Ασφάλεια πληροφοριών με σύστημα
Αποδεδειγμένη ασφάλεια δεδομένων και πληροφοριών
Η ασφάλεια ως μέρος της εταιρικής κουλτούρας
Αποτελεσματική εφαρμογή μιας διαδικασίας διαχείρισης κινδύνων
Συνεχής βελτίωση του επιπέδου ασφάλειας
Τι είναι το ISO 27001;
Οι πληροφορίες μας περιβάλλουν από παντού και αποτελούν μέρος κάθε διαδικασίας. Μερικές φορές μπορεί να είναι ασήμαντες, αλλά πολύ συχνά είναι κρίσιμες και εμπιστευτικές. Προκειμένου να κάνετε αυτή τη σημαντική διάκριση για τον οργανισμό σας, είναι απαραίτητο να ταξινομήσετε τις πληροφορίες. Αυτό συμβαίνει επειδή τα προστατευτικά μέτρα ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS) σύμφωνα με το ISO/IEC 27001 βασίζονται σε αυτή την ταξινόμηση.
Ένα ISMS δημιουργεί το πλαίσιο για την προστασία των επιχειρησιακών δεδομένων και της εμπιστευτικότητάς τους. Ταυτόχρονα, το παγκοσμίως αναγνωρισμένο πρότυπο διασφαλίζει τη διαθεσιμότητα των συστημάτων ΤΠ που εμπλέκονται στις εταιρικές διαδικασίες. Σε αυτό το πλαίσιο, η πιστοποίηση ISO 27001 στέλνει ένα ισχυρό μήνυμα στην αγορά: δηλαδή, ανεξάρτητη εξωτερική αξιολόγηση και επιβεβαίωση της αποτελεσματικότητας του ISMS σας.
Με το πρότυπο EN ISO/IEC 27001:2017-06, δημοσιεύθηκε μια έκδοση που συντονίζεται από την Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN). Συνδυάζει τις δύο διορθώσεις (corrigenda) Cor 1:2014 και Cor 2:2015. Οι αλλαγές που σχετίζονται με τη διόρθωση περιλαμβάνουν μόνο μια βελτιωμένη περιγραφή των σχετικών απαιτήσεων, αλλά όχι νέες, πρόσθετες απαιτήσεις. Συνεπώς, τα πιστοποιητικά σύμφωνα με την έκδοση ISO/IEC 27001:2013 διατηρούν την εγκυρότητά τους.
Για ποιους είναι κατάλληλη η πιστοποίηση κατά ISO 27001;
Στη Γερμανία, για παράδειγμα, οι εταιρείες που ανήκουν σε έναν τομέα κρίσιμων υποδομών (KRITIS) και υπερβαίνουν ένα κατώτατο όριο πρέπει να αποδεικνύουν πώς διασφαλίζουν την ασφάλεια των πληροφοριών τους. Οι τομείς KRITIS περιλαμβάνουν την ενέργεια, το νερό, την υγεία, τα χρηματοοικονομικά και τις ασφάλειες, τα τρόφιμα, τις μεταφορές και την κυκλοφορία, την τεχνολογία πληροφοριών και τις τηλεπικοινωνίες. Αντίστοιχη απόδειξη της εφαρμογής μπορεί να παρέχεται με ελέγχους ασφαλείας, δοκιμές ή πιστοποιήσεις. Για το σκοπό αυτό, ως βάση για τον έλεγχο μπορούν να χρησιμοποιηθούν είτε αναγνωρισμένα πρότυπα όπως το ISO 27001 είτε, εναλλακτικά, ειδικά πρότυπα ασφαλείας για τον κλάδο που αναγνωρίζονται από το Γερμανικό Ομοσπονδιακό Γραφείο για την Ασφάλεια Πληροφοριών (BSI).
Τι κάνει το πρότυπο ISO 27001 χρήσιμο για την εταιρεία μου;
Ιδιαίτερα πολύτιμη για την πράξη είναι η εφαρμογή των μέτρων του παραρτήματος Α του προτύπου. Εκτός από το τμήμα των απαιτήσεων που είναι προσανατολισμένο στο σύστημα διαχείρισης (κεφάλαια 4 έως 10), το πρότυπο ISO περιέχει έναν εκτενή κατάλογο στόχων (ελέγχων) 35 μέτρων με 114 συγκεκριμένα μέτρα για μια ευρεία ποικιλία πτυχών της ασφάλειας σε 14 κεφάλαια του παραρτήματος Α. Τα μέτρα πρέπει να εφαρμόζονται στο πλαίσιο του συστήματος διαχείρισης. Τα μέτρα αυτά πρέπει να εφαρμόζονται στο πλαίσιο του συστήματος διαχείρισης, στο βαθμό που αφορούν την εταιρεία σας.
