ISO 27001 | Πιστοποίηση για τη Διαχείριση Ασφάλειας Πληροφοριών

ISO 27001

//Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών

ISO 27001
About

Πιστοποίηση από την AXIA CERT

Πιστοποίηση ISO 27001 από την AXIA CERT

Το ISO/IEC 27001, είναι ένα διεθνές πρότυπο, το οποίο καθορίζει τις απαιτήσεις για την ανάπτυξη ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Το πρότυπο πιστοποιείται από Ανεξάρτητους Διαπιστευμένους Φορείς Πιστοποίησης Συστημάτων Διαχείρισης, όπως η AXIA CERT. Μπορεί να είναι μέρος του συνολικού συστήματος διοίκησης του οργανισμού, συμβατό με άλλα διαχειριστικά συστήματα (ISO 9001, ISO 14001 κ.λ.π.) αποφεύγοντας με αυτόν τον τρόπο επαναλήψεις και περιττά κόστη. Η πιστοποίηση αυτή δίνει τη δυνατότητα στην επιχείρηση να προστατεύσει τα πολύτιμα περιουσιακά της στοιχεία που περιέχουν πληροφορίες. Ανεξάρτητα από τον Επιχειρηματικό Τομέα που δραστηριοποιείται, μπορεί να το χρησιμοποιήσει.

Τα οφέλη της πιστοποίησης με το 27001

Μερικά από τα οφέλη που αποκομίζει ένας οργανισμός είναι τα εξής:

Κερδίζει την εμπιστοσύνη των πελατών του
Μειώνει τα συμβάντα σχετικά με την ασφάλεια και επομένως αυξάνει την αξιοπιστία του
Εξασφαλίζει τα αγαθά και τα περιουσιακά στοιχεία του από υποβάθμιση, απώλεια, ζημιά, κλοπή ή αποζημιώσεις
Βελτιώνει την δημόσια εικόνα του
Συμμορφώνεται με την σχετική νομοθεσία (π.χ. Νόμος για τα προσωπικά δεδομένα)
Προσδίδει προστιθέμενη ΑΞΙΑ στον οργανισμό και έτσι αποκτά ανταγωνιστικό πλεονέκτημα
Έχει πρόσβαση σε αγορές και πελάτες που απαιτούν υψηλά επίπεδα ασφαλείας από τους συνεργάτες τους (άμυνα, διεθνής οργανισμοί)

Έχει εξασφαλίσει την άμεση επαναφορά και λειτουργία του οργανισμού σε περίπτωση καταστροφής μεγάλης κλίμακος.

Το πρότυπο ISO/IEC 27001

Tι είναι τo ISO/IEC 27001 “Information Security Management Systems – Requirements”;

Είναι ένα διεθνώς αναγνωρισμένο πρότυπο. Σκοπό έχει να καθοδηγήσει κάθε είδους οργανισμό/επιχείρηση που διαχειρίζεται πληροφορίες, να αναπτύξει, εγκαταστήσει, διατηρήσει και βελτιώσει ένα σύστημα λειτουργίας τεκμηριωμένο και προσαρμοσμένο στις ανάγκες του/της.

Βασικός στόχος του προτύπου ISO/IEC 27001 είναι να οδηγήσει τις επιχειρήσεις στην αποτελεσματική διαχείριση της ασφάλειάς τους και να διασφαλίσει, μέσω των κατάλληλων διαδικασιών και ελέγχων, την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα της πληροφορίας, προστατεύοντας έτσι τα δεδομένα τους και ταυτόχρονα τη φήμη και την αξιοπιστία τους.

Η έννοια της Ασφάλειας της Πληροφορίας, έχει αποκτήσει μεγάλες διαστάσεις τα τελευταία χρόνια. Οι επιχειρήσεις μέχρι τώρα θεωρούσαν σημαντικά και προστάτευαν μόνο πληροφορίες οικονομικής φύσεως ή σχετικές με κάποια βιομηχανική πατέντα προϊόντος. Η ραγδαία εξέλιξη του τεχνολογικού περιβάλλοντος έχει καταστήσει επιτακτική την ανάγκη για ψηφιακή προστασία και αντιμετώπιση σε κυβερνοεπιθέσεις στη νέα εποχή. Η ψηφιακή μας ζωή μπορεί να λειτουργήσει ομαλά, μόνο αν υπάρχει και ψηφιακή εμπιστοσύνη.

Στη νέα στρατηγική της Ευρωπαϊκής Επιτροπής επισημαίνεται η σημασία υιοθέτησης και εφαρμογής ενδεδειγμένων πλαισίων ασφαλείας (Frameworks) και βέλτιστων πρακτικών, όπως το πρότυπο ISO/IEC 27001. Οι πρακτικές αφορούν τις διασφαλίσεις και τα μέτρα που κρίνονται απαραίτητα για την προστασία των συστημάτων, των πληροφοριών και των χρηστών τους, συμπεριλαμβάνοντας την ετοιμότητα διαχείρισης περιστατικών ασφαλείας και του αντίκτυπου που μπορούν να προκαλέσουν.

Πώς επιτυγχάνεται η Ασφάλεια των Πληροφοριών

Το πολυτιμότερο ίσως περιουσιακό στοιχείο κάθε οργανισμού είναι η Πληροφορία ως αγαθό (asset) και πρέπει να προστατεύεται κατάλληλα. Ασφάλεια της Πληροφορίας δεν είναι μόνο η θωράκιση από απειλές του Πληροφοριακού Συστήματος του οργανισμού. Η Ασφάλεια Πληροφορίας είναι σχετική με το τι κάνεις, τι λες, που και πότε. H Πληροφορία μπορεί να είναι:

Εκτυπωμένη ή καταγεγραµµένη σε χαρτί
Αποθηκευμένη σε CD, υπολογιστή, server, flash, smartphone ή άλλο ηλεκτρονικό μέσο
Καταγεγραμμένη σε βίντεο, φωτογραφία, DVD ή άλλο οπτικοαουστικό μέσο
Προφορική μεταδιδόμενη µε τη συνομιλία

Η ανάπτυξη και εφαρμογή ενός Συστήµατος ∆ιαχείρισης Ασφαλείας Πληροφοριών (Information Security Management System), εξασφαλίζει ότι αναγνωρίζονται και ελέγχονται οι κίνδυνοι και επιτυγχάνονται οι στόχοι για την ασφάλεια που έχει θέσει ο οργανισμός. Η Διαχείριση Ασφάλειας Πληροφοριών βασίζεται στις αρχές της Εμπιστευτικότητας (Confidentiality), η οποία εξασφαλίζει ότι πρόσβαση στην πληροφορία έχουν μόνο όσοι είναι κατάλληλα εξουσιοδοτημένοι, Ακεραιότητας (Integrity), με την οποία διασφαλίζεται η ακρίβεια και η πληρότητα της Πληροφορίας, κατά την διάρκεια της επεξεργασίας της, ό,που η Πληροφορία αποθηκεύεται, επεξεργάζεται, μεταδίδεται, τροποποιείται ή καταστρέφεται μόνο από εξουσιοδοτημένα από τον οργανισμό άτομα και της Διαθεσιμότητας (Availability), η οποία διασφαλίζει ότι η Πληροφορία είναι προσβάσιμη σε εξουσιοδοτημένους χρήστες όταν αυτό απαιτείται.