Οδηγός ανάπτυξης ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με το πρότυπο ISO27001:2013 - μια γενική προσέγγιση βασισμένη σε υλοποιηθείσα ανάπτυξη

A guide for developing an Information Security Management System, according to ISO27001:2013 standard - a general approach based on an actual implemented system (Αγγλική)

  1. MSc thesis
  2. Χρυσοστόμου, Γεώργιος
  3. Διαχείριση και Τεχνολογία Ποιότητας (ΔΙΠ)
  4. 16 Σεπτεμβρίου 2017 [2017-09-16]
  5. Ελληνικά
  6. 163
  7. Νικολαΐδης, Ιωάννης
  8. Νικολαΐδης, Ιωάννης | Αηδόνης, Δημήτριος
  9. ISO27001 | Ασφάλεια Πληροφοριών | Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών | ΣΔΑΠ | Information Security | Information Security Management System | ISMS | ISO27000
  10. 2
  11. 24
  12. Περιέχει: Πίνακες 11, Εικόνες/διαγράμματα 20
    • Στη διπλωματική εργασία αυτή, παρουσιάζεται η εμπειρία που αποκτήθηκε από την εφαρμογή ενός συστήματος διαχείρισης της ασφάλειας πληροφοριών (ΣΔΑΠ) σύμφωνα με το πρότυπο ISO/IEC 27001:2013 σε έναν οργανισμό, με αντικείμενο τον σχεδιασμό, εγκατάσταση, συντήρηση και επισκευή ηλεκτροπαραγωγών ζευγών (Η/Ζ), συστημάτων σταθμών και κέντρων κινητής τηλεφωνίας και τη διαχείριση και υλοποίηση έργων υποδομής (ηλεκτρομηχανολογικών και δομικών). Σκοπός της εργασίας είναι να αποτελέσει μια εισαγωγή και να δώσει κατευθυντήριες γραμμές για την εφαρμογή τέτοιων Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ). Στο 1ο κεφάλαιο γίνεται μια θεωρητική παρουσίαση βασικών εννοιών, όρων και ορισμών της ασφάλειας πληροφοριών και δίνεται η γενική αρχή των συστημάτων διαχείρισης που βασίζονται στον κύκλο Plan-Do-Check/Study-Act (P-D-C/S-A) του Deming Στο 2ο κεφάλαιο παρουσιάζονται τα πρότυπα της οικογένειας ISO/IEC270xx, περιλαμβάνοντας ιστορικά στοιχεία από τα οποία φαίνονται οι ανάγκες που εξυπηρετούν και που οδήγησαν στην ανάπτυξη και καθιέρωση των συγκεκριμένων προτύπων. Ιδιαίτερη αναφορά γίνεται στη νέα δομή των προτύπων προς την κατεύθυνση της μεταξύ τους συμβατότητας. Το ISO/IEC 27001:2013 είναι το πρότυπο ως προς το οποίο μπορεί να πιστοποιηθεί ένας οργανισμός, ενώ τα άλλα πρότυπα της σειράς λειτουργούν επικουρικά για την εφαρμογή του. Στο 3ο κεφάλαιο γίνεται ιδιαίτερη αναφορά στο πρότυπο ISO/IEC 27001:2013, τη δομή του, τις απαιτήσεις συμμόρφωσης, το παράρτημα Α και τα μέτρα ελέγχου που παρουσιάζονται σε αυτό. Επίσης παρουσιάζεται ο τρόπος ικανοποίησης των απαιτήσεων του προτύπου μέσα από παραδείγματα για ενδεικτικές παραγράφους του προτύπου και του παραρτήματός του. Στο 4ο κεφάλαιο γίνεται αναφορά στη διαχείριση της διακινδύνευσης η οποία είναι απαίτηση του προτύπου και αποτελεί αντικείμενο του ISO/IEC 27005:2011 το οποίο κινείται στο ίδιο πνεύμα με το ISO/IEC 31000:2009 γεγονός που καταδεικνύει τη σύγκλιση των προτύπων σε κοινή δομή, λεξιλόγιο και αρχές. Στο 5ο κεφάλαιο παρουσιάζονται οι ενέργειες για την καθιέρωση και υλοποίηση ενός ΣΔΑΠ, ξεκινώντας από την καταγραφή, αξιολόγηση, χαρακτηρισμό των πληροφοριακών αγαθών και την εκτίμηση και διαχείριση της διακινδύνευσης. Ιδιαίτερη αναφορά γίνεται στην αποσαφήνιση του περιβάλλοντος εργασίας (context) του συστήματος, στην φυσική και περιβαλλοντική ασφάλεια και στην πρόσκτηση και ανάπτυξη πληροφοριακών συστημάτων. Δίνονται κατευθυντήριες γραμμές για την ανάπτυξη της τεκμηρίωσης και την οργάνωση της εκπαίδευσης. Επίσης δίνονται όλα εκείνα τα στοιχεία για την λειτουργία, συντήρηση και βελτίωση του συστήματος με επίκεντρο τις ανασκοπήσεις, προληπτικές-διορθωτικές ενέργειες, εσωτερικές επιθεωρήσεις και τη διαχείριση των περιστατικών ασφαλείας. Στο 6ο κεφάλαιο παρουσιάζονται συνοπτικά τα εξαχθέντα συμπεράσματα από την συνολική διαδικασία υλοποίησης του ΣΔΑΠ στον εν λόγω οργανισμό. Υπό μορφήν παραρτημάτων, τέλος, δίνεται η δομή των εγγράφων της τεκμηρίωσης, ένας οδηγός διαβάθμισης και χειρισμού πληροφοριών, μια ενδεικτική πολιτική ασφάλειας για τη χρήση Διαδικτύου και δικτυακών υπηρεσιών και μια ενδεικτική Δήλωση Εφαρμογής (SoA) κατ' απαίτηση του προτύπου.
