ISO 27001

Τι είναι το ISO 27001?

Το ISO 27001 αποτελεί προδιαγραφή για την διαχείριση της ασφάλειας των πληροφοριών. Έχει εφαρμογή σε όλους τους τομείς της βιομηχανίας, εμπορίου και υπηρεσιών και η εφαρμογή του δεν περιορίζεται μόνο στις πληροφορίες που αποθηκεύονται σε Η/Υ. Απευθύνεται στην ασφάλεια των πληροφοριών με όποιον τρόπο και αν αυτές τηρούνται. 
Οι πληροφορίες μπορεί να είναι καταγεγραμμένες ή εκτυπωμένες σε χαρτί, μπορεί να είναι αποθηκευμένες ηλεκτρονικά, μπορεί να αποστέλλονται με κανονικό ή με ηλεκτρονικό ταχυδρομείο, μπορεί να παρουσιάζονται σε φιλμ ή να διατυπώνονται προφορικά σε συζητήσεις. Οποιαδήποτε μορφή και εάν έχουν οι πληροφορίες, με οποιοδήποτε τρόπο και αν αυτές διαμοιράζονται ή αποθηκεύονται, το ISO 27001 βοηθάει έναν οργανισμό να τις προστατεύει επαρκώς.

Ασφάλεια της πληροφορίας μπορεί να χαρακτηριστεί η διατήρηση των:

Εμπιστευτικότητας - Η εξασφάλιση ώστε η πρόσβαση στην πληροφορία να είναι καταλλήλως εξουσιοδοτημένη. 
Ακεραιότητας - Διαφύλαξη της ακρίβειας και πληρότητας της πληροφορίας, καθώς και των μεθόδων επεξεργασίας της.
Διαθεσιμότητας - Η εξασφάλιση του ότι οι εξουσιοδοτημένοι χρήστες της πληροφορίας έχουν πρόσβαση σε αυτήν όταν την χρειάζονται.

Το ISO 27001 εμπεριέχει αριθμό ελεγκτικών επιδιώξεων, σκοπών, σημείων και ελέγχους.

Τα ανωτέρω συμπεριλαμβάνουν:

Πολιτική Ασφάλειας, Ασφάλεια οργανισμού, Κατάταξη και έλεγχος των περιουσιακών στοιχείων, Ασφάλεια προσωπικού, Φυσική και περιβαλλοντική ασφάλεια, Διαχείριση επικοινωνίας και λειτουργιών, Έλεγχος πρόσβασης, Ανάπτυξη και συντήρηση συστημάτων, Διαχείριση της επιχειρησιακής συνέχειας, Συμμόρφωση.

Γιατί χρειάζεται η ασφάλεια πληροφοριών?

Είναι πλέον κοινώς και παγκοσμίως αποδεκτό ότι η πληροφορία είναι ένα από τα ζωτικά περιουσιακά στοιχεία των οργανισμών και επιχειρήσεων. Συνεπώς η εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα της κύριας επιχειρησιακής και πελατειακής πληροφορίας έχουν ζωτική σημασία για την επίτευξη ανταγωνιστικότητας, ρευστότητας, κερδοφορίας, νομικής συμμόρφωσης, και εμπορικής εικόνας. Το ISO 27001 σκοπεύει στο να βοηθάει έναν οργανισμό σε αυτό το έργο. 
Είναι πολύ εύκολο κανείς να φανταστεί τις καταστροφικές συνέπειες που θα είχε για έναν οργανισμό εάν οι πληροφορίες του χάνονταν, καταστρέφονταν, αλλοιωνόταν, υπονομευόταν η κακομεταχειρίζονταν. Κάτι τέτοιο θα μπορούσε (και μπορεί) να οδηγήσει στην πλήρη κατάρρευση του οργανισμού. 

Πως ξεκινά η εφαρμογή του ISO 27001? Τι εμπλέκεται?