Η συνεπής ευθυγράμμιση των διαδικασιών της εταιρείας με το ISO 27001 έχει αποδειχθεί ότι οδηγεί σε μια σειρά από οφέλη:
- Συνεχής βελτίωση του επιπέδου ασφάλειας
- Μείωση των υφιστάμενων κινδύνων
- Τήρηση των απαιτήσεων συμμόρφωσης
- Μεγαλύτερη ευαισθητοποίηση των εργαζομένων
- Αύξηση της ικανοποίησης των πελατών
Οι εσωτερικοί έλεγχοι και οι διοικητικές ανασκοπήσεις με τη συμμετοχή της ανώτατης διοίκησης αποτελούν τους εσωτερικούς μοχλούς για την επίτευξη αυτού του στόχου.
Άλλες θετικές πτυχές είναι ότι τα ενδιαφερόμενα μέρη, όπως οι εποπτικές αρχές, οι ασφαλιστικές εταιρείες, οι τράπεζες, οι εταιρείες-εταίροι, δημιουργούν υψηλότερο επίπεδο εμπιστοσύνης στην εταιρεία σας. Αυτό οφείλεται στο γεγονός ότι ένα πιστοποιημένο σύστημα διαχείρισης σηματοδοτεί ότι ο οργανισμός σας αντιμετωπίζει τους κινδύνους με δομημένο τρόπο και προσυπογράφει τη συνεχή βελτίωση (ΣΔΒ), καθιστώντας τον πιο ανθεκτικό σε ανεπιθύμητες επιρροές.
Το διεθνές πρότυπο ISO/IEC 27001 μπορεί επίσης να εφαρμοστεί, να λειτουργήσει και να πιστοποιηθεί ανεξάρτητα από άλλα συστήματα διαχείρισης, όπως το ISO 9001 (διαχείριση ποιότητας) ή το ISO 14001 (περιβαλλοντική διαχείριση).
Ποιος επιτρέπεται να διενεργεί πιστοποίηση σύμφωνα με το ISO 27001;
Επιπλέον, το ISO/IEC 27006 ορίζει αυστηρές απαιτήσεις που πρέπει να πληρούν οι φορείς πιστοποίησης προκειμένου να πιστοποιήσουν ένα ΣΔΠΔ σύμφωνα με το ISO 27001.
Αυτές περιλαμβάνουν:
- Απόδειξη καθορισμένης προσπάθειας ελέγχου
- Απαιτήσεις για τα προσόντα των ελεγκτών.
Η DQS είναι διαπιστευμένη από τον εθνικό γερμανικό οργανισμό διαπίστευσης DakkS (Deutsche Akkreditierungsstelle GmbH) και ως εκ τούτου εξουσιοδοτημένη να διενεργεί ελέγχους και πιστοποιήσεις σύμφωνα με το ISO 27001.
Ανεξάρτητα από τον κλάδο στον οποίο δραστηριοποιείται η επιχείρησή σας, μπορείτε να βασιστείτε στην ξεχωριστή τεχνογνωσία των ελεγκτών της DQS. Διαθέτουν πολυετή εμπειρία στην αξιολόγηση συστημάτων διαχείρισης της ασφάλειας πληροφοριών σε διάφορους κλάδους.
Πώς λειτουργεί η πιστοποίηση κατά ISO 27001;
Αφού εφαρμοστούν όλες οι απαιτήσεις του ISO 27001, μπορείτε να πιστοποιήσετε το σύστημα διαχείρισής σας. Στην DQS θα περάσετε από μια διαδικασία πιστοποίησης πολλαπλών σταδίων. Εάν έχει ήδη καθιερωθεί ένα πιστοποιημένο σύστημα διαχείρισης στην εταιρεία, η διαδικασία μπορεί να συντομευτεί.
Στο πρώτο βήμα, συζητάτε μαζί μας για την εταιρεία σας και τους στόχους της πιστοποίησης κατά ISO 27001. Με βάση τα παραπάνω, θα λάβετε μια λεπτομερή προσφορά προσαρμοσμένη στις ατομικές ανάγκες της εταιρείας σας.
Ο έλεγχος πιστοποίησης ξεκινά με την ανάλυση του συστήματος και την αξιολόγηση του ISMS σας (στάδιο 1 του ελέγχου). Εδώ, ο ελεγκτής σας καθορίζει εάν το σύστημα διαχείρισής σας είναι επαρκώς ανεπτυγμένο και έτοιμο για πιστοποίηση. Στο επόμενο βήμα (στάδιο 2 του ελέγχου συστήματος), ο ελεγκτής σας αξιολογεί την αποτελεσματικότητα όλων των διαδικασιών διαχείρισης στον χώρο σας, εφαρμόζοντας το πρότυπο ISO 27001. Το αποτέλεσμα του ελέγχου παρουσιάζεται σε μια τελική συνάντηση. Εάν είναι απαραίτητο, συμφωνούνται σχέδια δράσης.
