ISO/IEC 27001:2013

Συμβουλευτικές Υπηρεσίες Συμμόρφωσης με το Πρότυπο

Ιστορικό

Το ISO 27001 προέρχεται από το Βρετανικό Πρότυπο 7799, που δημοσιεύθηκε πρώτη φορά το 1995. Το πρότυπο αυτό αρχικά υλοποιήθηκε από το Τμήμα Εμπορίου και Βιομηχανίας (DTI-Department of Trade and Industry) και μετά από πολλές αναθεωρήσεις, ο Οργανισμός ISO το μετέτρεψε σε ένα διεθνώς αναγνωρισμένο πρότυπο βέλτιστων πρακτικών στη σειρά ISO 27000 για να βοηθήσει τους οργανισμούς να διατηρήσουν τα περιουσιακά στοιχεία των πληροφοριών τους ασφαλή. Το ISO / IEC 27001: 2013 είναι η πιο πρόσφατη έκδοση του προτύπου και ενσωματώνει όλες τις τροποποιήσεις που υλοποιήθηκαν το 2014 και το 2015 (Cor 1:2014, Cor 2:2015).

Σκοπός του Προτύπου

Το συγκεκριμένο πρότυπο δημιουργήθηκε με σκοπό την υλοποίηση ενός oλοκληρωμένου Συστήματος Διαχείρισης Ασφάλειας της Πληροφορίας (ΣΔΑΠ-ISMS) από τους Οργανισμούς και τις Εταιρείες, το οποίο λειτουργεί ως ενιαία οντότητα κεντρικοποιημένα και περιλαμβάνει το σύνολο των πόρων (υλισμικό, λογισμικό και ανθρώπινους πόρους), παρέχοντας μια πιστοποιημένη διασφάλιση ενός επιθυμητού από κάθε Οργανισμό ή Εταιρεία επιπέδου ασφάλειας της πληροφορίας.

Κριτήρια Εφαρμογής του Προτύπου

Το πρότυπο έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις ή οργανισμούς, κρατικές αρχές, συλλόγους, κλπ.) που επεξεργάζονται δεδομένα οποιασδήποτε μορφής, οπουδήποτε στον κόσμο και εάν δραστηριοποιούνται. Άρα το πρότυπο μπορεί να ενσωματωθεί από το σύνολο των επιχειρήσεων και οργανισμών χωρίς εδαφικό περιορισμό.

Βασικές Αρχές του Προτύπου

Το πρότυπο είναι κινδυνοκεντρικό υλοποιώντας ανίχνευση και εξέταση της φύσης των κινδύνων που υφίστανται εντός του Οργανισμού ή της Εταιρείας. Βασιζόμενο σε αυτήν την προσέγγιση το πρότυπο προτείνει τρόπους μετριασμού των κινδύνων με την χρήση παραγόντων μετριασμού κινδύνων (controls), οι οποίοι επιτυγχάνουν τον στόχο του επιθυμητού επιπέδου ασφάλειας από μέρους του Οργανισμού ή της Εταιρείας βάσει της ακολουθούμενης μεθοδολογίας και των κριτηρίων που έχουν ενσωματωθεί από την Διοίκηση για τον έλεγχο (risk assessment), την ανάδειξη (risk identification-risk owners), τον υπολογισμό (risk estimation), την αποτίμηση (risk evaluation) και τον μετριασμό (risk treatment) των κινδύνων. Βασιζόμενο σε αυτή την λογική το πρότυπο καταφέρνει να υλοποιήσει το επιθυμητό επίπεδο ασφάλειας (security threshold) μέσω μιας δομημένης διαδικασίας συγκεκριμένων βημάτων. Επιπλέον, το πρότυπο παρέχει συγκεκριμένες κατευθύνσεις και απαιτεί την υλοποίηση συγκεκριμένων εγγράφων που συμβάλουν στην συνεχή λειτουργία και εξέλιξή του ως μια ζωντανή οντότητα για την επίτευξη του στόχου της διασφάλισης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας της πληροφορίας. Το σύστημα που υλοποιείται με την χρήση του προτύπου εξελίσσεται διαρκώς παρέχοντας ένα δυναμικό εργαλείο ελέγχου του επιπέδου της ασφάλειας με την ίδιο ρυθμό που εξελίσσεται και ο Οργανισμός ή η Εταιρεία. Αυτό μεταφράζεται σε περιοδική ενασχόληση μαζί του προκειμένου να διασφαλίζεται ο στόχος του επιθυμητού επιπέδου ασφάλειας της πληροφορίας, βάσει της αρχικής πρόθεσης του Οργανισμού ή της Εταιρείας.

