Το ISO 27001 αποτελεί προδιαγραφή για την διαχείριση της ασφάλειας των πληροφοριών. Έχει εφαρμογή σε όλους τους τομείς της βιομηχανίας, εμπορίου και υπηρεσιών και η εφαρμογή του δεν περιορίζεται μόνο στις πληροφορίες που αποθηκεύονται σε Η/Υ. Απευθύνεται στην ασφάλεια των πληροφοριών με όποιον τρόπο και αν αυτές τηρούνται.
Οι πληροφορίες μπορεί να είναι καταγεγραμμένες ή εκτυπωμένες σε χαρτί, μπορεί να είναι αποθηκευμένες ηλεκτρονικά, μπορεί να αποστέλλονται με κανονικό ή με ηλεκτρονικό ταχυδρομείο, μπορεί να παρουσιάζονται σε φιλμ ή να διατυπώνονται προφορικά σε συζητήσεις. Οποιαδήποτε μορφή και εάν έχουν οι πληροφορίες, με οποιοδήποτε τρόπο και αν αυτές διαμοιράζονται ή αποθηκεύονται, το ISO 27001 βοηθάει έναν οργανισμό να τις προστατεύει επαρκώς.
Το πρότυπο απευθύνεται σε όλες τις εταιρείες ή οργανισμούς ανεξαρτήτως μεγέθους και δραστηριότητας, που επιθυμούν να υιοθετήσουν έναν τρόπο συνολικής διαχείρισης της ασφάλειας της πληροφορίας.
Η εφαρμογή του είναι ιδιαίτερα σημαντική για τις επιχειρήσεις που ασχολούνται με εμπιστευτικές πληροφορίες, όπως για παράδειγμα οι εταιρίες διαχείρισης αρχείων, call center- προώθηση πωλήσεων, φύλαξης (security), οργανισμoί υγειονομικής περίθαλψης και εταιρειών υπηρεσιών πληροφορικής.
Η πιστοποίηση για ISO 27001 προσφέρει τα ακόλουθα πλεονεκτήματα:
Τονώνει την εμπιστοσύνη των πελατών, εργαζομένων, συνεργατών, φορέων και γενικά όλων των ενδιαφερομένων με την επίγνωση ότι η διαχείριση των πληροφοριών και συστημένων τους είναι ασφαλής
Μπορεί να οδηγήσει σε σημαντική μείωση κόστους. Ακόμα και μία μικρή απώλεια πληροφοριών μπορεί να επιφέρει σημαντικά έξοδα και κόστη.
Προσφέρει μεγαλύτερες προσδοκίες σε διαγωνισμούς μέσω της συμμόρφωσης της εταιρεία ως προς το πρότυπο
Η χρήση του ISO μπορεί να βοηθήσει μια επιχείρηση να είναι συμβατή με το GDPR στους ακόλουθους τομείς
Συμμόρφωση – Το ISO 27001 εξετάζει όλες τις νομοθετικές και κανονιστικές απαιτήσεις μιας επιχείρησης ή οργανισμού που επηρεάζονται, απαιτώντας από την επιχείρηση να απαριθμεί όλες τις σχετικές νομοθετικές, κανονιστικές και συμβατικές απαιτήσεις.
Αξιολόγηση κινδύνου – Το ISO περιλαμβάνει την κατανόηση των απειλών, τρωτών σημείων και κινδύνων για τα προσωπικά δεδομένα που επεξεργάζονται και αποθηκεύονται από την επιχείρηση. Το ISO 27001 παρέχει ένα ολοκληρωμένο πλαίσιο για την αξιολόγηση όλων των δεδομένων.
Κρυπτογράφηση δεδομένων – Το ISO 27001 περιγράφει τους κατάλληλους ελέγχους για την προστασία των δεδομένων που βρίσκονται σε κίνδυνο (ως μέρος μιας συμβατής εκτίμησης κινδύνου), συμπεριλαμβανομένης της κρυπτογράφησης ως μέτρο που μπορεί να ληφθεί για την αύξηση της ασφάλειας.
Διαχείριση περιουσιακών στοιχείων – Το ISO 27001 καλύπτει τη διαχείριση περιουσιακών στοιχείων, η οποία περιλαμβάνει τα προσωπικά δεδομένα ως περιουσιακά στοιχεία ασφάλειας πληροφοριών και διευκρινίζει τον τρόπο αποθήκευσης, τον χρόνο διατήρησης των δεδομένων και τη διασφάλιση ότι δε θίγονται τα δεδομένα.Επιπλέον απαιτεί οι οργανώσεις να έχουν «την ικανότητα να αποκαθιστούν εγκαίρως τη διαθεσιμότητα σε περίπτωση φυσικού ή τεχνικού συμβάντος».
Έλεγχος πρόσβασης – Το ISO 27001 ορίζει τις απαιτήσεις για τον έλεγχο της πρόσβασης, τον τρόπο επαλήθευσης των χρηστών, την εφαρμογή των εξουσιοδοτήσεων και τον τρόπο διαχείρισης των χρηστών μέσω του κύκλου ζωής τους. Η προστασία δεδομένων μέσω του ελέγχου πρόσβασης πρέπει να γίνεται σε δύο επίπεδα: Πρόσβαση τελικού χρήστη, εξασφαλίζοντας ότι οι χρήστες των συστημάτων περιορίζονται στην πρόσβαση μόνο σε δεδομένα σχετικά με τον ρόλο τους και προνομιακή πρόσβαση, όπου οι διαχειριστές μπορούν να έχουν πρόσβαση σε ολόκληρη την εφαρμογή ή τη βάση δεδομένων.
Τα απαιτούμενα από τον GDPR μέτρα, πολιτικές και διαδικασίες ασφάλειας δεδομένων και επιχειρησιακής συνέχειας καθορίζονται από τα εξής διεθνή πρότυπα και οδηγίες:
ISO 27001, το βασικό διεθνές πρότυπο για την ασφάλεια πληροφοριών
ISO 22301, το διεθνές πρότυπο για την επιχειρησιακή συνέχεια
PCI το διεθνές πρότυπο για τις επιχειρήσεις που διαχειρίζονται δεδομένα καρτών πληρωμών
ISO 27018, οδηγία για την προστασία των προσωπικών δεδομένων στο cloud
ISO 27017, οδηγία για την ασφάλεια των δεδομένων στην παροχή υπηρεσιών μέσω cloud
ISO 27799, οδηγία για την ασφάλεια των δεδομένων υγείας
ISO 27011, οδηγία για την ασφάλεια των δεδομένων στους τηλεπικοινωνιακούς οργανισμούς
ISO 27015, οδηγία για την ασφάλεια δεδομένων στις οικονομικές υπηρεσίες.
