+

 *Oι διαθεσιμότητες στα καταστήματα λιανικής μπορεί να διαφέρουν. Για καλύτερη εξυπηρέτηση, παραγγείλετε online ή επικοινωνήστε με το κατάστημα.

Ελ  /  En
  • Το καλάθι μου

    Το καλάθι αγορών είναι άδειο!

0

Πολιτική Ασφάλειας Πληροφοριών

Απαιτήσεις Ασφάλειας Πληροφοριών

Ένας σαφής ορισμός των απαιτήσεων για την ασφάλεια των πληροφοριών έχει συμφωνηθεί και διατηρείται στην επιχείρηση, έτσι ώστε όλες οι δραστηριότητες του συστήματος να επικεντρωθούν στην εκπλήρωση αυτών των απαιτήσεων. Οι κανονιστικές και συμβατικές απαιτήσεις τεκμηριώνονται και επίσης συμβάλλουν στη διαδικασία σχεδιασμού. Ειδικές απαιτήσεις όσον αφορά την ασφάλεια νέων ή τροποποιημένων συστημάτων ή υπηρεσιών λαμβάνονται υπόψη στο στάδιο του σχεδιασμού κάθε έργου.

Αποτελεί θεμελιώδη αρχή του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών της Δίγκας Ι.Κ.Ε, οι έλεγχοι που εφαρμόζονται να καθοδηγούνται από τις επιχειρηματικές ανάγκες και αυτό κοινοποιείται τακτικά σε όλο το προσωπικό μέσω συναντήσεων ομάδας και ενημερωτικών εγγράφων.

Ηγεσία και δέσμευση Ανώτατης Διοίκησης

Η δέσμευση για την ασφάλεια των πληροφοριών επεκτείνεται σε ανώτερα επίπεδα του οργανισμού και θα αποδειχθεί μέσω αυτής της πολιτικής ασφάλειας πληροφοριών και της παροχής κατάλληλων πόρων για την παροχή και ανάπτυξη του συστήματος και των συναφών ελέγχων.

Η ανώτατη διοίκηση θα διασφαλίσει επίσης ότι διενεργείται συστηματική ανασκόπηση των επιδόσεων του συστήματος σε τακτική βάση, ώστε να διασφαλίζεται ότι επιτυγχάνονται οι στόχοι ποιότητας και ότι εντοπίζονται σχετικά ζητήματα μέσω του προγράμματος ελέγχου και των διαδικασιών διαχείρισης. Η διοικητική ανασκόπηση μπορεί να λάβει διάφορες μορφές, συμπεριλαμβανομένων τμημάτων και άλλων συνεδριάσεων διαχείρισης.

Ο Υπεύθυνος Ασφάλειας Πληροφοριών έχει τη συνολική εξουσία και ευθύνη για την εφαρμογή και τη διαχείριση του συστήματος διαχείρισης της ασφάλειας των πληροφοριών, ειδικότερα:

  • Τον προσδιορισμό, την τεκμηρίωση και την εκπλήρωση των απαιτήσεων ασφάλειας πληροφοριών
  • Εφαρμογή, Διαχείριση και βελτίωση διαδικασιών διαχείρισης κινδύνων
  • Ενσωμάτωση επιχειρησιακών διαδικασιών, διαδικασιών και ελέγχων
  • Συμμόρφωση με τις κανονιστικές, κανονιστικές και συμβατικές απαιτήσεις
  • Αναφορά στην ανώτατη διοίκηση σχετικά με την απόδοση και τη βελτίωση

Πλαίσιο καθορισμού στόχων

Ένας κύκλος θα χρησιμοποιηθεί για τον καθορισμό στόχων για την ασφάλεια των πληροφοριών, ώστε να συμπίπτει με τον κύκλο προγραμματισμού του προϋπολογισμού. Αυτό θα διασφαλίσει ότι θα επιτευχθεί επαρκής χρηματοδότηση για τις δραστηριότητες βελτίωσης που εντοπίστηκαν. Οι στόχοι αυτοί θα βασίζονται σε σαφή κατανόηση των επιχειρηματικών απαιτήσεων, ενημερωμένων από τη διοικητική ανασκόπηση κατά τη διάρκεια της οποίας μπορούν να ληφθούν οι απόψεις των σχετικών ενδιαφερόμενων μερών.

Οι στόχοι του συστήματος θα τεκμηριώνονται για μια συμφωνημένη χρονική περίοδο, μαζί με λεπτομέρειες για το πώς θα επιτευχθούν. Αυτοί θα αξιολογούνται και θα παρακολουθούνται ως μέρος των διοικητικών ανασκοπήσεων για να διασφαλιστεί ότι παραμένουν έγκυρα. Εάν απαιτούνται τροποποιήσεις, αυτές θα διαχειρίζονται μέσω της διαδικασίας διαχείρισης αλλαγών.

