ISO/IEC 27001 (ISMS): ΠΙΣΤΟΠΟΊΗΣΗ ΣΥΣΤΉΜΑΤΟΣ ΔΙΑΧΕΊΡΙΣΗΣ ΑΣΦΆΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΏΝ

Το ISO 27001 είναι το διεθνές πρότυπο του συστήματος διαχείρισης που καθορίζει τις απαιτήσεις για ένα Σύστημα Διαχείρισης Ασφάλειας των Πληροφοριών (ISMS). Το πρότυπο παρέχει ένα πλαίσιο βέλτιστων πρακτικών για τον εντοπισμό, την ανάλυση και την εφαρμογή ελέγχων για τη διαχείριση και τον περιορισμό των κινδύνων, μειώνοντας την πιθανότητα παραβίασης της ασφάλειας των πληροφοριών.
Κάθε οργανισμός - ανεξαρτήτως μεγέθους και τομέα - μπορεί να χρησιμοποιήσει τις απαιτήσεις και τους ελέγχους του ISO 27001 για την εφαρμογή ενός αποτελεσματικού συστήματος ISMS το οποίο μπορεί να πιστοποιηθεί ανεξάρτητα.

Η διαπιστευμένη πιστοποίηση κατά ISO 27001 που παρέχεται από έναν αξιόπιστο και ανεξάρτητο φορέα πιστοποίησης αποδεικνύει τη δέσμευση για την ασφάλεια των πληροφοριών, παρέχοντας μια αμερόληπτη άποψη σχετικά με την αρτιότητα και την αποτελεσματικότητα του συστήματός σας ISMS. Αυτό βοηθά στην εκπλήρωση συμβατικών υποχρεώσεων και σε πολλές περιπτώσεις λειτουργεί ως άδεια για εμπορικές συναλλαγές.

Προστατεύστε τα δεδομένα και τη φήμη σας

Η πιστοποίηση ISO 27001 αποδεικνύει ότι έχετε δημιουργήσει μια συστηματική προσέγγιση βάσει των κινδύνων στην ασφάλεια των πληροφοριών, η οποία προάγει τις βέλτιστες πρακτικές στα εξής: 

• Εντοπισμός κινδύνων για την ασφάλεια πληροφοριών και τον κυβερνοχώρο
• Ανάλυση των κινδύνων με βάση τις επιπτώσεις και τις πιθανότητες
• Αξιολόγηση των κινδύνων και ιεράρχηση των ζητημάτων όταν αντιμετωπίζονται βάσει παραγόντων που σχετίζονται με την επιχείρησή σας
• Ορισμός επιλογών αντιμετώπισης κινδύνων

Επίδειξη συμμόρφωσης με τους νόμους, τους κανονισμούς και τις απαιτήσεις συμβάσεων

Η απόκτηση πιστοποίησης ISO 27001 απαιτεί συμμόρφωση με την ισχύουσα νομοθεσία, όπως ο κανονισμός GDPR της ΕΕ ή οι κανονισμοί HIPAA. Αυτό έχει θετικό αντίκτυπο στη διαχείριση κινδύνων και στην εταιρική διακυβέρνηση, βοηθώντας σας να επιδείξετε συμμόρφωση και να εκπληρώνετε τις απαιτήσεις συμβάσεων.

Ανταγωνιστικό πλεονέκτημα

Η πιστοποίηση από την LRQA παρέχει στους πελάτες και στους ενδιαφερόμενους εμπιστοσύνη ότι οι κίνδυνοι ασφάλειας, οι οποίοι θα μπορούσαν να σχετίζονται με τις υπηρεσίες πληροφορικής, τους ανθρώπους, το φυσικό περιβάλλον και την επιχειρησιακή συνέχεια, έχουν διευθετηθεί επαρκώς ώστε να προστατεύονται οι πληροφορίες τους.

Η πιστοποίηση ISO 27001 παρέχει μια ξεκάθαρη δήλωση των ικανοτήτων σας και αποδεικνύει ότι εργάζεστε σύμφωνα με τις διεθνώς αναγνωρισμένες βέλτιστες πρακτικές, βοηθώντας σας έτσι να κερδίσετε νέες επιχειρηματικές ευκαιρίες.

