Κεφάλαιο 16ο: Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) – ISO 27001

Το ISO 27001 είναι ένα διεθνώς αναγνωρισμένο πρότυπο το οποίο προσδιορίζει τις προδιαγραφές για την διαχείριση της ασφάλειας των πληροφοριών.

Μπορεί να χρησιμοποιηθεί από εταιρίες, που επιθυμούν να εγκαταστήσουν και να βελτιώσουν την ασφαλή διαχείριση των δεδομένων τους και των πελατών τους



Σκοπός του ISO / IEC 27001: 2013, είναι να εξασφαλίσει την ύπαρξη επαρκών και κατάλληλων ελέγχων, σε θέματα εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας της πληροφορίας, προστατεύοντας έτσι τα δεδομένα των ενδιαφερόμενων μερών. Τα ενδιαφερόμενα μέρη στα οποία απευθύνεται μπορεί να είναι πελάτες, οργανισμοί και επιχειρήσεις, προσωπικό, συνεργάτες αλλά και η κοινωνία γενικότερα.
Τόσο η προστασία προσωπικών δεδομένων όσο και η αντιμετώπιση κινδύνων που σχετίζονται με την ανεπάρκεια ή δυσλειτουργία συστημάτων ΙΤ, αποτελούν θέματα υψίστης σημασίας για οργανισμούς και επιχειρήσεις.
Το ISO / IEC 27001 αποτελεί την νέα προδιαγραφή για την Διαχείριση της Ασφάλειας των Πληροφοριών και έχει εφαρμογή σε όλους τους κλάδους που δραστηριοποιούνται σε βιομηχανία, εμπόριο και παροχή υπηρεσιών.
Τι ορίζει ο κανονισμές GDPR;
Το GDPR ορίζει με σαφήνεια στο άρθρο 32 ότι "ο υπεύθυνος της επεξεργασίας και ο μεταποιητής εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσουν ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο:

  • την ψευδωνύμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα ·
  • η ικανότητα να εξασφαλίζεται η συνεχής εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας·
  • την ικανότητα να αποκαθιστά εγκαίρως τη διαθεσιμότητα και την πρόσβαση σε προσωπικά δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος ·
  • μια διαδικασία τακτικού ελέγχου, αξιολόγησης και αξιολόγησης της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της ασφάλειας της επεξεργασίας. "
ISO 27001: Κρυπτογράφηση Δεδομένων
Η κρυπτογράφηση δεδομένων συνιστάται από το ISO 27001 ως ένα από τα μέτρα που μπορούν και πρέπει να ληφθούν για τη μείωση των εντοπισθέντων κινδύνων.
Το ISO 27001: 2013 περιγράφει 114 ελέγχους που μπορούν να χρησιμοποιηθούν για τη μείωση των κινδύνων ασφάλειας της πληροφορίας.Δεδομένου ότι οι έλεγχοι που εφαρμόζει ένας οργανισμός βασίζονται στα αποτελέσματα μιας εκτίμησης κινδύνου σύμφωνα με το πρότυπο ISO 27001, ο οργανισμός θα είναι σε θέση να προσδιορίσει ποια στοιχεία κινδυνεύουν και απαιτούν κρυπτογράφηση για την επαρκή προστασία τους.
Ένας από τους βασικούς στόχους του ISO 27001 είναι η σημασία της διασφάλισης της συνεχιζόμενης εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Όχι μόνο η εμπιστευτικότητα είναι σημαντική, αλλά η ακεραιότητα και η διαθεσιμότητα τέτοιων δεδομένων είναι επίσης καθοριστικής σημασίας.
Εάν τα δεδομένα είναι διαθέσιμα αλλά σε μορφή που δεν μπορεί να χρησιμοποιηθεί λόγω διακοπής συστήματος, τότε η ακεραιότητα αυτών των δεδομένων έχει παραβιαστεί. εάν τα δεδομένα προστατεύονται αλλά δεν είναι προσβάσιμα σε εκείνους που πρέπει να το χρησιμοποιήσουν ως μέρος της δουλειάς τους, τότε η διαθεσιμότητα αυτών των δεδομένων έχει διακυβευτεί.
ISO 27001: Αξιολόγηση κινδύνου
Το ISO 27001 απαιτεί από τους οργανισμούς να διεξάγουν διεξοδική αξιολόγηση κινδύνου εντοπίζοντας απειλές και τρωτά σημεία που μπορούν να επηρεάσουν τα πληροφοριακά στοιχεία ενός οργανισμού και να λάβουν μέτρα για να διασφαλίσουν την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα αυτών των δεδομένων.
Το GDPR απαιτεί συγκεκριμένα μια αξιολόγηση κινδύνου για να διασφαλίσει ότι ένας οργανισμός έχει εντοπίσει κινδύνους που μπορούν να επηρεάσουν τα προσωπικά δεδομένα.
ISO 27001: Επιχειρησιακή συνέχεια
Το ISO 27001 εξετάζει τη σημασία της διαχείρισης της συνέχειας των επιχειρήσεων, παρέχοντας ένα σύνολο ελέγχων που θα βοηθήσουν τον οργανισμό να προστατεύσει τη διαθεσιμότητα πληροφοριών σε περίπτωση συμβάντος και να προστατεύσει κρίσιμες επιχειρηματικές διαδικασίες από τις επιπτώσεις μεγάλων καταστροφών για να εξασφαλίσει την έγκαιρη επανάληψη τους.
ISO 27001: Δοκιμές και αξιολογήσεις
Τέλος, οι οργανισμοί που επιλέγουν την πιστοποίηση σύμφωνα με το πρότυπο ISO 27001 θα έχουν τα ISMS τους ανεξάρτητα αξιολογημένα και ελεγμένα από διαπιστευμένο οργανισμό πιστοποίησης για να διασφαλίσουν ότι το σύστημα διαχείρισης πληροί τις απαιτήσεις του Προτύπου.
Οι εταιρείες πρέπει να επανεξετάζουν τακτικά το ISMS τους και να διενεργούν τις απαραίτητες εκτιμήσεις, όπως προδιαγράφονται από το Πρότυπο, προκειμένου να διασφαλίσουν ότι θα συνεχίσει να προστατεύει τις πληροφορίες της εταιρείας.
Η επίτευξη διαπιστευμένης πιστοποίησης σύμφωνα με το πρότυπο ISO 27001 παρέχει μια ανεξάρτητη και εξειδικευμένη αξιολόγηση για το αν έχετε εφαρμόσει τα κατάλληλα μέτρα για την προστασία των δεδομένων σας.
Μέσω του προτύπου επιτυγχάνεται:
Μείωση επιχειρηματικού ρίσκου και κόστους – Εξασφαλίζει την ύπαρξη ελέγχων τόσο για την μείωση του ρίσκου όσο και για την αποφυγή εκμετάλλευσης τυχόν αδυναμιών του συστήματος. Ακόμα και αν το χειρότερο συμβεί, ο οργανισμός είναι σε θέση να το αντιμετωπίσει και να ανακτήσει τον έλεγχο το συντομότερο δυνατό.
Βέλτιστη Πρακτική – Διασφάλιση ότι υπάρχει δέσμευση ως προς την ασφάλεια πληροφοριών από όλους και σε όλα τα επίπεδα του οργανισμού.
Συμμόρφωση με νομικές και κανονιστικές απαιτήσεις
Ανταγωνιστικότητα – Τόνωση και προβολή της εμπορικής εικόνας. Αύξηση της εμπιστοσύνης των πελατών, συνεργατών και γενικά όλων των ενδιαφερόμενων μερών, με την επίγνωση ότι η διαχείριση των πληροφοριών και των δεδομένων τους είναι ασφαλής.

