The implementation of information security policy using iso 27001: a case study in a software company

Abstract

Η εργασία αυτή περιγράφει τα κύρια χαρακτηριστικά των διεθνών συστημάτων διαχείρισης ασφάλειας πληροφοριών και του προτύπου προστασίας πληροφοριών 27001, τη δομή του και τις απαιτήσεις για την εφαρμογή του σε εταιρίες και οργανισμούς. Οι οργανισμοί πρέπει να δεσμεύονται στη διασφάλιση της εμπιστευτικότητας, της διαθεσιμότητας και της ακεραιότας των πληροφοριών που έχουν στην κατοχή τους προκειμένου να διαχειριστούν νομικές και κανονιστικές υποχρεώσεις και να διατηρήσουν επιχειρησιακές σχέσεις εμπιστοσύνης. Αναλύουμε τις συνθήκες που αναγκάζουν οργανισμούς να επενδύσουν στην προστασία των πληροφοριών όπως επίσης και τα οφέλη που μπορούν να αποκομίσουν από αυτή τη διαδικασία. Παρουσιάζονται οι ρόλοι που εμφανίζονται σε έναν οργανισμό για την αποτελεσματική υλοποίηση ενός συστήματός διαχείρισης πληροφοριών καθώς και το θεωρητικό υπόβαθρο της διαχείρισης ρίσκου. Ειδικότερα εξετάζουμε την περίπτωση μίας πολυεθνικής εταιρίας παροχής υπηρεσιών λογισμικού η οποία αναλαμβάνει και υλοποιεί έργα εγκατάστασης και προσαρμογής λογισμικού υποστήριξης μεγάλων επιχειρήσεων. Αναλύονται οι κύριες λειτουργικές δομές της, οι λόγοι που την οδήγησαν στην εφαρμογή μεθοδολογίας προστασίας πληροφοριών. Εξηγείται η διαδικασία αξιολόγησης ρίσκου και της διαχείρισης των απαραίτητων παραμετροποιήσεων ώστε οι λειτουργίες της να είναι αποδεκτές και σύμφωνες με τα πρότυπα ασφαλείας των πληροφοριών και τέλος παρουσιάζονται οι δυσκολίες και οι προκλήσεις που αντιμετωπίστηκαν.