Οι επιθεωρήσεις κατά ISO 27001 ακολουθούν την ίδια προσέγγιση με άλλα συστήματα διαχείρισης που βασίζονται στο παράρτημα Annex SL. Μπορείτε να ξεκινήσετε με την εκπαίδευση του ανθρώπινου δυναμικού και τη διαγνωστική επιθεώρηση (Gap Analysis), αλλά η επίσημη διαδικασία περιλαμβάνει έλεγχο του σχεδιασμού του ISMS (στάδιο 1) και έλεγχο της λειτουργίας του (στάδιο 2). Τα αποτελέσματα αυτών των ελέγχων επανεξετάζονται τεχνικά από ένα εξειδικευμένο, ανεξάρτητο επιθεωρητή της LRQA για να διασφαλιστεί η συνέπεια και η ευθυγράμμιση για τήρηση των βέλτιστων πρακτικών όπως αυτές ορίζονται από τους φορείς πιστοποίησης.

Μόλις εγκριθεί το πιστοποιητικό ISO 27001 εκδίδεται και ξεκινά ένας τριετής κύκλος επιθεωρήσεων επιτήρησης που οδηγεί σε μια επιθεώρηση ανανέωσης για τα επόμενα τρία έτη. Η επιτήρηση επιτρέπει τόσο στην LRQA όσο και στον οργανισμό σας την ορθή διαχείριση των αλλαγών και τη διασφάλιση ότι οι επιθεωρήσεις είναι ανάλογες με τις τρέχουσες ανάγκες του κλάδου.

Μετά την έγκριση, η πιστοποίηση διαρκεί για τρία έτη, με την προϋπόθεση ότι το σύστημα συντηρείται αποτελεσματικά και αποδεικνύεται μέσω του προγράμματος επιτήρησης.

Μια τυπική δήλωση του πεδίου εφαρμογής του πιστοποιητικού ISMS περιλαμβάνει δραστηριότητες που σχετίζονται με την παροχή προϊόντων και υπηρεσιών. Δεν χρειάζεται να περιλαμβάνει εσωτερικές διεργασίες ή διαδικασίες ISMS. Σκοπός είναι να διασφαλιστεί στον αναγνώστη ότι προστατεύονται οι πληροφορίες που παρέχονται κατά την παράδοση του προϊόντος ή της υπηρεσίας.

Η δήλωση της δυνατότητας εφαρμογής αναφέρεται στη λίστα των επιλεγμένων ελέγχων. Δεν παρέχει λεπτομέρειες για αυτούς τους ελέγχους αλλά μια σαφή αναφορά στη δήλωση ελέγχου που χρησιμοποιείται ως βάση για την τελευταία επιθεώρηση κατά ISO 27001. Ορισμένες φορές οι οργανισμοί έχουν μια κοινόχρηστη δημόσια έκθεση που απλά παραθέτει τους ελέγχους που επιλέγονται από το ISO 27001 Annex A, αλλά αυτό δεν αποτελεί υποχρεωτική προϋπόθεση.

Ο υπολογισμός των ημερών επιθεώρησης, που σχετίζεται με τον αριθμό των υπαλλήλων που εμπίπτουν στο πεδίο εφαρμογής του ISMS, καθορίζει το κόστος. Ο αριθμός των ημερών επιθεώρησης δημοσιεύεται στο πρότυπο διαπίστευσης, ISO 27006, και είναι διαθέσιμος σε όλους. Η προσφυγή σε έναν διαπιστευμένο οργανισμό πιστοποίησης όπως η LRQA διασφαλίζει ότι θα λάβετε μια προτεινόμενη διάρκεια επιθεωρήσεων με βάση τις βέλτιστες πρακτικές του κλάδου, η οποία είναι συγκρίσιμη με όλους τους άλλους διαπιστευμένους οργανισμούς πιστοποίησης.

Για παράδειγμα, ένας οργανισμός με ισοδύναμα πλήρους απασχόλησης (ΙΠΑ) 100 υπαλλήλους, θα πρέπει να αναμένει μια διάρκεια αρχικού ελέγχου (Στάδιο 1 + Στάδιο 2) μεταξύ 8 και 12 ημερών, ανάλογα με τον τομέα δραστηριότητας, την πολυπλοκότητα του περιβάλλοντος εργασίας, την ενασχόληση με τη ανάπτυξη λογισμικού ή πιθανή ενσωμάτωση της ασφάλειας στο προϊόν. Το επόμενο πρόγραμμα επιτήρησης υπολογίζεται σε 3-4 ημέρες ανά έτος και η ανανέωση σε 6-8 ημέρες.