Ενιαίο Σύστημα Διαχείρισης – Βασισμένο στον κύκλο « Σχεδιάζω – εκτελώ – ελέγχω – ενεργώ» το ISO / IEC 27001 έχει αρκετά κοινά με άλλα πρότυπα όπως 9001 και 14001, καθιστώντας ευκολότερη την ανάπτυξη ενός ενιαίου συστήματος διαχείρισης που ικανοποιεί τις απαιτήσεις και άλλων προτύπων αποφεύγοντας έτσι επαναλήψεις και περιττά κόστη.

Οι απαιτήσεις του προτύπου είναι λογικές και στις περισσότερες περιπτώσεις αυτονόητες, όπως:
  • προδιαγραφές για υλικά, προϊόντα και υπηρεσίες
  • μέθοδοι ανταπόκρισης του οργανισμού για τις δεσμεύσεις και προδιαγραφές που δίνει στους πελάτες
  • οργανόγραμμα, υπευθυνότητες, αρμοδιότητες (ποιος κάνει τι, με τι εξουσιοδότηση)
  • σχεδιασμένες διαδικασίες για τις κρίσιμες ή πολύπλοκες λειτουργίες
  • καθορισμένος τρόπος επικοινωνίας και διαχείρισης των πληροφοριών
  • συγκεκριμένοι στόχοι για τη συνεχή βελτίωση του οργανισμού
  • διαδικασίες ελέγχου και αξιολόγησης των δεδομένων, των μεθόδων και των ανθρώπων Καταγραφή όλων των χρήσιμων και κρίσιμων δεδομένων που χρειάζεται ο οργανισμός για να διασφαλίζει τη καλή λειτουργία του και να χτίζει τη βελτίωσή του.

Οι απαιτήσεις για την επίτευξη της συμμόρφωσης με το πρότυπο ISO 27001 φυσικά δεν σταματούν εκεί. Ως ευρύ πρότυπο, καλύπτει πολλά άλλα στοιχεία, συμπεριλαμβανομένης της σημασίας της κατάρτισης για την ευαισθητοποίηση του προσωπικού και της υποστήριξης της ηγεσίας. Το ISO 27001 έχει ήδη υιοθετηθεί από χιλιάδες οργανισμούς παγκοσμίως και, δεδομένου του τρέχοντος ποσοστού και της σοβαρότητας των παραβιάσεων δεδομένων, είναι ένα από τα ταχύτερα αναπτυσσόμενα πρότυπα συστήματος διαχείρισης σήμερα



πηγή

Σχόλια

Δημοσίευση σχολίου

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Εικόνα
Το άμεσο μέλλον απαιτεί από τις ασφαλιστικές επιχειρήσεις διαμεσολάβησης (μεσίτες & πράκτορες ) να αλλάξουν ριζικά το επιχειρηματικό τους μοντέλο , την οργανωτική τους κουλτούρα, την Στρατηγική τους ,  τον τρόπο επικοινωνίας με τους πελάτες και να δημιουργήσουν νέες πηγές εσόδων επανεξετάζοντας τους παραδοσιακούς ρόλους τους και υιοθετώντας μια νοοτροπία οικοσυστήματος.
Διαβάστε περισσότερα

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030

Εικόνα
Οι δυνάμεις της παγκοσμιοποίησης και η 4η Βιομηχανική επανάσταση ( Industry 4.0 ) μετασχηματίζουν τις οικονομίες, τους χώρους εργασίας και τις οικογένειες μας και θα συνεχίζουν να το κάνουν ακόμη πιο έντονα τα επόμενα χρόνια.
Διαβάστε περισσότερα