ISO/IEC 27001:2005

ISO/IEC 27001:2005

Διεθνές Πρότυπο για την εφαρμογή συστήματος Διαχείρισης της Ασφάλειας Πληροφοριών

 

Οι οργανισμοί, ανεξάρτητα από τον τύπο και το μέγεθός τους:

  • Συλλέγουν, επεξεργάζονται, αποθηκεύουν και διαβιβάζουν μεγάλα ποσά πληροφοριών.
  • Αναγνωρίζουν ότι οι πληροφορίες και οι σχετιζόμενες διεργασίες, συστήματα, δίκτυα και άνθρωποι είναι σημαντικοί πόροι (assets) για την επίτευξη των στόχων του οργανισμού.
  • Αντιμετωπίζουν μια σειρά διακινδυνεύσεων (risks) οι οποίες μπορούν να επηρεάσουν τη λειτουργία των πόρων.
  • Τροποποιούν τις διακινδυνεύσεις εφαρμόζοντας μηχανισμούς ελέγχου (controls) ασφάλειας πληροφοριών

Όλες οι πληροφορίες που διατηρεί και επεξεργάζεται ένας οργανισμός είναι αντικείμενο απειλών από επιθέσεις, σφάλματα, φυσικά φαινόμενα (πχ, πλημμύρα, φωτιά, κλπ), καθώς και αντικείμενο αδυναμιών που ενέχει η χρήση τους. Οι πληροφορίες αποτελούν πόρους που έχουν αξία για τον οργανισμό και χρειάζονται κατάλληλη προστασία έναντι της απώλειας διαθεσιμότητας, εμπιστευτικότητας και ακεραιότητας. Καταλύτη για την επιχειρηματική αποδοτικότητα αποτελεί, η δυνατότητα να διατίθενται, εγκαίρως, ακριβείς και πλήρεις πληροφορίες στα εξουσιοδοτημένα άτομα που τις χρειάζονται.

Η προστασία των πληροφοριακών πόρων μέσω του καθορισμού, της επίτευξης, της διατήρησης και της βελτίωσης της ασφάλειας πληροφοριών είναι πρωταρχικής σημασίας, προκειμένου ο οργανισμός να μπορέσει να επιτύχει τους στόχους του, να διατηρήσει και να ενισχύσει τη νομική συμμόρφωση και τη δημόσια εικόνα του.

Αυτές οι συντονισμένες δραστηριότητες, οι οποίες κατευθύνουν την εφαρμογή κατάλληλων μηχανισμών ελέγχου και διαχειρίζονται μη αποδεκτές διακινδυνεύσεις ασφάλειας πληροφοριών, αποτελούν τα δομικά στοιχεία ενός συστήματος διαχείρισης της ασφάλειας πληροφοριών.

Ένα μοντέλο περιγραφής των επιμέρους στοιχείων που αφορούν τη διακινδύνευση της ασφάλειας πληροφοριών παρουσιάζεται στο παρακάτω σχεδιάγραμμα. Σε αυτό παρουσιάζεται, μεταξύ άλλων, η σχέση μεταξύ διακινδύνευσης, απειλών, αδυναμιών, αξίας πληροφοριακών πόρων και μηχανισμών ελέγχου.

 

Η ΓΕΠ, έχοντας υλοποιήσει μεγάλο αριθμό σχετικών έργων στο παρελθόν για τους πελάτες της, διαθέτει την απαιτούμενη ικανότητα και εμπειρία για να υποστηρίξει αποτελεσματικά την ανάπτυξη ενός συστήματος διαχείρισης της ασφάλειας πληροφοριών, με σκοπό την πιστοποίηση σύμφωνα με τις απαιτήσεις του διεθνούς προτύπου ISO/IEC 27001:2005.