Διαχείριση πολιτικών ασφαλείας σύμφωνα με το ISO 27001-27002.

Abstract

Ένας οργανισμός για να έχει την δυνατότητα να πετύχει τους στόχους που έχει θέσει, πρέπει να διασφαλίσει την απαιτούμενη ασφάλεια των πληροφοριακών συστημάτων του καθώς και των ευαίσθητων δεδομένων (βάση νομικών υποχρεώσεων ή λόγω της φύσης του οργανισμού) που αποθηκεύονται η διακινούνται σε αυτή, στον μέγιστο βαθμό. Η εφαρμογή ενός σχεδίου ασφάλειας σήμερα, σύμφωνα με διεθνή πρότυπα και πρακτικές, αντιμετωπίζεται σαν μία σημαντική διαχειριστική λειτουργία και όχι απλά ως μία τεχνική λειτουργία. Η παρούσα πτυχιακή καταρχήν ασχολείται: • Με την περιγραφή της διαδικασίας πιστοποίησης ενός οργανισμού βάση του προτύπου ISO27001 και κατά δεύτερο λόγο με αυτοματοποιημένες μεθόδους διαχείρισης στρατηγικών ασφάλειας. • Εργαλεία δημιουργίας και διαχείρισης πολιτικών ασφαλείας. Όπως και ιστοσελίδες ή άλλες πηγές εύρεσης πολιτικών ασφαλείας. • Καταγραφή των πολιτικών ασφάλειας που ορίζουν την ορθή χρήση της υποδομών ενός οργανισμού. • Παρουσίαση πολιτικών και οδηγιών για εκπαίδευση και συνειδητοποίηση προσωπικού σε θέματα ασφαλείας. Το αποτέλεσμα της πτυχιακής είναι δυνατό θα εφαρμοστεί στα πλαίσια του Τ.Ε.Ι ΚρήτηςστοΗράκλειο. Πρέπει να σημειωθεί ότι οι πολιτικές ασφάλειας αναφέρονται σε ένα σύνολο κανόνων και οδηγιών που οριοθετούν και οργανώνουν εσωτερικές διαδικασίες (εφόσον αυτές σχετίζονται με την ασφάλεια πληροφοριών). Ο στόχος αυτής της προσπάθειας είναι να εφαρμόσουμε ασφαλείς πρακτικές σεβόμενοι ταυτόχρονα την κουλτούρα που διέπει έναν εκπαιδευτικό/ερευνητικό οργανισμό. Για να επιτευχθεί το παραπάνω θα χρειαστεί συνεργασία από όλους η οποία θα κωδικοποιείται σαν διοικητική κατεύθυνση και δέσμευση όσο αφορά στους ρόλους και τις υποχρεώσεις των μελών του ιδρύματος.

An organization/service in order to have the ability to achieve its objectives, should among all, reassure the required security of its calculating infrastructure as well as sensitive data (based on legal obligations or due to the nature of the organization) which is stored or transmitted in it. The implementation of a security plan today, according to international standards and practices, is faced as an important management process and not just as a technical one. The present project deals with the development, concretization and support of security strategies according to modern standard ISO27001. The advantages for the organization are summarised in the followings: • With the description of certification process of base on ISO27001 and incidentally with automated methods management of strategies safety • Creation and management tools for security policies. As with web pages or other sources for finding policies • Registration of policies for equitable use of infrastructures • Presentation of policies and directives on training and awareness of personnel on security issues. The result of this project is possible to be applied in the frames of TEI of Crete at Heraklion. It should be mentioned that security policies are referred to a total of rules and guidelines which delimit and organize internal processes (provided that they are related to information security). The objective of this effort is to apply secure practices in respect to the culture that characterizes an educational/researching organization. In order to achieve the above, it will be needed collaboration from all, which is coded as administrative direction and commitment as regards the roles and the responsibilities of members of the institution.