Μετά τον έλεγχο πιστοποίησης, τα αποτελέσματα αξιολογούνται από την ανεξάρτητη επιτροπή πιστοποίησης της DQS. Εάν πληρούνται όλες οι απαιτήσεις του προτύπου, θα λάβετε το πιστοποιητικό ISO 27001.
Μετά την επιτυχή πιστοποίηση, τα βασικά στοιχεία του ISMS σας ελέγχονται εκ νέου στο χώρο σας τουλάχιστον μία φορά το χρόνο, ώστε να διασφαλίζεται η συνεχής βελτίωση.
Το πιστοποιητικό ISO 27001 ισχύει το πολύ για τρία χρόνια. Η επαναπιστοποίηση πραγματοποιείται εγκαίρως πριν από τη λήξη της ισχύος του, ώστε να διασφαλίζεται η συνεχής συμμόρφωση με τις ισχύουσες απαιτήσεις του προτύπου. Μετά τη συμμόρφωση, εκδίδεται νέο πιστοποιητικό.
Τι κοστίζει η πιστοποίηση ISO 27001;
Το κόστος για την πιστοποίηση σύμφωνα με το ISO 27001 καθορίζεται, μεταξύ άλλων, σύμφωνα με τα ακόλουθα τέσσερα κριτήρια:
1. Την πολυπλοκότητα του συστήματος διαχείρισης της ασφάλειας των πληροφοριών σας.
Λαμβάνονται υπόψη οι κρίσιμες αξίες (π.χ. διπλώματα ευρεσιτεχνίας, προσωπικά δεδομένα, εγκαταστάσεις, διαδικασίες) της εταιρείας σας. Το κόστος της πιστοποίησης βασίζεται κυρίως στις απαιτήσεις ασφάλειας πληροφοριών και στο βαθμό στον οποίο επηρεάζονται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα (VIV) των πληροφοριών.
2. Η βασική δραστηριότητα της εταιρείας σας στο πλαίσιο του πεδίου εφαρμογής του ΣΔΠΔ
Σε αυτό το σημείο, οι κίνδυνοι που σχετίζονται ιδίως με τις επιχειρηματικές σας διαδικασίες παίζουν σημαντικό ρόλο στον καθορισμό της αναγκαίας ελεγκτικής προσπάθειας. Λαμβάνονται υπόψη οι νομικές απαιτήσεις καθώς και οι σύνθετες, μεμονωμένες απαιτήσεις των πελατών.
3. Οι κύριες τεχνολογίες και τα συστατικά στοιχεία που χρησιμοποιούνται στο ISMS σας
Κατά τη διάρκεια του ελέγχου, εξετάζονται η τεχνολογία καθώς και τα επιμέρους στοιχεία του ISMS σας. Σε αυτά περιλαμβάνονται οι πλατφόρμες ΤΠ, οι διακομιστές, οι βάσεις δεδομένων, οι εφαρμογές καθώς και τα τμήματα δικτύου. Ο βασικός κανόνας εδώ είναι ο εξής: Όσο υψηλότερο είναι το ποσοστό των τυποποιημένων συστημάτων και όσο μικρότερη είναι η πολυπλοκότητα της ΤΠ σας, τόσο μικρότερη είναι η προσπάθεια. Από αυτό εξαρτάται και το κόστος της πιστοποίησης κατά ISO 27001.
4 Το ποσοστό των εσωτερικών εξελίξεων στο ISMS σας
Εάν δεν υπάρχει εσωτερική ανάπτυξη και χρησιμοποιείτε κυρίως τυποποιημένες πλατφόρμες λογισμικού, η προσπάθεια μιας αξιολόγησης είναι μικρότερη. Εάν το ISMS σας χαρακτηρίζεται από εντατική χρήση λογισμικού που αναπτύσσεται από εσάς και εάν το λογισμικό αυτό χρησιμοποιείται για κεντρικούς επιχειρηματικούς τομείς, η προσπάθεια για την πιστοποίηση θα είναι υψηλότερη.
Για να μπορέσουμε να σας δώσουμε μια γενική εικόνα του κόστους για την πιστοποίηση του ΣΔΑΤ, χρειαζόμαστε εκ των προτέρων ακριβείς πληροφορίες σχετικά με το επιχειρηματικό σας μοντέλο και τον τομέα εφαρμογής. Με αυτόν τον τρόπο μπορούμε να σας παρέχουμε μια εξατομικευμένη προσφορά.