Η ανάπτυξη ενός Συστήματος Διαχείρισης της Ασφάλειας Πληροφοριών (ΣΔΑΠ) που να ικανοποιεί τις απαιτήσεις του προτύπου ISO 27001 εμπλέκει τρία στάδια:

  1. Την δημιουργία ενός πλαισίου διαχείρισης της πληροφορίας. Αυτό προσδίδει κατεύθυνση, επιδιώξεις και στόχους της ασφάλειας πληροφοριών, και ορίζει την πολιτική στην οποία δεσμεύεται η διοίκηση.
  2. Εντοπισμός και αξιολόγηση της επικινδυνότητας (των ρίσκων) ασφαλείας. Οι απαιτήσεις της ασφάλειας εντοπίζονται μέσα από μία μεθοδική διαδικασία αξιολόγησης της επικινδυνότητας της ασφάλειας. Τα αποτελέσματα αυτής της αξιολόγησης βοηθούν στην καθοδήγηση και προσδιορισμό της κατάλληλης διαχειριστικής ενέργειας καθώς και τις προτεραιότητες για την διαχείριση της επικινδυνότητας ασφάλειας πληροφοριών.
  3. Επιλογή και εφαρμογή ελέγχων και ελεγκτικών μεθόδων. Όταν έχουν εντοπιστεί οι απαιτήσεις για την ασφάλεια, τότε θα πρέπει να επιλεγούν και εφαρμοστούν οι κατάλληλοι έλεγχοι (ή ελεγκτικές μέθοδοι). Οι έλεγχοι αυτοί χρειάζονται για να εξασφαλίσουν ότι η επικινδυνότητα μειώνεται σε αποδεκτά επίπεδά τα οποία με την σειρά τους είναι σύμφωνα με τις συγκεκριμένες επιδιώξεις και στόχους που έχουν τεθεί για την ασφάλεια. Έλεγχοι και ελεγκτικές μέθοδοι μπορεί να έχουν την μορφή πολιτικής, πρακτικών, διαδικασιών, οργανικών δομών και λειτουργιών λογισμικού. Αυτοί θα διαφοροποιούνται σε κάθε οργανισμό.Οι δαπάνες για τους απαιτούμενου ελέγχους ή ελεγκτικά σημεία πρέπει να ορίζονται σε συνάρτηση τις αρνητικές συνέπειες που τυχόν προκύψουν από αποτυχία της ασφάλειας.
Ένα τμήμα του προτύπου είναι αφιερωμένο στο να παρέχει σχετική καθοδήγηση.

Η υιοθέτηση του ISO 27001 δεν είναι δυνατόν να θωρακίσει εντελώς τον οργανισμό σας από τυχόν παραβίαση της ασφάλειας πληροφοριών. Αυτό που μπορεί να κάνει όμως είναι να μειώσει κατά πολύ την πιθανότητα να συμβεί κάτι τέτοιο, καθώς και τις επιπτώσεις, κόστος και αναστάτωση που θα επιφέρει σε περίπτωση που συμβεί. 

Αξιολόγηση / Έλεγχος Συστήματος κατά ISO 27001

Όταν η τεκμηρίωση του συστήματος διαχείρισης ασφάλειας πληροφοριών (ΣΔΑΠ) σύμφωνα με τις απαιτήσεις του ISO 27001 ολοκληρωθεί, και όταν η εφαρμογή του συστήματος έχει ξεκινήσει, τότε έχουν δημιουργηθεί οι προϋποθέσεις για την εξωτερική αξιολόγηση. Η εξωτερική αξιολόγηση πρέπει να γίνεται από ανεξάρτητο και διαπιστευμένο φορέα πιστοποίησης. 
Ο επιλεγμένος (από την επιχείρηση) φορέας πιστοποίησης θα ξεκινήσει αξιολογώντας την τεκμηρίωση του συστήματος (Στάδιο 1ο). Αυτό περιλαμβάνει την διατυπωμένη πολιτική, τους σκοπούς και επιδιώξεις του ΣΔΑΠ, την τεκμηρίωση που αφορά την αξιολόγηση επικινδυνότητας, το σχέδιο χειρισμού της επικινδυνότητας, την Δήλωση Εφαρμοσιμότητας και τις τεκμηριωμένες διαδικασίες ασφάλειας. Οι αξιολογητές θα εξετάσουν επίσης τους ελέγχους και ελεγκτικά σημεία που ορίσατε και εφαρμόζετε όπως και κατά πόσον αυτά είναι κατάλληλα για το μέγεθος και είδος της επιχείρησής σας. Αυτή η διαδικασία πραγματοποιείται συνήθως στα γραφεία σας διότι έτσι είναι πιο επωφελές για όλους. 
Ακολουθεί η πρακτική αξιολόγηση / έλεγχος της εφαρμογής του συστήματος (Στάδιο 2ο), όπου ο φορέας πιστοποίησης επισκέπτεται την επιχείρηση και αξιολογεί κατά πόσον οι εφαρμοζόμενες πρακτικές, τα τηρούμενα αρχεία / εγγραφές και τρόπος εργασίας είναι σύμφωνα με τις τεκμηριωμένες διαδικασίες και τους επιχειρησιακούς στόχους. 
Μετά από μία θετική αξιολόγηση, ο φορέας πιστοποίησης εκδίδει το πιστοποιητικό ISO 27001. Ακολουθούν περιοδικές αξιολογήσεις (συνήθως κάθε έτος ή δύο φορές το χρόνο) που στοχεύουν στη διασφάλιση της συνεχούς τήρησης του συστήματος. 

