Τι είναι το ISO/IEC 27001; Το ISO/IEC 27001 (IT Information Management System) είναι ένα διεθνές πρότυπο που προσδιορίζει τις απαιτήσεις που πρέπει να πληροί ένας οργανισμός προκειμένου να διαχειριστεί συνολικά και αποτελεσματικά την ασφάλεια της πληροφορίας του. Το πρότυπο ISO 27001 είναι σε οργανωτικό επίπεδο συνυφασμένο με την έννοια της Ασφάλειας της Πληροφορίας και περιέχει τις απαιτήσεις για τη δημιουργία, εφαρμογή και βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Ποιες εταιρείες μπορούν να πιστοποιηθούν σύμφωνα με το πρότυπο ISO/IEC 27001; Όλες οι εταιρείες ή οι οργανισμοί (και όχι μόνο οι εταιρείες πληροφορικής) μπορούν να εφαρμόσουν και να πιστοποιηθούν σύμφωνα με το πρότυπο ISO 27001, ανεξαρτήτως μεγέθους και δραστηριότητας. Αυτό συμβαίνει γιατί αναφέρεται στην ασφάλεια της πληροφορίας κι όχι των υπολογιστών ή των εφαρμογών του. Οι απαιτήσεις του προτύπου είναι εκφρασμένες με τέτοιο τρόπο ώστε να μπορούν να εφαρμοστούν σε οποιαδήποτε οργανισμό ανεξάρτητα από τη δραστηριότητα του, το μέγεθος του ή την τοποθεσία του. Είναι υποχρεωτική η διενέργεια της εκπόνησης της Μελέτης Ανάλυσης Κινδύνων (Risk Analysis) για την εφαρμογή του ISO 27001 Εκτός του ότι απαιτείται από το πρότυπο, η μελέτη ανάλυσης κινδύνου είναι πολύ σημαντική, καθώς είναι η πλέον βασική διεργασία εντοπισμού, αξιολόγησης, εκτίμησης (ποσοτικοποίησης) του κινδύνου και των πιθανών επιπτώσεών του στην περίπτωση εκδήλωσης του συμβάντος. Τα διαθέσιμα πληροφοριακά στοιχεία μπορούν, να ταξινομηθούν κάτω από τις εξής γενικές κατηγορίες: (Άυλες πληροφορίες, όπως δεδομένα, τεχνογνωσία, εξειδίκευση, Λογισμικό (Software Assets), όπως εφαρμογές, οικονομικά στοιχεία λογιστηρίου (στοιχεία πελατών, πωλήσεων, προμηθευτών, προϊόντων, παραγωγής, κλπ), Εξοπλισμός μηχανογράφησης (servers, computers, routers, disks, κλπ), Ανθρώπινο Δυναμικό. Υπάρχουν καθόλου κοινά σημεία μεταξύ του ISO 27001:2005 και του ISO 9001:2008 Φυσικά και υπάρχουν. Το ISO 27001:2005 εξακολουθεί να είναι ένα διαχειριστικό πρότυπο, οπότε υπάρχουν κοινές διαδικασίες, όπως και κοινή φιλοσοφία. Οι κοινές διαδικασίες είναι: η διαχείριση αρχείων, διαχείριση εγγράφων, εκπαίδευση προσωπικού, διορθωτικές προληπτικές ενέργειες, εσωτερικές επιθεωρήσεις, κλπ. Ανάλογα με την τεχνική κατάρτιση και την εμπειρία του συνεργαζόμενου Συμβούλου, μπορεί να αναπτυχθεί κοινό Σύστημα Διαχείρισης (με τον συνδυασμό 2 ή περισσότερων προτύπων), ή να ενωθεί ένα υπό ανάπτυξη Σύστημα διαχείρισης με ένα υπάρχων προεγκατεστημένο. Ποιά είναι η διαδικασία πιστοποίησης μίας εταιρείας με το πρότυπο αυτό; Η διαδικασία πιστοποίησης είναι ακριβώς η ίδια όπως και σε κάθε άλλο πρότυπο ISO. Η συνεργασία με εξειδικευμένη εταιρεία Συμβούλων είναι απαραίτητη για την ανάπτυξη της σχετικής ογκώδους τεκμηρίωσης. Η εμπειρία του Συμβούλου, είναι απαραίτητη προϋπόθεση, ώστε να δημιουργηθεί ένα Σύστημα Διαχείρισης το οποίο δεν θα επιβαρύνει την καθημερινή λειτουργία της εταιρείας. Με την εγκατάσταση του Συστήματος Διαχείρισης στην εταιρεία και την δοκιμαστική εφαρμογή αυτού, ανιχνεύονται τα αδύνατα σημεία τα οποία χρίζουν βελτίωσης. Στην συνέχεια, ο Διαπιστευμένος φορέας πιστοποίησης καλείται να διενεργήσει τον απαραίτητο έλεγχο για την πιστοποίηση της εφαρμογής του σχετικού προτύπου και την απονομή του. Βήματα που απαιτούνται: 1. 2. 3. 4. 5. 6. Επιλογή εξειδικευμένου Συμβούλου Καταγραφή υφιστάμενης κατάστασης Αποσαφήνιση αναγκών σε υποδομές και ανάπτυξη Τεκμηρίωσης Εγκατάσταση Συστήματος Διαχείρισης Πιστοποίηση από Διαπιστευμένο Φορέα Ικανοποίηση τυχόν μη Συμμορφώσεων