ISO 27001 for Hotels & Hotel Chains™

Η Ασφάλεια Πληροφοριών

Οι θεμελιώδεις Αρχές της Ασφάλειας Πληροφοριών – τις οποίες επιχειρεί να εξασφαλίσει το πρότυπο – βασίζονται σε τρία βασικά στοιχεία:

Εμπιστευτικότητα (Confidentiality): Διασφάλιση της προσπελασιμότητας της πληροφορίας μόνον από όσους έχουν τα απαραίτητα δικαιώματα.

Ακεραιότητα (Integrity): Διαφύλαξη της ακρίβειας και της πληρότητας της πληροφορίας και των μεθόδων επεξεργασίας αυτής.

Διαθεσιμότητα (Availability): Διασφάλιση της προσπελασιμότητας της πληροφορίας σε εξουσιοδοτημένους χρήστες όποτε απαιτείται.

Το Πρότυπο ISO 27001 απαιτεί από μία επιχείρηση να καθιερώσει, να υλοποιήσει, να διατηρεί και να βελτιώνει συνεχώς ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS). Όπως και κάθε πρότυπο ISO, έτσι και το ΙSO 27001:2013 ακολουθεί τον κύκλο συνεχούς βελτίωσης “Plan-Do-Check-Act” (PDCA Cycle).

Τα Πλεονεκτήματα

Τα πλεονεκτήματα που απολαμβάνει ένας οργανισμός ακολουθώντας το πρότυπο είναι πολυάριθμα:

• Υλοποίηση ξεκάθαρων πολιτικών ασφάλειας για όλα τα μέλη ενός οργανισμού αλλά και τρίτων
• Ανάλυση απειλών, αδυναμιών και κινδύνων
• Υλοποίηση των κατάλληλων αντιμέτρων
• Ύπαρξη μηχανισμών για τη συνεχή εξέλιξη του οργανισμού
• Αποτελεσματική διαχείριση συμβάντων
• Συμμόρφωση με νομικές και κανονιστικές απαιτήσεις
• Ύπαρξη αποτελεσματικών KPIs (Key Performance Indicators)
• Ανάπτυξη σχέσεων εμπιστοσύνης με πελάτες και συνεργάτες
• Βελτίωση της εταιρικής φήμης.

Το Έργο

Συνοπτικά οι στόχοι του έργου ISO 27001 for Hotels & Hotel Chains™ είναι:

• Ο σχεδιασμός και η ανάπτυξη του συστήματος ISO 27001:2013
• Η υποστήριξη της υλοποίησης και της εφαρμογής του συστήματος
• Η εκπαίδευση και η ενημέρωση των εμπλεκόμενων χρηστών
• Ο έλεγχος του συστήματος για επιβεβαίωση της αποτελεσματικής, αρμονικής λειτουργίας του αλλά και της ανάδειξης τυχόν κενών
• Η υποστήριξη του Ομίλου κατά τη διάρκεια της επιθεώρησης και πιστοποίησης από τον ελεγκτικό φορέα.

Στη συνέχεια αναλύονται οι ενέργειες που πρέπει να πραγματοποιήσει ένας οργανισμός σε κάθε φάση του προτύπου ώστε να συμμορφώνεται με βάση το συγκεκριμένο πρότυπο. Τα Στάδια Υλοποίησης του Έργου είναι τα ακόλουθα:

Α. Αποτύπωση Αναγκών και Υπάρχουσας Κατάστασης

• Καταγραφή ενδιαφερόμενων μελών (πελάτες, προμηθευτές κ.λ.π.) και ανάλυση των απαιτήσεων σε θέματα ασφάλειας πληροφοριών
• Καταγραφή υποδομών και διαδικασιών
• Καταγραφή οργανογράμματος και ροής πληροφοριών
• Καταγραφή παρεχόμενων υπηρεσιών που σχετίζονται με την εφαρμογή του συστήματος
• Καταγραφή δεδομένων που πρέπει να προστατευθούν.