Πλεονεκτήματα του προτύπου έναντι άλλων μεθοδολογιών

Το πρότυπο ISO/IEC 27001:2013 επιτυγχάνει μέσω δομημένης και αυστηρά καθορισμένης διαδικασίας τον επιθυμητό στόχο που η Διοίκηση του Οργανισμού ή της Εταιρείας έχει υιοθετήσει σε συνεργασία με τα τμήματα και τους εμπλεκόμενους φορείς με την υλοποίηση ενός ολοκληρωμένου κεντρικά διαχειριζόμενου Συστήματος Διαχείρισης Ασφάλειας της Πληροφορίας (ΣΔΑΠ). Το ΣΔΑΠ εξελίσσεται δυναμικά με τον ίδιο ρυθμό που εξελίσσεται και ο Οργανισμός ή η Εταιρεία βάσει συγκεκριμένων Πολιτικών, Διαδικασιών και Λοιπών Υποστηρικτικών Εγγράφων που έχουν υλοποιηθεί. Ο διαρκής έλεγχος και η εκτίμηση του κινδύνου που επιτυγχάνεται με την υιοθέτηση του προτύπου εξασφαλίζει με απόλυτο τρόπο το επιθυμητό επίπεδο ασφάλειας των πόρων που διαθέτει ο Οργανισμός ή η Εταιρεία για την επίτευξη των επιχειρησιακών της στόχων. Με αυτόν τον τρόπο εξασφαλίζεται ο περιορισμός των περιττών δαπανών, η ανάδειξη επιχειρηματικών ευκαιριών (σε τομείς με χαμηλής κλίμακας κινδύνους), ο άμεσος περιορισμός του κινδύνου σε τομείς που αυτός υφίσταται και η επίτευξη ενός συνολικά επιθυμητού επιπέδου ασφάλειας σε ένα συνεχώς εξελισσόμενο περιβάλλον λειτουργίας του Οργανισμού ή της Εταιρείας με σημαντικά οφέλη για την φήμη και το εμπορικό λογότυπο. Η διεθνής αναγνώριση του προτύπου παρέχει ένα καθολικά αποδεκτό επίπεδο ασφάλειας της πληροφορίας ενισχύοντας την φήμη και την αναγνωρισιμότητα του Οργανισμού ή της Εταιρείας στο διεθνές ή τοπικό περιβάλλον δραστηριοποίησής της.

Παραγόμενα παραδοτέα

Μετά την ολοκλήρωση του έργου και την επιτυχή λήψη της πιστοποίησης για το πρότυπο ISO/IEC 27001:2013 ο Οργανισμός ή η Εταιρεία θα διαθέτει σε πλήρη λειτουργία ένα ολοκληρωμένο και κεντρικά διαχειριζόμενο Σύστημα Διαχείρισης Ασφάλειας της Πληροφορίας (ΣΔΑΠ) με την σχετιζόμενη τεκμηρίωση σε επίπεδο εγγράφων. Ένα σύνολο απαραίτητων, κατά περίπτωση, Πολιτικών Ασφάλειας που περιγράφουν σε υψηλό επίπεδο την βούληση και την δέσμευση του Οργανισμού ή της Εταιρείας αλλά και ειδικότερα της Διοίκησης για την επίτευξη του επιθυμητού επιπέδου ασφάλειας της πληροφορίας με την λήψη όλων των απαραίτητων μέτρων (τεχνικών και οργανωτικών) για την διασφάλιση επίτευξης του στόχου. Ένα σύνολο από Διαδικασίες που περιγράφουν αναλυτικά τον τρόπο και τις μεθόδους υλοποίησης των περιγραφόμενων αρχών ασφάλειας που αναφέρονται σε υψηλό επίπεδο στις Πολιτικές του Οργανισμού ή της Εταιρείας. Ένα σύνολο από υποστηρικτικά έγγραφα (φόρμες καταγραφής ή μεταβολής πληροφορίας, λίστες επικοινωνίας, αρχεία καταγραφής ενεργειών χρηστών και διαχειριστών, αρχεία καταγραφής περιστατικών ασφάλειας, αρχεία καταγραφής προσβάσεων και χρηστών, αρχείο καταγραφής πόρων και διαβάθμισης πληροφορίας, αρχεία υλοποίησης εκτίμησης κινδύνου, αρχεία καταγραφής συντήρησης εξοπλισμού, αρχεία ελέγχου επιχειρησιακής συνέχειας, αρχεία επάρκειας εκπαίδευσης και ενημέρωσης των εμπλεκόμενων μερών σε επίπεδο ασφάλειας πληροφορίας, συμβάσεις, αρχείο καταγραφής νομοθετικού και ρυθμιστικού πλαισίου λειτουργίας του Οργανισμού ή της Εταιρεία, αρχεία καταγραφής των δεικτών απόδοσης του ΣΔΑΠ, αρχεία καταγραφής πεδίου εφαρμογής του ΣΔΑΠ και των στόχων ασφάλειας της πληροφορίας, αρχείο καταγραφής του πεδίου λειτουργίας του Οργανισμού ή της Εταιρείας, δήλωση εφαρμοσιμότητας μέτρων για την συμμόρφωση με το πρότυπο, εγχειρίδιο διαχείρισης ασφάλειας της πληροφορίας (ΕΔΑΠ) και κατά περίπτωση λοιπά αρχεία) καθώς και ένα σύνολο από έγγραφα που υποδηλώνουν την συνεχή αξιολόγηση και βελτίωση του ΣΔΑΠ για την επίτευξη του στόχου του, όπως Πλάνο Εσωτερικών Επιθεωρήσεων, Ανασκόπηση Διοίκησης και Επόμενες Διορθωτικές Ενέργειες. Επιπλέον όλων των παραπάνω, με την ολοκλήρωση της πιστοποίησης έχουν υλοποιηθεί και ελεγχθεί ένα σύνολο από παράγοντες μετριασμού κινδύνου βάσει του Παραρτήματος (Annex A) του προτύπου ή ένα σύνολο από παράγοντες μετριασμού του κινδύνου με πελατοκεντρική φιλοσοφία (custom controls).