Πλεονεκτήματα πιστοποίησης κατά ISO 27001

Μία επιχείρηση που έχει πιστοποιηθεί από ανεξάρτητο φορέα πιστοποίησης αποδεικνύει ότι έχει αντιμετωπίσει, εφαρμόζει και ελέγχει την ασφάλεια των πληροφοριών. Τα πλεονεκτήματα όμως δεν σταματούν εκεί.

Η πιστοποίηση προσφέρει και τα ακόλουθα πλεονεκτήματα:

Τονώνει την εμπιστοσύνη των πελατών, εργαζομένων, συνεργατών, φορέων και γενικά όλων των ενδιαφερομένων με την επίγνωση ότι η διαχείριση των πληροφοριών και συστημένων τους είναι ασφαλής. 
Προβάλει σημαντική αξιοπιστία και εμπιστοσύνη.
Μπορεί να οδηγήσει σε σημαντική μείωση κόστους. Ακόμα και μία απώλεια πληροφοριών μπορεί να επιφέρει σε σημαντικά έξοδα και κόστη. 
Σημαίνει ότι οι σχετικοί νόμοι και κανονισμοί τηρούνται.
Διασφαλίζει ότι υπάρχει δέσμευση ως προς την ασφάλεια πληροφοριών από όλους και σε όλα τα επίπεδα του οργανισμού. 

Γιατί να επιλέξετε την ISOQAR για την αξιολόγηση και πιστοποίησή σας κατά ISO 27001

Η ικανοποίηση των πελατών αποτελεί ένα ιδιαίτερα σημαντικό θέμα για την ISOQAR. Για αυτόν τον λόγο όλες οι προσπάθειες της ISOQAR στοχεύουν και συντελούν προς αυτήν την κατεύθυνση και είμαστε περήφανοι που το αποτέλεσμα είναι ιδιαίτερα θετικό. Η φιλική προσέγγιση που έχει και η διαφοροποίηση της από διάφορες εφαρμοζόμενες γραφειοκρατικές μεθόδους έχουν συντελέσει καθοριστικά σε ραγδαία συνεχή αύξηση νέων πελατών προερχόμενους από συστάσεις ικανοποιημένων πελατών και συμβούλων. 
Η ISOQAR προσλαμβάνει και συνεργάζεται με αξιολογητές που έχουν αποδεδειγμένη θετική εμμονή με αυτήν την προσέγγιση, και η ανάθεση των αξιολογήσεων στους αξιολογητές γίνεται βάση της εμπειρίας που έχουν πάνω στον χώρο που δραστηριοποιείται η εταιρεία προς αξιολόγηση. 
Αυτά έχουν ως αποτέλεσμα ότι μέσα από μία διαδικασία κατανόησης επιτυγχάνεται μία πρακτική αξιολόγηση που έχει νόημα στον οργανισμό. Η ISOQAR πιστεύει ότι μία αξιολόγηση πρέπει να προσθέτει αξία στον οργανισμό και όχι να είναι ένας στείρος έλεγχος ή μία ‘διανοητική’ άσκηση που στόχο έχει να ικανοποιήσει τον ελεγκτή. 
Δεν είναι άλλωστε τυχαία και η ορολογία που χρησιμοποιεί η ISOQAR : ο όρος αξιολόγηση χρησιμοποιείται για τους ελέγχους ή επιθεωρήσεις (audits) και ο όρος αξιολογητής χρησιμοποιείται για τους ελεγκτές ή επιθεωρητές (auditors) υποδηλώνοντας έτσι την προσέγγιση και νοοτροπία της ISOQAR. 