    • This thesis presents the experience gained from the implementation of an information security management system (ISMS) according to ISO / IEC 27001: 2013 in an organization for the design, installation, maintenance and repair of power generators, cellular telephone stations and the management and implementation of infrastructure projects (electromechanical and structural). The purpose of the thesis is to provide an introduction and give guidelines for the implementation of such information security management systems (ISMS). Chapter 1 presents, theoretically, basic concepts, terms and definitions in information security and gives the general principle of management systems based on the Deming (or Shewhart) Plan-Do-Check/Study-Act (P-D-C/S-A) cycle. Chapter 2 presents the standards of the ISO / IEC270xx family, including historical data showing the needs they serve and which led to the development and establishment of such standards. Particular reference is made to the new structure of standards in the direction of their compatibility. ISO / IEC 27001: 2013 is the standard for which an organization can be certified, while the other standards of the series act as ancillary to its implementation. In Chapter 3 particular reference is made to ISO / IEC 27001: 2013, its structure, compliance requirements, Annex A and the control measures presented therein. Also presented is how to meet the requirements of the standard through examples for the clauses of the standard and its Annex. In Chapter 4 reference is made to risk management which is a requirement of the standard and is the subject of ISO / IEC 27005: 2011, which is in the same direction as ISO / IEC 31000: 2009, demonstrating the convergence of standards into a common structure, vocabulary and principles. Chapter 5 presents the actions for the establishment and implementation of an ISMS, starting with the asset inventory, evaluation, characterization of information assets and the assessment and management of risk. Particular reference is made to the clarification of the context, to physical and environmental security and to the acquisition and development of information systems. Guidelines are given for developing system documentation and the organization of education. Also, provides information on the operation, maintenance and improvement of the system, focusing on reviews, preventive-corrective actions, internal audits and security incident management. Chapter 6 summarizes the conclusions drawn from the overall implementation process of the ISMS in this organization. In the form of annexes, finally, are given the documents' structure, an information classification and handling guide, a sample security policy for the use of the Internet and network services, and a sample of Statement of Applicability (SoA).
  14. Items in Apothesis are protected by copyright, with all rights reserved, unless otherwise indicated.