Ναι - καθώς τόσο το ISO 9001 όσο και το ISO 27001 βασίζονται στο γενικό μοντέλο βέλτιστων πρακτικών για τα συστήματα διαχείρισης - Annex SL - και οι βασικές διαδικασίες διαχείρισης μπορούν να βελτιστοποιηθούν ώστε να πληρούν τις απαιτήσεις και των δύο προτύπων. Στην πραγματικότητα, ο σχεδιασμός ενός ολοκληρωμένου συστήματος για τη διαχείριση και των δύο προτύπων βελτιώνει την αποτελεσματικότητα της οργανωτικής διακυβέρνησης. Για παράδειγμα, επιχειρηματικοί στόχοι όπως η ανάπτυξη, συχνά απαιτούν την παροχή νέων προϊόντων, όπου η ασφάλεια θεωρείται συνήθως πρότυπο ποιότητας σύμφωνα με τις προσδοκίες της αγοράς. Η ενσωμάτωση των προτύπων μειώνει τους χρόνους επιθεωρήσεων, και συνεπακόλουθα του κόστους.

Η πορεία που θα ακολουθήσει ο οργανισμός σας για να επιτύχει την πιστοποίηση ISO 27001 εξαρτάται μεταξύ άλλων παραγόντων συχνά από το επίπεδο ωριμότητας της επιχείρησής σας σε σχέση με την ασφάλεια των πληροφοριών και την ευρύτερη διαχείριση κινδύνων. Ωστόσο, η τυπική διαδικασία για την πιστοποίηση κατά ISO 27001 περιλαμβάνει 3 βασικά βήματα.

• Στάδιο 1 Αρχικού Ελέγχου - ανασκόπηση εγγράφων και σχεδιασμός: Στις περισσότερες περιπτώσεις, αυτή η υπηρεσία παρέχεται εξ αποστάσεως.
• Στάδιο 2 Αρχικού Ελέγχου - αξιολόγηση της εφαρμογής:
  Ο αρμόδιος επιθεωρητής θα αξιολογήσει τον τρόπο εφαρμογής και την αποτελεσματικότητα του ISMS σας σύμφωνα με τις απαιτήσεις του ISO 27001. Εφόσον δεν εντοπιστούν μη συμμορφώσεις, θα λάβετε την πιστοποίησή σας. Το στάδιο αυτό μπορεί να πραγματοποιηθεί εξ αποστάσεως ή με επιτόπια επίσκεψη.
• Προωθήστε την πιστοποίησή σας κατά ISO 27001:
  Η πιστοποίησή σας αποδεικνύει τη δέσμευσή σας σε διεθνώς αναγνωρισμένες βέλτιστες πρακτικές και συνεχή βελτίωση - βοηθώντας σας να αυξήσετε το πελατολόγιό σας και να ικανοποιήσετε τις απαιτήσεις των πελατών σας.

Η δημοσίευση του ISO 27002:2022 παρέχει μια επικαιροποίηση της λίστας των ελέγχων που περιγράφονται στο πρότυπο που υφίσταται από το 2013. Οι αναθεωρημένοι έλεγχοι αντικατοπτρίζουν τις εξελίξεις που σχετίζονται τόσο με τις απειλές όσο και με τις τρέχουσες βέλτιστες πρακτικές, ενώ το διευρυμένο πεδίο εφαρμογής του ISO 27002 συμβάλλει στη διασφάλιση ότι τα μέτρα διαχείρισης κινδύνων είναι συνολικά και αποτελεσματικά. Οι οργανισμοί μπορούν να χρησιμοποιήσουν την ολοκληρωμένη λίστα ελέγχων για να αντιμετωπίσουν τους κινδύνους που έχουν εντοπίσει ή να ανακαλύψουν πιθανά κενά - αντιμετωπίζοντας αποτελεσματικά το σύνθετο και εξελισσόμενο περιβάλλον απειλών που αντιμετωπίζουν οι επιχειρήσεις σήμερα.

Μια νέα έκδοση του ISO 27001 δημοσιεύθηκε στις 25 Οκτωβρίου 2022. Διαθέτοντας τους νέους ελέγχους που περιγράφονται από το ISO 27002:2022, οι οργανισμοί θα πρέπει να επανεξετάσουν την αξιολόγηση των κινδύνων τους και να καθορίσουν εάν πρέπει να εφαρμοστούν νέες διαδικασίες επεξεργασίας κινδύνων.