Β. Ανάλυση Κινδύνων και Καταγραφή Αντίδρασης

Πραγματοποιείται Data Protection Impact Assessment σύμφωνα με το οποίο εκτιμώνται οι κίνδυνοι και οι επιπτώσεις από ενδεχόμενο διαρροής πληροφοριών ή απώλεια διαθεσιμότητάς τους. Καταγράφονται οι αδυναμίες και τα πιθανά σημεία απώλειας ή διαρροής πληροφοριών και εκπονείται σχέδιο διαχείρισης κινδύνου στο οποίο  αναφέρονται οι ενέργειες που πρέπει να γίνουν για τον περιορισμό των κινδύνων. Καταγράφονται οι τελικώς αποδεκτοί από τον οργανισμό κίνδυνοι και η διαδικασία αντιμετώπισης έκτακτων συμβάντων, ενώ εκπονείται καταγραφή πιθανών κινδύνων της πληροφοριακής υποδομής (Vulnerability Assessment) με αυτοματοποιημένα εργαλεία και παράδοση σχετικού report.

Συστήνεται και δύναται να πραγματοποιηθεί επιπλέον Penetration Test (προσπάθεια εκμετάλλευσης των αδυναμιών που θα αναδειχθούν από το Vulnerability Assessment), το οποίο όμως δεν είναι απαραίτητο για τη συμμόρφωση κατά ISO 27001.

Γ. Σχεδιασμός Πολιτικής Ασφάλειας Πληροφοριών

Συντάσσεται η Πολιτική Ασφάλειας του οργανισμού που εκφράζει την πολιτική της επιχείρησης για την Ασφάλεια Πληροφοριών. Εκεί συμπεριλαμβάνονται όλες οι επιμέρους Πολιτικές που απαιτούνται από το Πρότυπο (Πολιτική Πρόσβασης, Πολιτική Προστατευμένων Περιοχών κ.λπ.).

Στη συνέχεια συντάσσονται και οι απαιτούμενες διαδικασίες που περιγράφουν το πώς η Πολιτική Ασφάλειας Πληροφοριών που καθορίστηκε ανωτέρω εφαρμόζεται στην πράξη. Η ακριβής ονομασία και δομή καθώς και ο αριθμός των διαδικασιών που θα γραφούν δεν είναι δυνατόν να προκαθορισθούν επακριβώς σε αυτό το στάδιο.

Η συγγραφή του Εγχειριδίου Ασφάλειας Πληροφοριών και των Διαδικασιών Ασφάλειας Πληροφοριών και Οδηγιών Εργασίας αποτελεί την χρονικά εκτενέστερη φάση του έργου. Δίνεται προσοχή ώστε οι διαδικασίες που θα παραχθούν να είναι ρεαλιστικές και εφαρμόσιμες. Σε αυτό συμβάλλουν τόσο η ενεργή συμμετοχή των στελεχών της επιχείρησης όσο και η εμπειρία του συμβούλου που θα αναγνωρίσει τις ιδιαιτερότητες της επιχείρησης και θα τις προσαρμόσει στις απαιτήσεις του προτύπου ISO 27001:2013.

Δ. Εφαρμογή του Συστήματος

• Διανομή των διαδικασιών στους αρμόδιους ανά τμήμα και ανά δραστηριότητα
• Υποστήριξη του προσωπικού της επιχείρησης για την εφαρμογή των διαδικασιών
• Ενημερωτικό σεμινάριο εκπαίδευσης όλου του προσωπικού διάρκειας 2-3 ωρών, με σκοπό την κατανόηση των απαιτήσεων του προτύπου και την ευχερέστερη εφαρμογή των διαδικασιών στα πλαίσια του σχεδιασμένου συστήματος διαχείρισης της Ασφάλειας πληροφοριών.

Ε. Έλεγχος και Προετοιμασία για την Πιστοποίηση

• Εσωτερική επιθεώρηση σύμφωνα με την ισχύουσα διαδικασία, με παρουσία του συμβούλου
• Σύνταξη αναφοράς εσωτερικής επιθεώρησης, ανάλυση αποκλίσεων και περιγραφή αναγκαίων διορθωτικών ενεργειών για την άρση των αποκλίσεων
• Υποστήριξη για την υλοποίηση των αναγκαίων διορθωτικών ενεργειών
• Υποστήριξη της επιχείρησης για την κλήση και λοιπές απαιτούμενες συνεννοήσεις με τον αρμόδιο φορέα πιστοποίησης
• Υποστήριξη της επιχείρησης καθ’ όλη τη διάρκεια της επιθεώρησης μέχρι και τη λήψη του πιστοποιητικού.