Ποιες είναι οι απαιτήσεις του ISO 27001;

Μία εταιρία ή γενικά ένας οργανισμός που εφαρμόζει το ISO 27001, εφαρμόζει ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ).

Το ISO 27001 περιλαμβάνει 7 ενότητες απαιτήσεων (4-7), για το ΣΔΑΠ, οι οποίες συνοψίζονται όπως παρακάτω:

  • Ενότητα 4 :: Πλαίσιο του Οργανισμού - Προσδιορισμός του πεδίου εφαρμογής του ΣΔΑΠ

Ο οργανισμός που επιθυμεί να εφαρμόσει ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, θα πρέπει να μελετήσει σε ποιες από τις λειτουργίες του θα το εφαρμόσει. Ποιο είναι το πεδίο εφαρμογής του Συστήματος; Ποια εξωτερικά και εσωτερικά θέματα πρέπει να εξεταστούν; Ποιοι άλλοι ενδιαφέρονται για την αφάλεια των πληροφοριών του; (πελάτες, προμηθευτές, νόμος, κλπ).

  • Ενότητα 5 :: Διοίκηση - Δήλωση Πολιτικής Ασφάλειας Πληροφοριών

Η διοίκηση του οργανισμού θα πρέπει να πιστέψει στην αναγκαιότητα της εφαρμογής ενός ΣΔΑΠ και να το υποστηρίξει με κάθε τρόπο, διαθέτοντας προσωπικό και πόρους. Θα πρέπει να ενημερώνεται σε τακτά χρονικά διαστήματα για την κατάσταση εφαρμογής και τις δυνατότητες βελτίωσης του ΣΔΑΠ. Θα πρέπει να δεσμευτεί, δηλώνοντας και υπογράφοντας, τη θέλησή της να εφαρμόσει μία Πολιτική Ασφάλειας Πληροφοριών.

  • Ενότητα 6 :: Σχεδιασμός

Ο σχεδιασμός των δράσεων του οργανισμού για την εφαρμογή ενός ΣΔΑΠ, περιλαμβάνει:

α) Από τι πρέπει να προστατευτούμε; Ποιοι είναι οι κίνδυνοι που πρέπει να αντιμετωπίσουμε; (risk assessment)

β) Τι πρέπει να προστατέψουμε. Ποιοι είναι οι πόροι του οργανισμού που πρέπει να προστατευτούν και πόσο ευάλωτοι είναι; (information security objectives)

γ) Πώς μπορούμε να αντιμετωπίσουμε τους κινδύνους, σύμφωνα με τη λίστα των  μέτρων ελέγχου που υπάρχουν στο Παράρτημα Α του ISO 27001 (risk treatment plan).

  • Ενότητα 7 :: Υποστήριξη

Είναι πολύ σημαντικό, οι εργαζόμενοι του οργανισμού να συμμετέχουν σε αυτή την προσπάθεια. Να ευαισθητοποιηθούν μέσα από την εκπαίδευση και να προσαρμοστούν τόσο στη δημιουργία και διαχείριση εγγράφων σύμφωνα με το ISO 27001, όσο και στην επικοινωνία - μετάδοση των πληροφοριών μέσα και έξω από τον οργανισμό.

  • Ενότητα 8 :: Λειτουργία

Για να εφαρμοστεί με επιτυχία μια πολιτική ασφάλειας των πληροφοριών, είναι υποχρεωτική η χρήση συγκεκριμένων διαδικασιών. Αυτές οι διαδικασίες πρέπει να σχεδιαστούν, να εφαρμοστούν και να ελεγχθούν ότι όντως επιτυγχάνουν τον σκοπό για τον οποίο δημιουργήθηκαν. Μέσα από τις διαδικασίες αυτές θα είναι δυνατή η αντιμετώπιση των κινδύνων στην ασφάλεια των πληροφοριών.

  • Ενότητα 9 :: Αξιολόγηση της Απόδοσης

Η συνεχής παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση του ΣΔΑΠ είναι ένα από τα απαιτούμενα του ISO 27001. Θα πρέπει σε τακτά χρονικά διαστήματα να γίνεται εσωτερική επιθεώρηση του ΣΔΑΠ, για τα αποτελέσματα της οποίας να ενημερώνεται η διοίκηση του οργανισμού και να λαμβάνει τα απαιτούμενα μέτρα για τη βελτίωση του συστήματος.

  • Ενότητα 10 :: Βελτίωση

Μετά την αξιολόγηση του ΣΔΑΠ θα πρέπει να ακολουθεί διαδικασία βελτίωσής του. Εάν εντοπιστούν σημεία μη συμμόρφωσης (nonconformities) θα πρέπει να ληφθούν μέτρα ώστε να εξαληφθούν οι αιτίες που προκαλούν τη μη συμμόρφωση. Μία καλή πρακτική είναι η PDCA (Plan-Do-Check-Act).

 

  • Οι έλεγχοι του Παραρτήματος Α
  1. Πολιτική ασφάλειας πληροφοριών.
  2. Εφαρμογή της ασφάλειας πληφοροριών (ρόλοι, ευθύνες, κλπ)
  3. Ασφάλεια προσωπικού (διαδικασίες πρόσληψης, εκπαίδευσης και διαχείρισης προσωπικού)
  4. Διαχείριση πόρων (προσδιορισμός συσκευών κλπ, καθορισμός ευθυνών και διαχείριση με ασφάλεια)
  5. Έλεγχος πρόσβασης (οριοθέτηση πρόσβασης στους πόρους αποθήκευσης πληροφοριών)
  6. Κρυπτογράφηση
  7. Ασφάλεια των χώρων - εγκαταστάσεων (κάμερες ασφαλείας, κλειδιά, κλπ)
  8. Ασφάλεια λειτουργιών (Τα συστήματα πληροφοριών είναι ασφαλή, προστατευμένα και λαμβάνεται backup)
  9. Ασφάλεια δικτύων από μη εξουσιοδοτημένη πρόσβαση
  10. Αναβάθμιση, ανάπτυξη νέων συστημάτων πληροφορικής και συντήρηση (η ασφάλεια των πληροφοριών λαμβάνεται υπόψη όταν αλλάζουν οι πόροι)
  11. Σχέση με τους προμηθευτές (ασφάλεια των πληροφοριών που ανταλλάσονται ανάμεσα στον οργανισμό και τους προμηθευτές του ή τους εξωτερικούς συνεργάτες του)
  12. Σχέδιο αντιμετώπισης κινδύνων (πώς θα διαχειριστεί ο οργανισμός ένα γεγονός κινδύνου της ασφάλειας των πληροφοριών)
  13. Εξασφάλιση της συνεχούς λειτουργίας (πώς ο οργανισμός θα ανακτήσει τη διαθεσιμότητα των συστημάτων πληροφοριών σε περίπτωση έκτακτων καταστάσεων όπως φωτιά κλπ)
  14. Συμμόρφωση (πλαίσιο ελέγχου συμμόρφωσης)