Ποιο είναι το κόστος αξιολόγησης και πιστοποίησης κατά ISO 27001?

Η πολιτική της ISOQAR είναι να παρέχει και οικονομικά προσιτή πιστοποίηση.
Το κόστος αξιολόγησης και πιστοποίησης εξαρτάται από το μέγεθος και τους ελέγχους (ελεγκτικά σημεία) που εφαρμόζει ο οργανισμός για την ασφάλεια των πληροφοριών του. Συνεπώς δεν είναι εφικτό να υπάρχει μια προσφορά κόστους χωρίς να καθοριστούν αυτοί οι παράμετροι. Σαν ένδειξη κόστους όμως μπορούμε να πούμε ότι το κόστος για μία εταιρεία που απασχολεί μέχρι 15 εργαζομένους, το κόστος του κάθε (εκ των δύο) σταδίου αξιολόγησης ξεκινά από 750 Ευρώ και το κόστος αυτό περιλαμβάνει και την πιστοποίηση. Το κόστος της ετήσιας επιτήρησης συστήματος μαζί με το ετήσιο κόστος καταχώρησης ξεκινά είναι επίσης από 750 Ευρώ. 
Για να καταθέσουμε ‘όμως μία προσφορά πρέπει να αξιολογήσουμε τα πρώτα στοιχεία μεγέθους και ελεγκτικών σημείων δραστηριοτήτων του οργανισμού. Αυτό το κάνουμε μέσω ενός ερωτηματολογίου που στέλνουμε στους ενδιαφερομένους και μας το επιστρέφουν συμπληρωμένο. 
Για την παραλαβή του σχετικού ερωτηματολογίου παρακαλούμε να επικοινωνήσετε μαζί μας στα τηλέφωνα +30-2106218021, +357-26222172 ή ηλεκτρονικά στο contact@isoqar.gr
Οι προσφορές μας υποβάλλονται χωρίς οι ενδιαφερόμενοι να έχουν καμία υποχρέωση για ανάθεση έργου στην ISOQAR. 
Οι προσφορές μας υποβάλλονται χωρίς οι ενδιαφερόμενοι να έχουν καμία υποχρέωση για ανάθεση έργου στην ISOQAR. 

Που υπάρχουν περισσότερες πληροφορίες ή βοηθήματα?

Το πρότυπο μπορεί να αγοραστεί από το βρετανικό ‘Stationary Office’. Πληροφορίες στην ιστοσελίδα www.tso.co.uk όπου μπορείτε να αναζητήσετε το 27001 κάτω από τα προϊόντα. Εκεί θα βρείτε και άλλα χρήσιμα εργαλεία που βοηθούν για την ανάπτυξη και εφαρμογή του. Υπάρχουν εκεί και προϊόντα όπως για την ετοιμασία για πιστοποίηση 27001, οδηγίες για αξιολόγηση ρίσκου, εργαλεία ανάλυσης και ελέγχου διαδικασιών και ελέγχων. 
Μία καλή μέθοδος για την ανεύρεση περισσότερων πληροφοριών είναι η έρευνα στο διαδίκτυο. Εκεί μπορούν να βρεθούν πληθώρα πληροφοριών σε ιστοσελίδες όπως www.c-cure.org, www.xisec.com, www.gammassl.co.uk, www.dti.gov.uk/cii/datasecurity and www.securityrisk.co.uk. 
Κανένα από τις ανωτέρω ιστοσελίδες δεν συνιστούνται ή εγκρίνονται ή εξουσιοδοτούνται ή συνδέονται με την ISOQAR. Απλώς αναφέρονται ενδεικτικά για να βοηθήσουν στην αναζήτηση πληροφοριών σχετικά με το ISO 27001
Τέλος, παρέχονται εξειδικευμένα εκπαιδευτικά προγράμματα για τον σχεδιασμό και ανάπτυξη συστημάτων διασφάλισης ποιότητας. Παρακαλούμε επικοινωνήστε μαζί μας για περισσότερες πληροφορίες.