Σύμφωνα με το πρότυπο ISO/IEC 27001:2013, οι έλεγχοι αναφοράς που περιγράφονται λεπτομερώς στο Παράρτημα Α του προτύπου θα εγκριθούν κατά περίπτωση από την Δίγκας Ι.Κ.Ε. Αυτοί θα επανεξετάζονται σε τακτική βάση υπό το φως των αποτελεσμάτων από τις εκτιμήσεις κινδύνου και σύμφωνα με τα σχέδια αντιμετώπισης κινδύνου ασφάλειας πληροφοριών. Για λεπτομέρειες σχετικά με τους ελέγχους του Παραρτήματος Α που έχουν τεθεί σε εφαρμογή και αυτούς που έχουν εξαιρεθεί, βλ. Δήλωση εφαρμογής.

Ρόλοι και Αρμοδιότητες

Στον τομέα της ασφάλειας των πληροφοριών, υπάρχουν ορισμένοι ρόλοι διαχείρισης που αντιστοιχούν στους τομείς που ορίζονται στο πεδίο που αναφέρεται παραπάνω. Σε έναν μεγαλύτερο οργανισμό, αυτοί οι ρόλοι θα καλύπτονται συχνά από ένα άτομο σε κάθε τομέα. Σε μια μικρότερη οργάνωση, αυτοί οι ρόλοι και οι ευθύνες πρέπει να κατανέμονται μεταξύ των μελών μιας ομάδας.

Πλήρεις λεπτομέρειες σχετικά με τις ευθύνες που σχετίζονται με καθέναν από τους ρόλους και τον τρόπο κατανομής τους εντός της Δίγκας Ι.Κ.Ε δίνονται σε ξεχωριστό έγγραφο Ρόλοι ασφάλειας πληροφοριών, Αρμοδιότητες και Αρχές.

Είναι ευθύνη του Υπεύθυνος Ασφάλειας Πληροφοριών για να διασφαλιστεί ότι οι εργαζόμενοι και οι εργολάβοι κατανοούν τους ρόλους που εκπληρώνουν και ότι έχουν τις κατάλληλες δεξιότητες και ικανότητες για να το πράξουν.

Συνεχής Βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών

Η πολιτική της Δίγκας Ι.Κ.Ε για τη συνεχή βελτίωση είναι:

  • Συνεχής βελτίωση της αποτελεσματικότητας του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών
  • Βελτίωση των διαδικασιών για την ευθυγράμμιση με τις ορθές πρακτικές όπως ορίζονται στο ISO/IEC 27001
  • Απόκτηση πιστοποίησης ISO/IEC 27001 και διατήρηση της σε συνεχή βάση
  • Αύξηση του επιπέδου προληπτικότητας (και την αντίληψη των ενδιαφερομένων για την προληπτικότητα) όσον αφορά την ασφάλεια των πληροφοριών
  • Να καταστούν οι διαδικασίες και οι έλεγχοι ασφάλειας πληροφοριών πιο μετρήσιμοι, προκειμένου να παρέχεται μια υγιής βάση για ενημερωμένες αποφάσεις
  • Επανεξέταση των σχετικών μετρήσεων σε ετήσια βάση για να εκτιμηθεί κατά πόσον είναι σκόπιμο να αλλάξουν, με βάση τα ιστορικά δεδομένα που συλλέγονται
  • Απόκτηση ιδεών για βελτίωση μέσω τακτικών συναντήσεων με τα ενδιαφερόμενα μέρη και τεκμηρίωση σε ένα συνεχές σχέδιο βελτίωσης
  • Επανεξέταση του σχεδίου συνεχούς βελτίωσης σε τακτικές συνεδριάσεις διαχείρισης, προκειμένου να δοθεί προτεραιότητα και να αξιολογηθούν τα χρονοδιαγράμματα και τα οφέλη

Ιδέες για βελτιώσεις που μπορούν να ληφθούν από οποιαδήποτε πηγή, συμπεριλαμβανομένων των εργαζομένων, των πελατών, των προμηθευτών, του προσωπικού πληροφορικής, των αξιολογήσεων κινδύνου και των αναφορών υπηρεσιών. Μόλις εντοπιστούν, θα προστεθούν στο σχέδιο συνεχούς βελτίωσης και θα αξιολογηθούν από τον υπεύθυνο για τη συνεχή βελτίωση των υπηρεσιών.

Στο πλαίσιο της αξιολόγησης των προτεινόμενων βελτιώσεων, θα χρησιμοποιηθούν τα ακόλουθα κριτήρια:

  • Κόστος
  • Επιχειρηματικό Όφελος
  • Κίνδυνος
  • Χρονοδιάγραμμα υλοποίησης
  • Απαίτηση πόρων

Εάν γίνει αποδεκτή, η πρόταση βελτίωσης δίνεται προτεραιότητα προκειμένου να καταστεί δυνατός ο αποτελεσματικότερος σχεδιασμός.

