους αξιολογητές γίνεται βάση της εμπειρίας που έχουν πάνω στον χώρο που δραστηριοποιείται η εταιρεία προς αξιολόγηση.
Αυτά έχουν ως αποτέλεσμα ότι μέσα από μία διαδικασία κατανόησης επιτυγχάνεται μία πρακτική αξιολόγηση που έχει νόημα στον οργανισμό. Η ISONIKE πιστεύει ότι μία αξιολόγηση πρέπει να προσθέτει αξία στον οργανισμό και όχι να είναι ένας στείρος έλεγχος ή μία ‘διανοητική’ άσκηση που στόχο έχει να ικανοποιήσει τον ελεγκτή.
Δεν είναι άλλωστε τυχαία και η ορολογία που χρησιμοποιεί η ISONIKE : ο όρος αξιολόγηση χρησιμοποιείται για τους ελέγχους ή επιθεωρήσεις (audits) και ο όρος αξιολογητής χρησιμοποιείται για τους ελεγκτές ή επιθεωρητές (auditors) υποδηλώνοντας έτσι την προσέγγιση και νοοτροπία της ISONIKE.
Διαδικασία Αξιολόγισης ISO 27001
Εισαγωγή
Η ISONIKE επιλέγει τους αξιολογητές της με βάση την εμπειρία τους στον συγκεκριμένο τομέα που δραστηριοποιείται η επιχείρησή σας καθώς και την γνώση των απαιτήσεων του κλάδου σας. Το αντικείμενο και οι δραστηριότητες της εταιρείας σας, η τοποθεσία των γραφείων και των χώρων σας, το μέγεθος του οργανισμού σας και η πολυπλοκότητα των διαδικασιών σας είναι θέματα που εξετάζονται προσεκτικά.
Η διαδικασία ξεκινάει με την λήψη του συμπληρωμένου ερωτηματολογίου (φόρμα του οποίου παρέχουμε) και την κατάθεση προσφοράς μας. Με την προσφορά μας σας παρέχουμε έντυπο αίτησης πιστοποίησης. Σε περίπτωση που επιθυμείτε την αξιολόγηση και πιστοποίηση σας από εμάς, θα πρέπει να λάβουμε την αίτηση συμπληρωμένη και υπογεγραμμένη
Με την λήψη της αίτηση σας, επικοινωνούμε μαζί σας με σκοπό να συμφωνήσουμε τις ημερομηνίες για τα κάτωθι:
1ο Στάδιο : Ανασκόπηση εγχειριδίου και εγγράφων
Η ανασκόπηση του εγχειριδίου συστήματος διασφάλισης ασφάλειας πληροφοριών γίνεται με σκοπό το να διασφαλιστεί ότι η τεκμηρίωση του συστήματος είναι επαρκής και ικανοποιεί τις απαιτήσεις του προτύπου. Από την ανασκόπηση αυτή προκύπτει γραπτή αναφορά η οποία (αν είναι θετική) συμπεριλαμβάνει και το πλάνο του χρονοδιαγράμματος της πρακτικής αξιολόγησης που θα ακολουθήσει. Σας δίδεται αντίγραφο της αναφοράς και του πλάνου και ακολουθεί ενημέρωση και συζήτηση για θέματα που τυχόν έχουν προκύψει. Εάν η ISONIKE κρίνει αναγκαίο ή εάν ζητηθεί από την εταιρεία σας, το στάδιο αυτό μπορεί να πραγματοποιηθεί και στην έδρα σας. Αυτό επιτρέπει το να υπάρξει μία πρώτη γνωριμία και επαφή με τον αξιολογητή, και μπορεί να είναι ιδιαίτερα χρήσιμο σε περίπτωση που υπάρχουν μη συμμορφώσεις.
2ο Στάδιο: Αξιολόγηση
Το στάδιο αυτό είναι η λεπτομερειακή αξιολόγηση της εφαρμογής του συστήματος σας στην επιχείρηση σας. Πραγματοποιείται στην έδρα και εγκαταστάσεις της εταιρεία σας και αξιολογεί την εφαρμογή και πρακτικές που πραγματοποιούνται απέναντι στην τεκμηρίωση του συστήματός σας και τις απαιτήσεις του προτύπου ISO 27001.
Διαδικασία
Ο αξιολογητής τεκμηριώνει τα συμπεράσματα και στοιχεία που προκύπτουν από την αξιολόγηση. Σε περίπτωση που ο αξιολογητής διαπιστώσει προβληματικές περιοχές, τότε μπορεί να καταγράψει τα εξής.
Κύριες μη συμμορφώσεις – Αυτές θα πρέπει να αποκατασταθούν πλήρως από την εταιρεία, πριν μπορέσει ο επικεφαλής της αξιολόγησης να εισηγηθεί την πιστοποίηση.
Μη συμμορφώσεις – Αυτές δεν επηρεάζουν την εισήγηση του αξιολογητή για την πιστοποίηση, αλλά πρέπει να αποκατασταθούν πλήρως πριν από την έκδοση του πιστοποιητικού.
Κατά το κλείσιμο του 2ου σταδίου της αξιολόγησης, ο αξιολογητής γνωστοποιεί ποια θα είναι η εισήγηση του, και αφήνει αντίγραφο αυτής.
Επισκέψεις επιτήρησης του συστήματος
Η πιστοποίηση κατά ISO 27001 της ISONIKE ισχύει για 3 έτη και η διατήρηση της εφαρμογής του επιτηρείται από έναν αξιολογητή ανά συγκεκριμένα διαστήματα. Όλες οι επισκέψεις επιτήρησης του συστήματος στην εταιρεία σας γίνονται μετά από συνεννόηση ώστε να εξασφαλιστεί η ετοιμότητα και η παρουσία των κατάλληλων προσώπων.
Με την πάροδο των τριών ετών, ο οργανισμός σας θα πρέπει να επαναξιολογηθεί. Το κόστος όλων των ανωτέρω διατηρείται στο ελάχιστο δυνατόν, και σας γνωστοποιείται από πριν.
Σημείωση : Όλες οι αξιολογήσεις πραγματοποιούνται με δειγματοληπτικό έλεγχο των στοιχείων. Ο μη εντοπισμός προβληματικών στοιχείων ή περιοχών δεν εξασφαλίζει την μη ύπαρξή τους.
Επέκταση του σκοπού πιστοποίησης
Κατά την διάρκεια της πιστοποίησης μπορούν να γίνουν και αλλαγές ή επεκτάσεις στον σκοπό πιστοποίησης. Για παράδειγμα μπορεί η εταιρεία να θελήσει να συμπεριλάβει και άλλους χώρους, εγκαταστάσεις ή γραφεία ή δραστηριότητες στον πιστοποιημένο σκοπό της. Η αξιολόγηση τέτοιων επεκτάσεων μπορεί να πραγματοποιηθεί, και αυτό να γίνει και με τρόπο ο οποίος να μη φέρνει αναστάτωση στον οργανισμό σας. Μία χρήσιμη πρακτική είναι να προβλεφθεί χρόνος που να αξιοποιηθεί στην επερχόμενη επίσκεψη παρακολούθησης.
Λογότυπα
Με την πιστοποίηση του οργανισμού σας, μπορείτε να χρησιμοποιείτε και να προβάλετε το λογότυπο της ISONIKE.
Για δραστηριότητες της εταιρείας σας που βρίσκονται εντός των διαπιστευμένων σκοπών της ISONIKE, μπορείτε να παρουσιάζεται και το λογότυπο διαπίστευσης της ΕΣΥΔ.