Διαδικασία Αξιολόγισης ISO 27001

Εισαγωγή

Η ISOQAR επιλέγει τους αξιολογητές της με βάση την εμπειρία τους στον συγκεκριμένο τομέα που δραστηριοποιείται η επιχείρησή σας καθώς και την γνώση των απαιτήσεων του κλάδου σας. Το αντικείμενο και οι δραστηριότητες της εταιρείας σας, η τοποθεσία των γραφείων και των χώρων σας, το μέγεθος του οργανισμού σας και η πολυπλοκότητα των διαδικασιών σας είναι θέματα που εξετάζονται προσεκτικά. 
Η διαδικασία ξεκινάει με την λήψη του συμπληρωμένου ερωτηματολογίου (φόρμα του οποίου παρέχουμε) και την κατάθεση προσφοράς μας. Με την προσφορά μας σας παρέχουμε έντυπο αίτησης πιστοποίησης. Σε περίπτωση που επιθυμείτε την αξιολόγηση και πιστοποίηση σας από εμάς, θα πρέπει να λάβουμε την αίτηση συμπληρωμένη και υπογεγραμμένη 
Με την λήψη της αίτηση σας, επικοινωνούμε μαζί σας με σκοπό να συμφωνήσουμε τις ημερομηνίες για τα κάτωθι:

1ο Στάδιο : Ανασκόπηση εγχειριδίου και εγγράφων

Η ανασκόπηση του εγχειριδίου συστήματος διασφάλισης ασφάλειας πληροφοριών γίνεται με σκοπό το να διασφαλιστεί ότι η τεκμηρίωση του συστήματος είναι επαρκής και ικανοποιεί τις απαιτήσεις του προτύπου. Από την ανασκόπηση αυτή προκύπτει γραπτή αναφορά η οποία (αν είναι θετική) συμπεριλαμβάνει και το πλάνο του χρονοδιαγράμματος της πρακτικής αξιολόγησης που θα ακολουθήσει. Σας δίδεται αντίγραφο της αναφοράς και του πλάνου και ακολουθεί ενημέρωση και συζήτηση για θέματα που τυχόν έχουν προκύψει. Εάν η ISOQAR κρίνει αναγκαίο ή εάν ζητηθεί από την εταιρεία σας, το στάδιο αυτό μπορεί να πραγματοποιηθεί και στην έδρα σας. Αυτό επιτρέπει το να υπάρξει μία πρώτη γνωριμία και επαφή με τον αξιολογητή, και μπορεί να είναι ιδιαίτερα χρήσιμο σε περίπτωση που υπάρχουν μη συμμορφώσεις.

2ο Στάδιο: Αξιολόγηση

Το στάδιο αυτό είναι η λεπτομερειακή αξιολόγηση της εφαρμογής του συστήματος σας στην επιχείρηση σας. Πραγματοποιείται στην έδρα και εγκαταστάσεις της εταιρεία σας και αξιολογεί την εφαρμογή και πρακτικές που πραγματοποιούνται απέναντι στην τεκμηρίωση του συστήματός σας και τις απαιτήσεις του προτύπου ISO 27001. 

Διαδικασία

Ο αξιολογητής τεκμηριώνει τα συμπεράσματα και στοιχεία που προκύπτουν από την αξιολόγηση. Σε περίπτωση που ο αξιολογητής διαπιστώσει προβληματικές περιοχές, τότε μπορεί να καταγράψει τα εξής. 
Κύριες μη συμμορφώσεις – Αυτές θα πρέπει να αποκατασταθούν πλήρως από την εταιρεία, πριν μπορέσει ο επικεφαλής της αξιολόγησης να εισηγηθεί την πιστοποίηση. 
Μη συμμορφώσεις – Αυτές δεν επηρεάζουν την εισήγηση του αξιολογητή για την πιστοποίηση, αλλά πρέπει να αποκατασταθούν πλήρως πριν από την έκδοση του πιστοποιητικού. 
Κατά το κλείσιμο του 2ου σταδίου της αξιολόγησης, ο αξιολογητής γνωστοποιεί ποια θα είναι η εισήγηση του, και αφήνει αντίγραφο αυτής. 