Προσέγγιση για τη διαχείριση κινδύνου

Η διαχείριση του κινδύνου πραγματοποιείται σε διάφορα επίπεδα εντός του συστήματος, όπως:

  • Σχεδιασμός διαχείρισης - οι κίνδυνοι για την επίτευξη των στόχων ασφάλειας πληροφοριών θα αξιολογούνται και θα επανεξετάζονται σε τακτική βάση
  • Αξιολογήσεις κινδύνου ασφάλειας πληροφοριών και συνέχειας υπηρεσιών πληροφορικής
  • Αξιολόγηση του κινδύνου αλλαγών μέσω της διαδικασίας διαχείρισης αλλαγών
  • Ως μέρος μεγάλων έργων για την επίτευξη επιχειρηματικής αλλαγής, π.χ. νέα συστήματα υπολογιστών

Οι εκτιμήσεις υψηλού επιπέδου κινδύνου επανεξετάζονται σε ετήσια βάση ή μετά από σημαντική αλλαγή στην επιχείρηση ή την παροχή υπηρεσιών.

Χρησιμοποιείται μια διαδικασία αξιολόγησης κινδύνου η οποία είναι σύμφωνη με τις απαιτήσεις και τις συστάσεις του ISO/IEC 27001, του διεθνούς προτύπου για την ασφάλεια των πληροφοριών. Αυτό τεκμηριώνεται στην Αξιολόγηση Κινδύνου και Διαδικασία Αντιμετώπισης.

Από την ανάλυση αυτή, καταρτίζεται έκθεση αξιολόγησης κινδύνου, ακολουθούμενη από σχέδιο αντιμετώπισης κινδύνου, στο οποίο επιλέγονται κατάλληλοι έλεγχοι από τον κατάλογο αναφοράς του Παραρτήματος Α του προτύπου ISO/IEC 27001, μαζί με τυχόν πρόσθετους ελέγχους που κρίνονται απαραίτητοι.

Ανθρώπινο Δυναμικό

Η Δίγκας Ι.Κ.Ε θα διασφαλίσει ότι όλο το προσωπικό που εμπλέκεται στην ασφάλεια των πληροφοριών είναι ικανό με βάση την κατάλληλη εκπαίδευση, κατάρτιση, δεξιότητες και εμπειρία.

Οι απαιτούμενες δεξιότητες καθορίζονται και επανεξετάζονται σε τακτική βάση μαζί με μια αξιολόγηση των υφιστάμενων επιπέδων δεξιοτήτων εντός της Δίγκας Ι.Κ.Ε. Προσδιορίζονται οι ανάγκες κατάρτισης και διατηρείται ένα σχέδιο για να διασφαλιστεί ότι υπάρχουν οι απαραίτητες ικανότητες.

Κατάρτιση, εκπαίδευση και άλλα σχετικά αρχεία τηρούνται από το Τμήμα Ανθρώπινου Δυναμικού για την τεκμηρίωση των επιμέρους επιπέδων δεξιοτήτων που επιτεύχθηκαν.

  Έλεγχος και επανεξέταση

Μόλις τεθεί σε εφαρμογή, είναι ζωτικής σημασίας να πραγματοποιούνται τακτικές αναθεωρήσεις για το πόσο καλά τηρούνται οι διαδικασίες και οι διαδικασίες ασφάλειας πληροφοριών. Αυτό συμβαίνει σε τρία επίπεδα:

  1. Διαρθρωμένη τακτική επανεξέταση της συμμόρφωσης προς τις πολιτικές και τις διαδικασίες από τη διοίκηση
  2. Έλεγχος εσωτερικού ελέγχου κατά του προτύπου ISO/IEC 27001 από την Ποιοτική Ομάδα της Δίγκας Ι.Κ.Ε
  3. Εξωτερικός έλεγχος βάσει του προτύπου από εγγεγραμμένο Οργανισμό Πιστοποίησης προκειμένου να αποκτήσει και να διατηρήσει πιστοποίηση

Λεπτομέρειες σχετικά με τον τρόπο διεξαγωγής των εσωτερικών ελέγχων μπορείτε να βρείτε στη Διαδικασία για τους ελέγχους του συστήματος.

Δομή Τεκμηρίωσης της και Πολιτική

Όλες οι πολιτικές και τα σχέδια ασφάλειας πληροφοριών πρέπει να τεκμηριώνονται. Λεπτομέρειες σχετικά με τις συμβάσεις και τα πρότυπα τεκμηρίωσης δίνονται στη Διαδικασία Ελέγχου Τεκμηριωμένων Πληροφοριών.

Ορισμένα βασικά έγγραφα θα διατηρηθούν ως μέρος του συστήματος. Είναι μοναδικά αριθμημένα και οι τρέχουσες εκδόσεις παρακολουθούνται στο Αρχείο καταγραφής τεκμηρίωσης Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.

Έλεγχος Αρχείων

Η τήρηση αρχείων αποτελεί θεμελιώδες μέρος του ΣΔΑΠ. Τα αρχεία είναι βασικοί πόροι πληροφοριών και αντιπροσωπεύουν στοιχεία ότι οι διαδικασίες διεξάγονται αποτελεσματικά.

Τα στοιχεία ελέγχου που υπάρχουν για τη διαχείριση εγγραφών ορίζονται στο έγγραφο Διαδικασία ελέγχου τεκμηριωμένων πληροφοριών.