Ψηφιακό Τεκμήριο
Ψηφιακό Τεκμήριο
Ψηφιακό Τεκμήριο
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
2.3 Ανάπτυξη Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών<br />
(κατά ISO27001)<br />
Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αποτελεί μέρος του ευρύτερου<br />
συστήματος διαχείρισης ενός Οργανισμού και αφορά στη θεμελίωση, υλοποίηση,<br />
λειτουργία, έλεγχο τήρησης, συντήρηση και βελτίωση της ασφάλειας πληροφοριών<br />
ενός Οργανισμού. Η υλοποίησή του ακολουθεί προσέγγιση βασισμένη στους<br />
επιχειρηματικούς κινδύνους του Οργανισμού (risk based approach).<br />
Το Σ.Δ.Α.Π αποτελεί ένα πλαίσιο αρχών με σκοπό την επίτευξη και στη συνέχεια τη<br />
διατήρηση του επιθυμητού επιπέδου ασφάλειας πληροφοριών ενός Οργανισμού.<br />
Είναι ένα είδος σχεδίου / οδηγού στον οποίο προσδιορίζεται το επιθυμητό επίπεδο<br />
ασφάλειας πληροφοριών. Το Σ.Δ.Α.Π οφείλει και πρέπει να είναι εναρμονισμένο με<br />
τους αντικειμενικούς στόχους του Οργανισμού και να είναι ανάλογο της<br />
κρισιμότητας των επιχειρηματικών πληροφοριών. Ένα τέτοιο πλαίσιο αρχών<br />
προσδιορίζει το σύνολο των συμπεριφορών, διεργασιών και πρακτικών τα οποία<br />
συνηγορούν στην υλοποίηση του επιθυμητού επιπέδου ασφάλειας πληροφοριών (με<br />
σχέση με τις απαιτήσεις Εμπιστευτικότητας, Ακεραιότητας και Διαθεσιμότητας των<br />
πληροφοριών του Οργανισμού). Χρησιμοποιώντας τους επιχειρηματικούς στόχους<br />
σαν κριτήριο, οι οργανισμοί μπορούν να προσδιορίσουν το επιθυμητό επίπεδο<br />
ασφάλειας και να το τοποθετήσουν σε μία κλίμακα μέτρησης, στο ενδιάμεσο της<br />
απόστασης ανάμεσα στο υφιστάμενο επίπεδο ασφάλειας και στο ιδεατό (όπως αυτό<br />
προσδιορίζεται από πρότυπα και τις διεθνείς πρακτικές).<br />
Όπως όλα τα συστήματα διαχείρισης (management systems), το Σ.Δ.Α.Π<br />
περιλαμβάνει τον προσδιορισμό οργανωτικής δομής και υπευθυνοτήτων, πολιτικών,<br />
διαδικασιών, προτύπων και οδηγιών ασφάλειας πληροφοριών. Ο σχεδιασμός και<br />
υλοποίηση ενός Σ.Δ.Α.Π επηρεάζεται από τις επιχειρηματικές απαιτήσεις και τους<br />
αντικειμενικούς στόχους του Οργανισμού, τους κινδύνους που προκύπτουν από την<br />
απώλειας της Εμπιστευτικότητας, Ακεραιότητας και Διαθεσιμότητας των<br />
πληροφοριών, τις απαιτήσεις ασφάλειας πληροφοριών, τις διεργασίες και τον τρόπο<br />
λειτουργίας, το μέγεθος και τη δομή ενός Οργανισμού.<br />
Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αποτελείται από ένα δομημένο<br />
σύνολο εντύπων διαφορετικών βαθμίδων, το οποίο περιλαμβάνει Πολιτικές,<br />
Πρότυπα, Διαδικασίες και Οδηγίες. Μέσα από τα έντυπα προσδιορίζονται οι βασικές<br />
προδιαγραφές και ταυτόχρονα απαιτήσεις ασφάλειας των Πληροφοριών του<br />
Οργανισμού, καθώς και οι διαδικασίες υλοποίησης των προδιαγραφών αυτών.<br />
Στο παραπάνω πλαίσιο αναπτύσσονται τα ακόλουθα:<br />
Οργανωτικό Πλαίσιο Ασφάλειας Πληροφοριών – Θέτει τις προϋποθέσεις για τη<br />
δημιουργία ενός πλαισίου εργασίας, μέσω του ορισμού ρόλων και αρμοδιοτήτων ως<br />
προς την ασφάλεια, το οποίο υποστηρίζει το συντονισμό και τον έλεγχο της<br />
υλοποίησης και εφαρμογής των πολιτικών, διαδικασιών, προτύπων και οδηγιών<br />
ασφάλειας πληροφοριών.<br />
18
Change language