Επισκέψεις επιτήρησης του συστήματος

Η πιστοποίηση κατά ISO 27001 της ISOQAR ισχύει για 3 έτη και η διατήρηση της εφαρμογής του επιτηρείται από έναν αξιολογητή ανά συγκεκριμένα διαστήματα. Όλες οι επισκέψεις επιτήρησης του συστήματος στην εταιρεία σας γίνονται μετά από συνεννόηση ώστε να εξασφαλιστεί η ετοιμότητα και η παρουσία των κατάλληλων προσώπων. 
Με την πάροδο των τριών ετών, ο οργανισμός σας θα πρέπει να επαναξιολογηθεί. Το κόστος όλων των ανωτέρω διατηρείται στο ελάχιστο δυνατόν, και σας γνωστοποιείται από πριν.
Σημείωση : Όλες οι αξιολογήσεις πραγματοποιούνται με δειγματοληπτικό έλεγχο των στοιχείων. Ο μη εντοπισμός προβληματικών στοιχείων ή περιοχών δεν εξασφαλίζει την μη ύπαρξή τους. 

Επέκταση του σκοπού πιστοποίησης

Κατά την διάρκεια της πιστοποίησης μπορούν να γίνουν και αλλαγές ή επεκτάσεις στον σκοπό πιστοποίησης. Για παράδειγμα μπορεί η εταιρεία να θελήσει να συμπεριλάβει και άλλους χώρους, εγκαταστάσεις ή γραφεία ή δραστηριότητες στον πιστοποιημένο σκοπό της. Η αξιολόγηση τέτοιων επεκτάσεων μπορεί να πραγματοποιηθεί, και αυτό να γίνει και με τρόπο ο οποίος να μη φέρνει αναστάτωση στον οργανισμό σας. Μία χρήσιμη πρακτική είναι να προβλεφθεί χρόνος που να αξιοποιηθεί στην επερχόμενη επίσκεψη παρακολούθησης.

Λογότυπα

Με την πιστοποίηση του οργανισμού σας, μπορείτε να χρησιμοποιείτε και να προβάλετε την εξουσιοδοτημένη ασπίδα της ISOQAR. 
Για δραστηριότητες της εταιρείας σας που βρίσκονται εντός των διαπιστευμένων σκοπών της ISOQAR, μπορείτε να παρουσιάζεται και το λογότυπο διαπίστευσης της UKAS ή της ANAB.

Προσφυγή / ένσταση

Σε περίπτωση που μία αξιολόγηση συμπεράνει ότι προκύπτουν στοιχεία που επιβάλουν την αναβολή (ή την άρση) της πιστοποίησης κατά το συγκεκριμένο πρότυπο, ο οργανισμός μπορεί να προσφύγει γραπτώς στον επικεφαλή πιστοποίησης (Chief Executive) της ISOQAR.
Όλες οι προσφυγές διερευνώνται από την επιτροπή προσφυγών που συστήνεται από το συμβούλιο της ISOQAR. Η εταιρεία σας μπορεί να αρνηθεί την συμμετοχή κάποιου συγκεκριμένου μέλους στην επιτροπή. Σε περίπτωση που κάτι τέτοιο συμβεί, το συμβούλιο θα είναι αναγκασμένο να επιλέξει διαφορετικό μέλος ή επιτροπή. Εάν η προσφυγή κριθεί έγκυρη, τότε τα συμπεράσματα, υποδείξεις και εισήγηση του αξιολογητή θα ακυρωθούν. Εάν όμως ο αξιολογητής κριθεί σωστός από την επιτροπή, τότε η εταιρεία σας θα χρεωθεί με το κόστος μίας επιπλέον αξιολόγησης (εάν κατά την κρίση της επιτροπής ή της ISOQAR αυτή απαιτείται) και το κόστος των εξόδων της προσφυγής. 
Οφείλουμε να τονίσουμε ότι τέτοιες περιπτώσεις και προσφυγές είναι εξαιρετικά σπάνιες.