Πολιτική Ασφάλειας της Πληροφορίας – ISO 27001: 2013

ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

1. ΕΦΑΡΜΟΓΗ

Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) εφαρμόζεται από όλο το προσωπικό του οργανισμού που εμπλέκεται στην εκτέλεση των παρεχομένων υπηρεσιών του, καθώς επίσης και στο χρησιμοποιούμενο εξοπλισμό, αλλά και στις εγκαταστάσεις που χρησιμοποιεί ο οργανισμός στα πλαίσια παροχής ή εκτέλεσης των υπηρεσιών αυτών, συμπεριλαμβανομένων των όποιων πρόσθετων όρων των σχετικών συμβάσεων.

2. ΣΚΟΠΟΣ

Ο Οργανισμός επιδιώκει την παροχή των Υπηρεσιών σύμφωνα με το ισχύον Νομικό και Κανονιστικό πλαίσιο και τις λοιπές συμβατικές υποχρεώσεις του, με τρόπο που να προστατεύονται τα πληροφοριακά δεδομένα της και ιδιαίτερα τα προσωπικά από εκούσια ή ακούσια κλοπή, καταστροφή, ή χρήση κατά παράβαση των Νόμων και των Κανονιστικών Διατάξεων.

Ο σκοπός της ασφάλειας της πληροφορίας είναι να διασφαλίσει την επιχειρησιακή συνέχεια του οργανισμού και να ελαχιστοποιήσει τους κινδύνους που απειλούν τα δεδομένα, αποφεύγοντας περιστατικά ασφαλείας και μειώνοντας τις επιπτώσεις που μπορεί να έχουν τα περιστατικά αυτά.

3. ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΔΕΔΟΜΕΝΩΝ

Στόχος της παρούσας πολιτικής είναι να προστατέψει τα Πληροφοριακά Δεδομένα που χειρίζεται ο οργανισμός από όλες τις εσωτερικές, εξωτερικές, εκούσιες ή ακούσιες απειλές. Για την επίτευξη του στόχου αυτού, εκτός της παρούσης γενικής πολιτικής έχουν εκπονηθεί και εφαρμόζονται, ειδικές πολιτικές ασφαλείας όπως φαίνονται στα παραρτήματα Α1 – Α18 του παρόντος εγγράφου και αποτελούν αναπόσπαστο μέρος αυτού.

Οι επιμέρους στόχοι του οργανισμού σχετικά με την Ασφάλεια των Πληροφοριών, συμπεριλαμβανομένων και των προσωπικών δεδομένων είναι:

  • Τα πληροφοριακά δεδομένα να είναι προστατευμένα από οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση.
  • Να διασφαλίζεται η εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και η διατήρηση των πληροφοριών, όπως προβλέπεται από τις νομοκανονιστικές απαιτήσεις.
  • Να τηρούνται πάντα οι αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας κατά την επεξεργασία προσωπικών δεδομένων.
  • Να διασφαλίζεται η τήρηση των νομοκανονιστικών απαιτήσεων.
  • Να παρέχεται εκπαίδευση πάνω στην Ασφάλεια των πληροφοριών σε όλο το προσωπικό.
  • Όλα τα πραγματικά ή καθ’ υποψία περιστατικά ασφαλείας να αναφέρονται στον ΥΑΠ και να διερευνώνται πλήρως.

Για την επίτευξη των παραπάνω στόχων έχουν αναπτυχθεί και εφαρμόζονται επιμέρους Τεχνικά Μέτρα, Πολιτικές Ασφαλείας και Διαδικασίες, όπου περιγράφονται και όλες οι σχετικές αρμοδιότητες του προσωπικού, οι οποίες διασφαλίζουν και αποδεικνύουν ότι η διαχείριση των πληροφοριακών δεδομένων διενεργείται σύμφωνα με το Νομοκανονιστικό Πλαίσιο.

Τα εν λόγω Μέτρα, Πολιτικές και Διαδικασίες επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο, όπως για παράδειγμα μετά από εκτεταμένες αλλαγές στα πληροφοριακά συστήματα, βασικές αλλαγές στα προγράμματα (software), κλπ., και κατ’ ελάχιστο ανά έτος. Υπεύθυνος για την επικαιροποίηση είναι ο ΥΑΠ.

Κατά την επισκόπηση / επικαιροποίηση, όλα τα στοιχεία που συμβάλλουν στη διαμόρφωση μιας ολοκληρωμένης εικόνας του λειτουργικού περιβάλλοντος και των συστημάτων πληροφορικής του οργανισμού κατά την τρέχουσα περίοδο θα λαμβάνονται υπόψη.

Συγκεκριμένα στοιχεία που πρέπει να ληφθούν υπόψη είναι:

  • Η τρέχουσα κατάσταση και το επίπεδο προληπτικών και διορθωτικών μέτρων ασφαλείας.
  • Τα αποτελέσματα προηγούμενων ελέγχων ασφαλείας που έγιναν από τη διοίκηση ή από εξωτερικούς φορείς.
  • Οι συστάσεις σχετικά με την ορθή εφαρμογή του προγράμματος ασφαλείας των συστημάτων πληροφοριών του οργανισμού, ώστε να παραμένει ευθυγραμμισμένο με τις κανονιστικές απαιτήσεις.

Όλο το προσωπικό και οι εξωτερικοί συνεργάτες (όταν αυτό απαιτείται), είναι υποχρεωμένοι να εφαρμόζουν τις Πολιτικές Ασφαλείας που διέπουν τη λειτουργία της εταιρείας και εμπίπτουν στο πεδίο των δραστηριοτήτων τους.

Η Διοίκηση δεσμεύεται για την παροχή όλων των απαραίτητων πόρων και μέσων για την εφαρμογή της παρούσας και των επιμέρους Πολιτικών Ασφαλείας.

4.    ΕΓΚΡΙΣΗ ΠΟΛΙΤΙΚΗΣ

Η παρούσα πολιτική έχει εγκριθεί από τη Διοίκηση του οργανισμού.